Sicherheitsüberwachung für AWS CloudHSM - AWS Präskriptive Leitlinien
Schaffung von Krypto-Beauftragten (empfohlen)Erstellung von Krypto-Benutzern (empfohlen)Löschung von Krypto-Beauftragten oder Krypto-Benutzern (empfohlen)Eingabe falscher Benutzernamen (empfohlen)Eingabe falscher Passwörter (empfohlen)Sicherheitsbezogene API-Aufrufe (empfohlen)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsüberwachung für AWS CloudHSM

AWS CloudHSM Sammelt standardmäßig Ihre HSM-Prüfprotokolle und sendet sie in Ihrem Namen an Amazon CloudWatch Logs. Sicherheitsrelevante Ereignisse sind ebenfalls in diesen Protokolldaten enthalten. Wir empfehlen Ihnen, die Protokolle auf sicherheitsrelevante Ereignisse wie das Erstellen oder Löschen bestimmter Benutzertypen oder Anmeldefehler zu überwachen.

Sie können keinen Alarm direkt im Protokollstream erstellen. Zuerst müssen Sie einen Metrikfilter für CloudWatch Logs einrichten, und dann können Sie einen Alarm für den Metrikfilter erstellen.

In diesem Abschnitt wird beschrieben, wie Sie CloudWatch Metrikfilter und Alarme für die folgenden sicherheitsrelevanten Ereignisse in konfigurieren: AWS CloudHSM

In diesem Abschnitt wird auch beschrieben, wie Sie eine EventBridge Amazon-Regel für die folgenden sicherheitsrelevanten Ereignisse in konfigurieren: AWS CloudHSM

Schaffung von Krypto-Beauftragten (empfohlen)

Ein AWS CloudHSM Crypto Officer (CO) kann Benutzerverwaltungsvorgänge durchführen. Sie können beispielsweise Benutzer erstellen und löschen und Benutzerkennwörter ändern. Daher ist es wichtig, die Erstellung neuer Daten zu verfolgen und zu überwachen, COs damit Sie Sicherheitsrisiken wie unbefugten Zugriff oder übermäßig privilegierte Berechtigungen erkennen können.

Die folgende Tabelle zeigt die Konfigurationswerte für den Metrikfilter. Anweisungen zum Einrichten eines Metrikfilters finden Sie in der Protokolldokumentation unter Erstellen eines Metrikfilters für eine Protokollgruppe. CloudWatch

Eigenschaft Wert
Muster

CN_CREATE_CO
Protokollgruppenname <Name der Protokollgruppe für den AWS CloudHSM Cluster>
Metrikname

Event count
Metrischer Namespace <Your custom namespace>
Metrikwert

1

Die folgende Tabelle zeigt die Konfigurationswerte für den Alarm. Anweisungen zur Einrichtung dieses Alarms finden Sie in der Protokolldokumentation unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. CloudWatch

Eigenschaft Wert
Namespace <Custom namespace you created for the metric filter>
Statistik

Maximum
Threshold-Typ

Static
Wann immer die Dauer

Greater/Equal
Als

1

Erstellung von Krypto-Benutzern (empfohlen)

Ein AWS CloudHSM Krypto-Benutzer (CU) kann Schlüsselverwaltungs- und kryptografische Operationen auf dem HSM durchführen. Daher ist es wichtig, die Entstehung neuer Daten zu verfolgen und zu überwachen, CUs damit Sie Sicherheitsrisiken wie die unbefugte Verwendung von Verschlüsselungsschlüsseln oder übermäßig privilegierte Berechtigungen erkennen können.

Die folgende Tabelle zeigt die Konfigurationswerte für den Metrikfilter. Anweisungen zum Einrichten eines Metrikfilters finden Sie in der Protokolldokumentation unter Erstellen eines Metrikfilters für eine Protokollgruppe. CloudWatch

Eigenschaft Wert
Muster

CN_CREATE_USER
Protokollgruppenname <Name der Protokollgruppe für den AWS CloudHSM Cluster>
Metrikname

Event count
Metrischer Namespace <Your custom namespace>
Metrikwert

1

Die folgende Tabelle zeigt die Konfigurationswerte für den Alarm. Anweisungen zur Einrichtung dieses Alarms finden Sie in der Protokolldokumentation unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. CloudWatch

Eigenschaft Wert
Namespace <Custom namespace you created for the metric filter>
Statistik

Maximum
Threshold-Typ

Static
Wann immer die Dauer

Greater/Equal
Als

1

Löschung von Krypto-Beauftragten oder Krypto-Benutzern (empfohlen)

Ähnlich wie bei der Nachverfolgung der Erstellung von COs und ist es wichtig CUs, das Löschen dieser Benutzertypen nachzuverfolgen. Die Nachverfolgung der Benutzerlöschung kann Ihnen dabei helfen, Zugriffsprobleme zu erkennen und potenzielle Sicherheitsverletzungen zu identifizieren.

Die folgende Tabelle zeigt die Konfigurationswerte für den Metrikfilter. Anweisungen zum Einrichten eines Metrikfilters finden Sie in der Protokolldokumentation unter Erstellen eines Metrikfilters für eine Protokollgruppe. CloudWatch

Eigenschaft Wert
Muster

CN_DELETE_USER
Protokollgruppenname <Name der Protokollgruppe für den AWS CloudHSM Cluster>
Metrikname

Event count
Metrischer Namespace <Your custom namespace>
Metrikwert

1

Die folgende Tabelle zeigt die Konfigurationswerte für den Alarm. Anweisungen zur Einrichtung dieses Alarms finden Sie in der Protokolldokumentation unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. CloudWatch

Eigenschaft Wert
Namespace <Custom namespace you created for the metric filter>
Statistik

Maximum
Threshold-Typ

Static
Wann immer die Dauer

Greater/Equal
Als

1

Eingabe falscher Benutzernamen (empfohlen)

Wir empfehlen Ihnen, Anmeldeversuche mit einem falschen Benutzernamen zu überwachen. Diese können darauf hindeuten, dass jemand versucht, sich unbefugten Zugriff zu verschaffen. Um einer Überlastung der Warnmeldungen vorzubeugen, wird der Alarm ausgelöst, wenn ein Benutzer zweimal oder öfter den falschen Benutzernamen eingibt. Sie können diesen Wert nach Bedarf für Ihre Organisation und Ihre Richtlinien konfigurieren.

Die folgende Tabelle zeigt die Konfigurationswerte für den Metrikfilter. Anweisungen zum Einrichten eines Metrikfilters finden Sie in der Protokolldokumentation unter Erstellen eines Metrikfilters für eine Protokollgruppe. CloudWatch

Eigenschaft Wert
Muster

\"Error: This user doesn't exist\"
Protokollgruppenname <Name der Protokollgruppe für den AWS CloudHSM Cluster>
Metrikname

Event count
Metrischer Namespace <Your custom namespace>
Metrikwert

1

Die folgende Tabelle zeigt die Konfigurationswerte für den Alarm. Anweisungen zur Einrichtung dieses Alarms finden Sie in der Protokolldokumentation unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. CloudWatch

Eigenschaft Wert
Namespace <Custom namespace you created for the metric filter>
Statistik

Sum
Threshold-Typ

Static
Wann immer die Dauer

Greater/Equal
Als

2

Eingabe falscher Passwörter (empfohlen)

Wir empfehlen Ihnen, Anmeldeversuche mit einem falschen Passwort zu überwachen. Diese können darauf hindeuten, dass jemand versucht, sich unbefugten Zugriff zu verschaffen. Um einer Übermüdung der Warnmeldungen vorzubeugen, wird der Alarm ausgelöst, wenn ein Benutzer zweimal oder öfter das falsche Passwort eingibt. Sie können diesen Wert nach Bedarf für Ihre Organisation und Ihre Richtlinien konfigurieren.

Die folgende Tabelle zeigt die Konfigurationswerte für den Metrikfilter. Anweisungen zum Einrichten eines Metrikfilters finden Sie in der Protokolldokumentation unter Erstellen eines Metrikfilters für eine Protokollgruppe. CloudWatch

Eigenschaft Wert
Muster

RET_USER_LOGIN_FAILURE
Protokollgruppenname <Name der Protokollgruppe für den AWS CloudHSM Cluster>
Metrikname

Event count
Metrischer Namespace <Your custom namespace>
Metrikwert

1

Die folgende Tabelle zeigt die Konfigurationswerte für den Alarm. Anweisungen zur Einrichtung dieses Alarms finden Sie in der Protokolldokumentation unter Erstellen eines CloudWatch Alarms auf der Grundlage eines Metrikfilters für Protokollgruppen. CloudWatch

Eigenschaft Wert
Namespace <Custom namespace you created for the metric filter>
Statistik

Sum
Threshold-Typ

Static
Wann immer die Dauer

Greater/Equal
Als

2

Sicherheitsbezogene API-Aufrufe (empfohlen)

Durch die Überwachung der ModifyCluster API-Aufrufe für DeleteHsmCopyBackupToRegion, und AWS CloudHSM kann ein kritischer Überblick über Vorgänge mit großer Auswirkung gewährt werden. Diese API-Aufrufe können den Sicherheitsstatus und den Betriebszustand der AWS CloudHSM Infrastruktur verändern.

Durch die Implementierung von Warnmeldungen fast in Echtzeit für diese API-Aufrufe können Sie potenziell unbefugte oder versehentliche Änderungen an und Clustern umgehend erkennen HSMs und darauf reagieren. Alarme informieren über Aktionen, die sich auf die Verfügbarkeit kryptografischer Schlüssel, regionsübergreifende Datenübertragungen oder Clusterkonfigurationen auswirken können. Wachsamkeit ist unerlässlich, um die Integrität und Verfügbarkeit sensibler kryptografischer Operationen aufrechtzuerhalten. Alarme helfen Ihnen dabei, die Sicherheitsrichtlinien einzuhalten, und ermöglichen eine schnelle Reaktion auf Vorfälle. Letztlich verbessert dieser gezielte Überwachungsansatz die allgemeine Sicherheits-Governance Ihrer AWS CloudHSM Ressourcen, da er den Beteiligten zeitnahe Einblicke in kritische Änderungen bietet, die möglicherweise sofortige Aufmerksamkeit oder Überprüfung erfordern.

AWS CloudHSM ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem ausgeführten Aktionen bereitstellt AWS-Service. CloudTrail erfasst alle API-Aufrufe AWS CloudHSM als Ereignisse. In Amazon können Sie eine Regel erstellen EventBridge, die Ereignisse überwacht CloudTrail , die mit den ModifyCluster API-Aufrufen für DeleteHsmCopyBackupToRegion, und verknüpft sind AWS CloudHSM. Sie können ein Ziel konfigurieren, das Benachrichtigungen erhält, wenn das Ereignis eintritt. Wir empfehlen Ihnen, ein Amazon Simple Notification Service (Amazon SNS) -Thema zu konfigurieren, da es Warnmeldungen fast in Echtzeit ermöglicht, wenn diese kritischen Vorgänge ausgeführt werden.

Wenn Sie eine EventBridge Regel erstellen, können Sie den Text anpassen, der an das Regelziel übergeben wird. Der Eingangstransformator extrahiert bestimmte Felder aus dem Ereignis und formatiert sie in einer kurzen, informativen Nachricht. Die daraus resultierende Warnung bietet einen unmittelbaren Kontext zum Ereignis, einschließlich des AWS-Konto spezifischen API-Aufrufs, der Uhrzeit des Ereignisses und der Identität des Benutzers, der die Aktion ausgeführt hat. AWS-Region

Um die EventBridge Regel zu erstellen

  1. Folgen Sie den Anweisungen unter Regel definieren, um einen benutzerdefinierten Namen und eine Beschreibung für Ihre Regel einzugeben.

  2. Folgen Sie den Anweisungen unter Erstellen des Ereignismusters. Wählen Sie Benutzerdefiniertes Muster (JSON-Editor) und geben Sie dann das folgende Ereignismuster ein:

    {
    "source": ["aws.cloudhsm"],
    "detail-type": ["AWS API Call via CloudTrail"],
    "detail": {
        "eventSource": ["cloudhsm.amazonaws.com"],
        "eventName": ["DeleteHsm", "CopyBackupToRegion", "ModifyCluster"]
    }
}

  3. Folgen Sie den Anweisungen unter Ziele auswählen und beachten Sie dabei Folgendes:

    1. Wählen Sie das Amazon SNS SNS-Thema aus, das Ereignisse empfängt, die dem angegebenen Muster entsprechen.

    2. Wählen Sie unter Zusätzliche Einstellungen für Zieleingabe konfigurieren die Option Eingangstransformator aus.

    3. Wählen Sie Configure input transformer (Eingabetransformator konfigurieren).

    4. Geben Sie im Feld Eingabepfad Folgendes ein:

      {
    "account": "$.account",
    "region": "$.region",
    "eventName": "$.detail.eventName",
    "eventTime": "$.detail.eventTime",
    "userIdentity": "$.detail.userIdentity.arn"
}

    5. Geben Sie im Feld Vorlage Folgendes ein:

      {
    "account": <account>,
    "region": <region>,
    "message": "Critical AWS CloudHSM operation detected: <eventName> was performed at <eventTime> by <userIdentity>"
}

  4. Folgen Sie den Anweisungen unter Tags konfigurieren und Regel überprüfen, um die Erstellung der Regel abzuschließen.