EricBorba/ce-lab-classify-provider-tenant-controls
GitHub: EricBorba/ce-lab-classify-provider-tenant-controls
该项目针对 AWS 三层 Web 架构,基于共享责任模型对 26 项安全控制进行提供商与租户责任分类,并输出差距分析和修复路线图。
Stars: 0 | Forks: 0
# 实验室 M8.01 — 将控制措施分类为提供商与租户责任
## 概述
针对三层 AWS Web 应用程序(ALB + EC2 + RDS PostgreSQL)的安全责任矩阵。根据 AWS 共享责任模型,按所有者(AWS 与客户)对 26 项安全控制进行了分类,并提供了优先级的差距分析和修复路线图。
## 架构
```
[Internet]
|
[ALB — public subnet] <- Web tier
|
[EC2 Node.js — private subnet] <- App tier
|
[RDS PostgreSQL — private subnet] <- Data tier
```
## 交付物
| 文件 | 描述 |
|------|-------------|
| [security-inventory.md](security-inventory.md) | AWS 资源清单(EC2、RDS、S3、VPC、IAM) |
| [responsibility-matrix.md](responsibility-matrix.md) | 26 项控制措施映射至 AWS 与客户的所有权 |
| [gap-analysis.md](gap-analysis.md) | 10 个优先级安全差距及修复操作 |
| [assessment-report.md](assessment-report.md) | 全面的共享责任评估报告 |
| [check-s3-encryption.sh](check-s3-encryption.sh) | 附加:审计 S3 bucket 加密状态的脚本 |
## 关键发现
- **2 个严重差距**:缺失 S3 加密,EC2 OS 补丁未实现自动化
- **3 个高危差距**:Security group 权限过大,RDS 未加密,未强制执行 MFA
- **服务模型**:EC2 (IaaS)、RDS (PaaS)、S3 (PaaS/SaaS)、ALB (PaaS)
## 运行加密审计脚本
```
chmod +x check-s3-encryption.sh
./check-s3-encryption.sh
```
需要配置具有适当 IAM 权限(`s3:ListBuckets`、`s3:GetEncryptionConfiguration`)的 AWS CLI。
标签:AWS, Bash, DPI, 云原生架构, 安全合规, 应用安全, 网络代理, 责任共担模型