AWS - Trusted Advisor Enum

AWS - Trusted Advisor Enum

AWS Trusted Advisor 概述

Trusted Advisor 是一个服务，提供优化您的AWS账户的建议，符合 AWS 最佳实践。它是一个跨多个区域运行的服务。Trusted Advisor 在四个主要类别中提供见解：

1. 成本优化： 建议如何重组资源以减少费用。

2. 性能： 识别潜在的性能瓶颈。

3. 安全性： 扫描漏洞或弱安全配置。

4. 容错能力： 建议增强服务的弹性和容错能力的实践。

Trusted Advisor 的全面功能仅适用于 AWS 商业或企业支持计划。没有这些计划，访问仅限于 六个核心检查，主要关注性能和安全性。

通知和数据刷新

• Trusted Advisor 可以发出警报。

• 可以从其检查中排除项目。

• 数据每 24 小时刷新一次。然而，可以在上次刷新后 5 分钟内进行手动刷新。

检查细分

核心类别

1. 成本优化

2. 安全性

3. 容错能力

4. 性能

5. 服务限制

6. S3 存储桶权限

核心检查

仅限于没有商业或企业支持计划的用户：

1. 安全组 - 特定端口未受限

2. IAM 使用

3. 根帐户上的 MFA

4. EBS 公共快照

5. RDS 公共快照

6. 服务限制

安全检查

主要关注识别和纠正安全威胁的检查列表：

• 高风险端口的安全组设置

• 安全组未受限访问

• 对 S3 存储桶的开放写入/列表访问

• 根帐户上启用 MFA

• RDS 安全组权限

• CloudTrail 使用

• Route 53 MX 记录的 SPF 记录

• ELB 上的 HTTPS 配置

• ELB 的安全组

• CloudFront 的证书检查

• IAM 访问密钥轮换（90 天）

• 访问密钥的暴露（例如，在 GitHub 上）

• EBS 或 RDS 快照的公开可见性

• 弱或缺失的 IAM 密码策略

AWS Trusted Advisor 是一个关键工具，根据建立的最佳实践，确保AWS服务的优化、性能、安全性和容错能力。

参考资料

• https://cloudsecdocs.com/aws/services/logging/other/#trusted-advisor