RUTHRAN-SEC/Cloud-Security-Monitoring-Hardening-in-AWS
GitHub: RUTHRAN-SEC/Cloud-Security-Monitoring-Hardening-in-AWS
该项目是一个 AWS 云安全监控与加固的实操实验,演示了威胁检测、事件调查、自动告警和安全加固的完整流程。
Stars: 0 | Forks: 0
# AWS 云安全监控与加固
一个实操性的 AWS 安全实验,展示了环境设置、审计日志、威胁检测、警报、事件调查、安全加固和自动化响应,旨在用于在 GitHub、LinkedIn、简历上展示,并在面试中讨论。



## 目标
构建一个安全的 AWS 环境并实现:
- 安全监控
- 威胁检测
- 警报
- 事件调查
- 安全加固
- 自动化响应
## 架构
请参阅 [`Architecture/architecture.md`](Architecture/architecture.md) 获取完整的图表和数据流说明。
```
→ AWS Account (EC2, S3) → CloudTrail Logs → GuardDuty
IAM Users
→ Lambda → SNS Alerts → Email Notifications
```
## 各服务的使用原因
| 服务 | 目的 | 安全风险 | 安全控制 |
|---|---|---|---|
| EC2 | 计算实例 | 开放端口 | 严格的 Security Groups |
| S3 | 存储日志/数据 | 公开暴露 | Block Public Access |
| IAM | 访问控制 | 提升权限 | 最小权限 |
| Security Groups | 网络过滤 | 暴露服务 | 仅允许必需端口 |
| CloudTrail | 审计日志 | 日志篡改 | 日志验证 |
| GuardDuty | 威胁检测 | 遗漏的攻击 | 持续监控 |
| SNS | 警报 | 响应延迟 | 实时通知 |
| Lambda | 自动化 | 函数权限过高 | 最小权限 IAM 角色 |
## 项目阶段
| 阶段 | 主题 | 文档 |
|---|---|---|
| 1 | 环境设置 (EC2, S3, IAM, Security Groups) | [phase1-environment-setup.md](docs/phases/phase1-environment-setup.md) |
| 2 | CloudTrail 日志 | [phase2-cloudtrail-logging.md](docs/phases/phase2-cloudtrail-logging.md) |
| 3 | GuardDuty 监控 | [phase3-guardduty-monitoring.md](docs/phases/phase3-guardduty-monitoring.md) |
| 4 | S3 配置错误检测 | [phase4-s3-misconfiguration.md](docs/phases/phase4-s3-misconfiguration.md) |
| 5 | IAM 提权检测 | [phase5-iam-privilege-escalation.md](docs/phases/phase5-iam-privilege-escalation.md) |
| 6 | 未授权 API 请求检测 | [phase6-unauthorized-api-requests.md](docs/phases/phase6-unauthorized-api-requests.md) |
| 7 | SNS 警报 | [phase7-sns-alerting.md](docs/phases/phase7-sns-alerting.md) |
| 8 | Lambda 自动化 | [phase8-lambda-automation.md](docs/phases/phase8-lambda-automation.md) |
| 9 | 安全加固 | [phase9-security-hardening.md](docs/phases/phase9-security-hardening.md) |
| 10 | 威胁调查场景 | [phase10-threat-investigation.md](docs/phases/phase10-threat-investigation.md) |
| 11 | 经验教训与未来改进 | [phase11-lessons-learned.md](docs/phases/phase11-lessons-learned.md) |
## 仓库结构
```
aws-security-lab/
│
├── README.md
│
├── architecture/
│ └── architecture.md
│
├── docs/
│ └── phases/
│ ├── phase1-environment-setup.md
│ ├── phase2-cloudtrail-logging.md
│ ├── phase3-guardduty-monitoring.md
│ ├── phase4-s3-misconfiguration.md
│ ├── phase5-iam-privilege-escalation.md
│ ├── phase6-unauthorized-api-requests.md
│ ├── phase7-sns-alerting.md
│ ├── phase8-lambda-automation.md
│ ├── phase9-security-hardening.md
│ ├── phase10-threat-investigation.md
│ └── phase11-lessons-learned.md
│
├── lambda/
│ ├── lambda_function.py
│ └── README.md
│
└── ScreenShots/
├── 01-ec2-created.png
├── 02-s3-created.png
├── ...
└── 39-s3-block-public-access.png
```
## 截图
所有证据截图均位于 [`ScreenShots/`](ScreenShots/) 中,按在各阶段中拍摄的顺序编号。每个阶段文档都列出了该阶段所需的精确文件名 —— 在完成每个步骤时,将你自己的截图放入其中。请参阅 [`ScreenShots/README.md`](ScreenShots/README.md) 获取完整清单。
## 安全加固摘要
| 控制 | 之前 | 之后 |
|---|---|---|
| S3 | 公开 | 私有 |
| IAM | 管理员 | 最小权限 |
| Security Group | 开放 SSH | 受限 |
| MFA | 禁用 | 启用 |
| CloudTrail | 可编辑 | 受保护 |
## 经验教训
请参阅 [phase11-lessons-learned.md](docs/phases/phase11-lessons-learned.md) 获取写作模板 —— 在完成该实验后,填入你自己的心得体会。这是面试中最重要的部分之一。
## 未来改进
- 使用基础设施即代码 (Terraform/CloudFormation) 实现可重复部署
- 使用 AWS Config 进行持续合规性检查
- Security Hub 自定义洞察和自动修复 playbook
- 使用 AWS Organizations 的多账户设置 + 集中式 GuardDuty/Security Hub
- 与 SIEM(例如 Splunk、Wazuh 或 OpenSearch)集成以进行日志关联
### 完成人
#### RUTHRAN-SEC
标签:AMSI绕过, AWS, DPI, GitHub Advanced Security, 威胁检测, 安全加固, 自动化响应, 逆向工具, 速率限制