Übersicht Voraussetzungen und Einschränkungen Architektur Tools Epen Zugehörige Ressourcen Anlagen

Automatisches Reaktivieren CloudTrail von AWS mithilfe einer benutzerdefinierten Behebungsregel in AWS Config

Erstellt von Manigandan Shri (AWS)

Umgebung: Produktion

Technologien: Infrastruktur; Betrieb; Sicherheit, Identität, Compliance

AWS-Services: Amazon S3; AWS Config; AWS KMS; AWS Identity and Access Management; AWS Systems Manager; AWS CloudTrail

Übersicht

Der Überblick über die Aktivitäten in Ihrem Amazon Web Services (AWS) -Konto ist eine wichtige bewährte Methode für Sicherheit und Betrieb. AWS CloudTrail unterstützt Sie bei der Verwaltung, Einhaltung von Vorschriften sowie bei der Betriebs- und Risikoprüfung Ihres Kontos.

Um sicherzustellen, dass dies in Ihrem Konto aktiviert CloudTrail bleibt, stellt AWS Config die cloudtrail-enabled verwaltete Regel bereit. Wenn sie deaktiviert CloudTrail ist, aktiviert die cloudtrail-enabled Regel sie mithilfe der automatischen Problembehebung automatisch wieder.

Sie müssen jedoch sicherstellen, dass Sie die bewährten Sicherheitsmethoden für den Fall befolgen, dass CloudTrail Sie die automatische Problembehebung verwenden. Zu diesen bewährten Methoden gehören die Aktivierung CloudTrail in allen AWS-Regionen, das Protokollieren von Lese- und Schreib-Workloads, das Aktivieren von Erkenntnissen und das Verschlüsseln von Protokolldateien mit serverseitiger Verschlüsselung mithilfe von verwalteten Schlüsseln (SSE-KMS) von AWS Key Management Service (AWS KMS).

Dieses Muster hilft Ihnen dabei, diese bewährten Sicherheitsmethoden zu befolgen, indem es eine benutzerdefinierte Abhilfemaßnahme bereitstellt, die in Ihrem Konto automatisch wieder aktiviert wird. CloudTrail

Wichtig: Wir empfehlen die Verwendung von Service Control Policies (SCPs), um jegliche Manipulation zu verhindern. CloudTrail Weitere Informationen dazu finden Sie im AWS-Sicherheitsblog im CloudTrail Abschnitt Verhinderung von Manipulationen mit AWS Organizations, um Sicherheit in großem Umfang zu vereinfachen.

Voraussetzungen und Einschränkungen

Voraussetzungen

Ein aktives AWS-Konto
Berechtigungen zum Erstellen eines AWS Systems Manager Automation Automation-Runbooks
Ein vorhandener Trail für Ihr Konto

Einschränkungen

Dieses Muster unterstützt die folgenden Aktionen nicht:

Einen Amazon Simple Storage Service (Amazon S3) -Präfixschlüssel für den Speicherort einrichten
In einem Amazon Simple Notification Service (Amazon SNS) -Thema veröffentlichen
Konfiguration von Amazon CloudWatch Logs zur Überwachung Ihrer CloudTrail Logs

Architektur

Workflow zur erneuten Aktivierung CloudTrail von AWS mithilfe einer benutzerdefinierten Behebungsregel in AWS Config

Technologie-Stack

AWS Config
CloudTrail
Systems Manager
Systems Manager Automation

Tools

AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem Konto.
AWS CloudTrail unterstützt Sie dabei, die Unternehmensführung, die Einhaltung von Vorschriften sowie die Betriebs- und Risikoprüfung Ihres Kontos zu ermöglichen.
AWS Key Management Service (AWS KMS) ist ein Verschlüsselungs- und Schlüsselverwaltungsservice.
Mit AWS Systems Manager können Sie Ihre Infrastruktur auf AWS anzeigen und steuern.
AWS Systems Manager Automation vereinfacht allgemeine Wartungs- und Bereitstellungsaufgaben von Amazon Elastic Compute Cloud (Amazon EC2) -Instances und anderen AWS-Ressourcen.
Amazon Simple Storage Service (Amazon S3) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.

Code

Die cloudtrail-remediation-action.yml-Datei (angehängt) hilft Ihnen, ein Systems Manager Automation-Runbook zu erstellen, das Sie CloudTrail mithilfe bewährter Sicherheitsmethoden einrichten und erneut aktivieren können.

Epen

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie einen S3-Bucket.	Melden Sie sich bei der AWS-Managementkonsole an, öffnen Sie die Amazon S3 S3-Konsole und erstellen Sie dann einen S3-Bucket zum Speichern der CloudTrail Protokolle. Weitere Informationen finden Sie unter Erstellen eines S3-Buckets in der Amazon S3 S3-Dokumentation.	Systemadministrator
Fügen Sie eine Bucket-Richtlinie hinzu, um CloudTrail die Übermittlung von Protokolldateien an den S3-Bucket zu ermöglichen.	CloudTrail muss über die erforderlichen Berechtigungen verfügen, um Protokolldateien an Ihren S3-Bucket zu liefern. Wählen Sie in der Amazon S3 S3-Konsole den S3-Bucket aus, den Sie zuvor erstellt haben, und wählen Sie dann Permissions aus. Erstellen Sie eine S3-Bucket-Richtlinie, indem Sie die Amazon S3 S3-Bucket-Richtlinie für CloudTrail aus der CloudTrail Dokumentation verwenden. Schritte zum Hinzufügen einer Richtlinie zu einem S3-Bucket finden Sie unter Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole in der Amazon S3 S3-Dokumentation. Wichtig: Wenn Sie bei der Erstellung Ihres Trails in ein Präfix angegeben haben CloudTrail, stellen Sie sicher, dass Sie es in die S3-Bucket-Richtlinie aufnehmen. Das Präfix ist eine optionale Ergänzung zum S3-Objektschlüssel, die eine ordnerähnliche Organisation in Ihrem S3-Bucket erstellt. Weitere Informationen dazu finden Sie in der Dokumentation unter Creating a trail. CloudTrail	Systemadministrator
Erstellen eines KMS-Schlüssels.	Erstellen Sie einen AWS-KMS-Schlüssel CloudTrail zum Verschlüsseln von Objekten, bevor Sie sie dem S3-Bucket hinzufügen. Hilfe zu dieser Geschichte finden Sie in der Dokumentation unter Verschlüsseln von CloudTrail Protokolldateien mit verwalteten AWS-KMS-Schlüsseln (SSE-KMS). CloudTrail	Systemadministrator
Fügen Sie dem KMS-Schlüssel eine Schlüsselrichtlinie hinzu.	Fügen Sie eine KMS-Schlüsselrichtlinie hinzu, um die Verwendung des KMS-Schlüssels CloudTrail zu ermöglichen. Hilfe zu dieser Geschichte finden Sie in der Dokumentation unter Verschlüsseln von CloudTrail Protokolldateien mit von AWS KMS verwalteten Schlüsseln (SSE-KMS). CloudTrail Wichtig: Erfordert keine Berechtigungen. CloudTrail `Decrypt`	Systemadministrator
AssumeRole Runbook für Systems Manager erstellen	Erstellen Sie ein `AssumeRole` für Systems Manager Automation, um das Runbook auszuführen. Anweisungen und weitere Informationen dazu finden Sie unter Automatisierung einrichten in der Systems Manager Manager-Dokumentation.	Systemadministrator

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie das Systems Manager Automation-Runbook.	Verwenden Sie die `cloudtrail-remediation-action.yml` Datei (angehängt), um das Systems Manager Automation-Runbook zu erstellen. Weitere Informationen dazu finden Sie unter Systems Manager Manager-Dokumente erstellen in der Systems Manager Manager-Dokumentation.	Systemadministrator
Testen Sie das Runbook.	Testen Sie auf der Systems Manager-Konsole das Systems Manager Automation-Runbook, das Sie zuvor erstellt haben. Weitere Informationen dazu finden Sie in der Systems Manager Manager-Dokumentation unter Ausführen einer einfachen Automatisierung.	Systemadministrator

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Fügen Sie die CloudTrail -aktivierte Regel hinzu.	Wählen Sie in der AWS Config-Konsole Regeln und dann Regel hinzufügen aus. Klicken Sie auf der Seite Add Rule (Regel hinzufügen) auf Add Custom Rule (Benutzerdefinierte Regel hinzufügen). Geben Sie auf der Seite „Regel konfigurieren“ einen Namen und eine Beschreibung ein und fügen Sie die `cloudtrail-enabled` Regel hinzu. Weitere Informationen finden Sie unter Verwaltung Ihrer AWS Config-Regeln in der AWS Config-Dokumentation.	Systemadministrator
Fügen Sie die automatische Behebungsaktion hinzu.	Wählen Sie in der Dropdown-Liste Aktionen die Option Behebung verwalten aus. Wählen Sie Automatische Korrektur und dann das Systems Manager Manager-Runbook aus, das Sie zuvor erstellt haben. Die folgenden Eingabeparameter sind erforderlich für: CloudTrail `CloudTrailName` `CloudTrailS3BucketName` `CloudTrailKmsKeyId` `AssumeRole` (optional) Die folgenden Eingabeparameter sind standardmäßig auf true gesetzt: `IsMultiRegionTrail` `IsOrganizationTrail` `IncludeGlobalServiceEvents` `EnableLogFileValidation` Behalten Sie die Standardwerte für die Parameter Rate Limits und Resource ID bei. Wählen Sie Speichern. Weitere Informationen finden Sie unter Behebung nicht konformer AWS-Ressourcen mit AWS Config-Regeln in der AWS Config-Dokumentation.	Systemadministrator
Testen Sie die automatische Behebungsregel.	Um die automatische Behebungsregel zu testen, öffnen Sie die CloudTrail Konsole, wählen Sie Trails und dann den Trail aus. Wählen Sie Protokollierung beenden, um die Protokollierung für den Trail zu deaktivieren. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Protokollierung beenden. CloudTrail beendet die Protokollierung der Aktivitäten für diesen Trail. Folgen Sie den Anweisungen unter Evaluieren Ihrer Ressourcen in der AWS Config-Dokumentation, um sicherzustellen, dass diese automatisch wieder aktiviert CloudTrail wurden.	Systemadministrator

Fügen Sie die CloudTrail -aktivierte Regel hinzu.

Wählen Sie in der AWS Config-Konsole Regeln und dann Regel hinzufügen aus. Klicken Sie auf der Seite Add Rule (Regel hinzufügen) auf Add Custom Rule (Benutzerdefinierte Regel hinzufügen). Geben Sie auf der Seite „Regel konfigurieren“ einen Namen und eine Beschreibung ein und fügen Sie die cloudtrail-enabled Regel hinzu. Weitere Informationen finden Sie unter Verwaltung Ihrer AWS Config-Regeln in der AWS Config-Dokumentation.

Systemadministrator

Fügen Sie die automatische Behebungsaktion hinzu.

Wählen Sie in der Dropdown-Liste Aktionen die Option Behebung verwalten aus. Wählen Sie Automatische Korrektur und dann das Systems Manager Manager-Runbook aus, das Sie zuvor erstellt haben.

Die folgenden Eingabeparameter sind erforderlich für: CloudTrail

CloudTrailName
CloudTrailS3BucketName
CloudTrailKmsKeyId
AssumeRole (optional)

Die folgenden Eingabeparameter sind standardmäßig auf true gesetzt:

IsMultiRegionTrail
IsOrganizationTrail
IncludeGlobalServiceEvents
EnableLogFileValidation

Behalten Sie die Standardwerte für die Parameter Rate Limits und Resource ID bei. Wählen Sie Speichern.

Weitere Informationen finden Sie unter Behebung nicht konformer AWS-Ressourcen mit AWS Config-Regeln in der AWS Config-Dokumentation.

Systemadministrator

Testen Sie die automatische Behebungsregel.

Um die automatische Behebungsregel zu testen, öffnen Sie die CloudTrail Konsole, wählen Sie Trails und dann den Trail aus. Wählen Sie Protokollierung beenden, um die Protokollierung für den Trail zu deaktivieren. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie Protokollierung beenden. CloudTrail beendet die Protokollierung der Aktivitäten für diesen Trail.

Folgen Sie den Anweisungen unter Evaluieren Ihrer Ressourcen in der AWS Config-Dokumentation, um sicherzustellen, dass diese automatisch wieder aktiviert CloudTrail wurden.

Systemadministrator

Zugehörige Ressourcen

Konfigurieren CloudTrail

Das Systems Manager Automation-Runbook erstellen und testen

Richten Sie die automatische Behebungsregel in AWS Config ein

Weitere Ressourcen

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatisieren Sie Sicherheitsscans für kontoübergreifende Workloads mit Amazon Inspector

Automatisches Korrigieren unverschlüsselter Amazon RDS-DB-Instances und -Cluster