oumoeurtmm-code/cloud-security-baseline

# 云安全基线     企业级 AWS 云安全基线，涵盖 IAM 最小权限设计、CIS Benchmark 控制措施、日志记录与监控标准，以及事件响应 Runbook。由具备企业基础设施和美国海军运维经验的 **CompTIA Security+** 认证工程师兼 AWS Solutions Architect 构建。 ## 框架模块 | 模块 | 描述 | 状态 | |---|---|---| | [IAM 最小权限设计](./iam/) | 角色结构、权限边界、策略模板、MFA 强制执行 | ✅ 已完成 | | [日志记录与监控标准](./logging/) | CloudTrail、CloudWatch Logs、VPC Flow Logs、Security Hub、Config | ✅ 已完成 | | [事件响应 Runbook](./incident-response/) | 网络中断、未经授权的访问、成本异常、数据泄露 playbook | ✅ 已完成 | | [CIS AWS Benchmark 控制措施](./cis-controls/) | CIS Level 1 & 2 控制措施的 AWS 实施指南 | 🔵 进行中 | | [Linux 加固基线](./linux-hardening/) | 针对 EC2 实例与 CIS 对齐的 Linux 主机加固 | 📝 已计划 | ## 工程原则 - **最小权限** — 任何主体都不具备超出其需求的访问权限。策略范围限定于特定资源，而非使用通配符。 - **纵深防御** — 跨 IAM、网络、日志记录和检测层叠实施安全控制。 - **安全设计** — 在资源调配阶段即应用安全控制，而非事后修补。 - **持续验证** — 按既定周期审查 AWS Config 规则和 Security Hub 的发现结果。 - **文档驱动** — 每项控制措施都有记录完善的理由、实施步骤和验证测试。 ## 仓库结构 ``` cloud-security-baseline/ ├── governance/ │ ├── nist-800-53-control-mapping.md │ ├── poam-workflow.md │ ├── ssp-maintenance-checklist.md │ ├── continuous-monitoring-reporting.md │ ├── quarterly-access-review-process.md │ └── system-inventory-management.md ├── iam/ │ ├── iam-design-principles.md │ ├── role-structure.md │ ├── policies/ │ └── scripts/ ├── logging/ │ ├── logging-standards.md │ └── scripts/ ├── incident-response/ │ ├── IR-unauthorized-access.md │ ├── IR-network-outage.md │ ├── IR-cost-anomaly.md │ └── IR-data-exposure.md ├── .gitignore └── README.md ``` ## 快速参考 — IAM 审计 ``` # 查找未注册 MFA 的用户 aws iam generate-credential-report aws iam get-credential-report --query Content --output text | base64 -d | \ awk -F, 'NR>1 && $4=="true" && $8=="false" {print $1, "- Console access, NO MFA"}' # 查找具有通配符操作的角色 (权限过高) aws iam list-roles --query 'Roles[].RoleName' --output text | tr '\t' '\n' | \ while read -r role; do aws iam list-role-policies --role-name "$role" --output text 2>/dev/null | \ grep -q . && echo "Inline policy on: $role" done # 检查未使用的访问密钥 (> 90 天) aws iam generate-credential-report aws iam get-credential-report --query Content --output text | base64 -d | \ awk -F, 'NR>1 {print $1, $10, $14}' ``` ## 快速参考 — 日志记录验证 ``` # 验证 CloudTrail 是否处于活动状态且为多区域 aws cloudtrail describe-trails --query 'trailList[].{Name:Name,IsMultiRegion:IsMultiRegionTrail,LogStatus:HasCustomEventSelectors}' # 验证是否启用了 VPC Flow Logs aws ec2 describe-flow-logs --query 'FlowLogs[].{VPC:ResourceId,Status:FlowLogStatus,Dest:LogDestinationType}' # 检查 AWS Config recorder 状态 aws configservice describe-configuration-recorder-status \ --query 'ConfigurationRecordersStatus[].{Name:name,Recording:recording,LastStatus:lastStatus}' ``` ## 治理与合规支持 本仓库支持与企业及政务合同环境对齐、专注于治理的云安全工作。 ### 重点关注领域 - NIST 800-53 控制措施映射 - POA&M 管理工作流 - SSP 维护支持 - 持续监控报告 - 季度访问审查与特权账户审计 - 云标签合规评估 - 资源清单核对 - 针对云架构和系统清单的技术文档 ### 治理文档 | 文档 | 描述 | |---|---| | [NIST 800-53 控制措施映射](./governance/nist-800-53-control-mapping.md) | 云控制措施与证据到 NIST 控制措施族的实际映射 | | [POA&M 工作流](./governance/poam-workflow.md) | 跟踪发现结果、修复措施、负责人和闭环证据 | | [SSP 维护清单](./governance/ssp-maintenance-checklist.md) | 保持系统安全计划（SSP）更新的触发条件和检查清单 | | [持续监控报告](./governance/continuous-monitoring-reporting.md) | 每月持续监控报告结构与输入项 | | [季度访问审查流程](./governance/quarterly-access-review-process.md) | 每季度审查和验证特权及常规访问权限 | | [系统清单管理](./governance/system-inventory-management.md) | 维护范围内资产和云服务的准确记录 | ## 相关项目 - [aws-cloud-labs](https://github.com/oumoeurtmm-code/aws-cloud-labs) — 内嵌安全控制的 AWS 基础设施实验室 - [finops-cloud-governance](https://github.com/oumoeurtmm-code/finops-cloud-governance) — 云成本治理框架

标签：Anthropic, AWS, AWS Config, AWS解决方案架构师, CIS基准, CloudTrail, CloudWatch, Cutter, DPI, EC2, IaC, IAM, Linux加固, SecOps, Security Hub, VPC Flow Logs, 云加固, 云基础设施, 云安全架构, 合规, 子域名变形, 安全即代码, 安全基线, 安全工程, 安全认证, 安全设计, 应急响应手册, 教学环境, 最小权限原则, 权限边界, 网络安全审计, 身份与访问管理, 防御深度