RUTHRAN-SEC/Cloud-Security-Monitoring-Hardening-in-AWS

GitHub: RUTHRAN-SEC/Cloud-Security-Monitoring-Hardening-in-AWS

该项目是一个 AWS 云安全监控与加固的实操实验,演示了威胁检测、事件调查、自动告警和安全加固的完整流程。

Stars: 0 | Forks: 0

# AWS 云安全监控与加固 一个实操性的 AWS 安全实验,展示了环境设置、审计日志、威胁检测、警报、事件调查、安全加固和自动化响应,旨在用于在 GitHub、LinkedIn、简历上展示,并在面试中讨论。 ![状态](https://img.shields.io/badge/status-in--progress-yellow) ![AWS](https://img.shields.io/badge/cloud-AWS-orange) ![焦点](https://img.shields.io/badge/focus-Cloud%20Security-blue) ## 目标 构建一个安全的 AWS 环境并实现: - 安全监控 - 威胁检测 - 警报 - 事件调查 - 安全加固 - 自动化响应 ## 架构 请参阅 [`Architecture/architecture.md`](Architecture/architecture.md) 获取完整的图表和数据流说明。 ``` → AWS Account (EC2, S3) → CloudTrail Logs → GuardDuty IAM Users → Lambda → SNS Alerts → Email Notifications ``` ## 各服务的使用原因 | 服务 | 目的 | 安全风险 | 安全控制 | |---|---|---|---| | EC2 | 计算实例 | 开放端口 | 严格的 Security Groups | | S3 | 存储日志/数据 | 公开暴露 | Block Public Access | | IAM | 访问控制 | 提升权限 | 最小权限 | | Security Groups | 网络过滤 | 暴露服务 | 仅允许必需端口 | | CloudTrail | 审计日志 | 日志篡改 | 日志验证 | | GuardDuty | 威胁检测 | 遗漏的攻击 | 持续监控 | | SNS | 警报 | 响应延迟 | 实时通知 | | Lambda | 自动化 | 函数权限过高 | 最小权限 IAM 角色 | ## 项目阶段 | 阶段 | 主题 | 文档 | |---|---|---| | 1 | 环境设置 (EC2, S3, IAM, Security Groups) | [phase1-environment-setup.md](docs/phases/phase1-environment-setup.md) | | 2 | CloudTrail 日志 | [phase2-cloudtrail-logging.md](docs/phases/phase2-cloudtrail-logging.md) | | 3 | GuardDuty 监控 | [phase3-guardduty-monitoring.md](docs/phases/phase3-guardduty-monitoring.md) | | 4 | S3 配置错误检测 | [phase4-s3-misconfiguration.md](docs/phases/phase4-s3-misconfiguration.md) | | 5 | IAM 提权检测 | [phase5-iam-privilege-escalation.md](docs/phases/phase5-iam-privilege-escalation.md) | | 6 | 未授权 API 请求检测 | [phase6-unauthorized-api-requests.md](docs/phases/phase6-unauthorized-api-requests.md) | | 7 | SNS 警报 | [phase7-sns-alerting.md](docs/phases/phase7-sns-alerting.md) | | 8 | Lambda 自动化 | [phase8-lambda-automation.md](docs/phases/phase8-lambda-automation.md) | | 9 | 安全加固 | [phase9-security-hardening.md](docs/phases/phase9-security-hardening.md) | | 10 | 威胁调查场景 | [phase10-threat-investigation.md](docs/phases/phase10-threat-investigation.md) | | 11 | 经验教训与未来改进 | [phase11-lessons-learned.md](docs/phases/phase11-lessons-learned.md) | ## 仓库结构 ``` aws-security-lab/ │ ├── README.md │ ├── architecture/ │ └── architecture.md │ ├── docs/ │ └── phases/ │ ├── phase1-environment-setup.md │ ├── phase2-cloudtrail-logging.md │ ├── phase3-guardduty-monitoring.md │ ├── phase4-s3-misconfiguration.md │ ├── phase5-iam-privilege-escalation.md │ ├── phase6-unauthorized-api-requests.md │ ├── phase7-sns-alerting.md │ ├── phase8-lambda-automation.md │ ├── phase9-security-hardening.md │ ├── phase10-threat-investigation.md │ └── phase11-lessons-learned.md │ ├── lambda/ │ ├── lambda_function.py │ └── README.md │ └── ScreenShots/ ├── 01-ec2-created.png ├── 02-s3-created.png ├── ... └── 39-s3-block-public-access.png ``` ## 截图 所有证据截图均位于 [`ScreenShots/`](ScreenShots/) 中,按在各阶段中拍摄的顺序编号。每个阶段文档都列出了该阶段所需的精确文件名 —— 在完成每个步骤时,将你自己的截图放入其中。请参阅 [`ScreenShots/README.md`](ScreenShots/README.md) 获取完整清单。 ## 安全加固摘要 | 控制 | 之前 | 之后 | |---|---|---| | S3 | 公开 | 私有 | | IAM | 管理员 | 最小权限 | | Security Group | 开放 SSH | 受限 | | MFA | 禁用 | 启用 | | CloudTrail | 可编辑 | 受保护 | ## 经验教训 请参阅 [phase11-lessons-learned.md](docs/phases/phase11-lessons-learned.md) 获取写作模板 —— 在完成该实验后,填入你自己的心得体会。这是面试中最重要的部分之一。 ## 未来改进 - 使用基础设施即代码 (Terraform/CloudFormation) 实现可重复部署 - 使用 AWS Config 进行持续合规性检查 - Security Hub 自定义洞察和自动修复 playbook - 使用 AWS Organizations 的多账户设置 + 集中式 GuardDuty/Security Hub - 与 SIEM(例如 Splunk、Wazuh 或 OpenSearch)集成以进行日志关联 ### 完成人 #### RUTHRAN-SEC
标签:AMSI绕过, AWS, DPI, GitHub Advanced Security, 威胁检测, 安全加固, 自动化响应, 逆向工具, 速率限制