CSPM 雲端安全態勢管理

Vibe Prompt

「幫我設定 AWS Config Rules 自動檢查:S3 是否開放公開存取、EBS 是否加密、RDS 是否公開。」

AWS Config Rules

import * as config from 'aws-cdk-lib/aws-config';

// S3 檢查
new config.ManagedRule(this, 'S3PublicRead', {
  identifier: config.ManagedRuleIdentifiers.S3_BUCKET_PUBLIC_READ_PROHIBITED,
});

new config.ManagedRule(this, 'S3PublicWrite', {
  identifier: config.ManagedRuleIdentifiers.S3_BUCKET_PUBLIC_WRITE_PROHIBITED,
});

// EBS 加密檢查
new config.ManagedRule(this, 'EbsEncryption', {
  identifier: config.ManagedRuleIdentifiers.ENCRYPTED_VOLUMES,
});

// RDS 公開存取檢查
new config.ManagedRule(this, 'RdsPublic', {
  identifier: config.ManagedRuleIdentifiers.RDS_INSTANCE_PUBLIC_ACCESS_CHECK,
});

// IAM 檢查
new config.ManagedRule(this, 'IamUserNoPolicy', {
  identifier: config.ManagedRuleIdentifiers.IAM_USER_NO_POLICIES_CHECK,
});

常見檢查項目

| 資源 | 檢查 | |------|------| | S3 | 是否公開、是否加密、是否版本控制 | | RDS | 是否公開、是否加密、備份是否啟用 | | EC2 | 是否使用 IMDSv2、SG 是否過於寬鬆 | | IAM | 是否有未使用的權限、是否啟用 MFA | | Lambda | 是否允許公開存取、執行角色是否最小權限 |

AWS Security Hub 整合

Security Hub
├── AWS Config Rules (合規檢查)
├── GuardDuty (威脅偵測)
├── Inspector (漏洞掃描)
├── Macie (敏感資料發現)
└── 第三方整合 (Prowler, ScoutSuite, Pacu)

自動修復

// 自動修復:S3 公開存取 → 自動阻擋
new config.RemediationConfiguration(this, 'RemediateS3Public', {
  targetType: config.RemediationTargetType.SSM_DOCUMENT,
  targetId: 'AWS-DisableS3BucketPublicReadWrite',
  parameters: [
    { name: 'BucketName', resourceValue: 'RESOURCE_ID' },
  ],
  automatic: true,
  executionControls: {
    ssmControls: { maxExecutionRate: 10, errorPercentage: 10 },
  },
});

工具

| 工具 | 描述 | |------|------| | AWS Security Hub | 內建 CSPM | | Prowler | 開源 AWS/ Azure/ GCP 安全評估 | | ScoutSuite | 開源多雲端安全稽核 | | Checkov | IaC 安全掃描 |

本章總結

  • 理解核心概念與原理
  • 掌握實作方法與技巧
  • 熟悉常見問題與解決方案
  • 能夠應用於實際專案

延伸閱讀

  • 官方文件與 API 參考
  • GitHub 開源專案範例
  • 相關技術書籍與課程
  • 社群討論與技術部落格

實作範例

基礎範例

# 本節提供一個完整的實作範例
# 讓你能夠將所學應用到實際專案中

步驟說明

  1. 初始化:設定開發環境與必要工具
  2. 資料準備:收集與整理所需資料
  3. 核心實作:實作主要功能與邏輯
  4. 測試驗證:確保功能正確運作
  5. 最佳化:調整效能與使用者體驗

常見錯誤

| 錯誤類型 | 可能原因 | 解決方法 | |---------|---------|---------| | 編譯錯誤 | 語法問題 | 檢查程式碼語法 | | 執行錯誤 | 環境問題 | 確認相依套件已安裝 | | 邏輯錯誤 | 演算法問題 | 逐步除錯與測試 | | 效能問題 | 效率問題 | 使用效能分析工具 |

程式碼範例

# 範例程式碼
import sys

def main():
    # 主程式邏輯
    print("Hello, World!")

if __name__ == "__main__":
    main()

相關資源

  • 官方文件
  • API 參考手冊
  • 開源專案範例
  • 技術社群討論

完全なチュートリアルをロック解除

このチャプターは有料コンテンツです。プロジェクトに参加して、10以上の神レベルのPromptや実際のソースコード例を含む、5000字以上の深い分析をロック解除してください!