Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatice la remediación de los AWS hallazgos estándar de Security Hub
Creado por Chandini Penmetsa (AWS) y Aromal Raj Jayarajan () AWS
Entorno: producción | Tecnologías: seguridad, identidad, conformidad | Carga de trabajo: todas las demás cargas de trabajo |
AWSservicios: Amazon AWS CloudFormation CloudWatch; AWS Lambda; AWS Security Hub; Amazon SNS |
Resumen
Con AWS Security Hub, puede habilitar las comprobaciones de las mejores prácticas estándar, como las siguientes:
Prácticas recomendadas de seguridad básica de AWS
CISAWSPunto de referencia de fundamentos
Estándar de seguridad de datos de la industria de tarjetas de pago (PCIDSS)
Cada uno de estos estándares tiene controles predefinidos. Security Hub comprueba el control de una AWS cuenta determinada e informa de los resultados.
AWSSecurity Hub envía todos los resultados a Amazon de forma EventBridge predeterminada. Este patrón proporciona un control de seguridad que implementa una EventBridge regla para identificar los hallazgos estándar de las mejores prácticas de seguridad AWS fundamentales. La regla identifica los siguientes hallazgos para el escalado automático, las nubes privadas virtuales (VPCs), Amazon Elastic Block Store (AmazonEBS) y Amazon Relational Database Service (RDSAmazon) AWS del estándar Foundational Security Best Practices:
[AutoScaling.1] Los grupos de Auto Scaling asociados a un balanceador de cargas deben usar comprobaciones de estado del balanceador de cargas
[EC2.2] El grupo de seguridad VPC predeterminado no debe permitir el tráfico entrante ni saliente
[EC2.6] El registro VPC de flujo debe estar habilitado en todos VPCs
[EC2.7] El cifrado EBS predeterminado debe estar activado
[RDS.1] las RDS instantáneas deben ser privadas
[RDS.6] Se debe configurar una supervisión mejorada para las RDS instancias y los clústeres de bases de datos
[RDS.7] los RDS clústeres deben tener habilitada la protección contra la eliminación
La EventBridge regla reenvía estos resultados a una función AWS Lambda, que corrige el hallazgo. A continuación, la función Lambda envía una notificación con información de corrección a un tema de Amazon Simple Notification Service (AmazonSNS).
Requisitos previos y limitaciones
Requisitos previos
Una cuenta activa AWS
Una dirección de correo electrónico en la que se desee recibir la notificación de la corrección
Security Hub y AWS Config están habilitados en la AWS región en la que pretende implementar el control
Un bucket de Amazon Simple Storage Service (Amazon S3) en la misma región que el control para cargar el código Lambda AWS
Limitaciones
Este control de seguridad corrige automáticamente los nuevos resultados notificados después de la implementación del control de seguridad. Para corregir los resultados existentes, selecciónelos manualmente en la consola de Security Hub. A continuación, en Acciones, seleccione la acción AFSBPRemedypersonalizada que creó como parte de la implementación. AWS CloudFormation
Este control de seguridad es regional y debe implementarse en las AWS regiones que desee supervisar.
Para la solución EC2 .6, para habilitar los registros de VPC flujo, se creará un grupo de CloudWatch registros de Amazon Logs con el formato//VpcFlowLogs/vpc_id. Si existe un grupo de registros con el mismo nombre, se utilizará el grupo de registros existente.
Para la solución EC2 .7, para habilitar el cifrado EBS predeterminado de Amazon, se utiliza la AWS clave predeterminada del Servicio de administración de claves (AWSKMS). Este cambio impide el uso de determinadas instancias que no admiten el cifrado.
Arquitectura
Pila de tecnología de destino
Función de Lambda
SNSTema de Amazon
EventBridge regla
AWSFunciones de Identity and Access Management (IAM) para la función Lambda, los registros de VPC flujo y la supervisión mejorada del Amazon Relational Database Service (Amazon) RDS
Arquitectura de destino
Automatizar y escalar
Si utiliza AWS Organizations, puede utilizarla AWS CloudFormation StackSetspara implementar esta plantilla en varias cuentas que desee que supervise.
Herramientas
Herramientas
AWS CloudFormation— AWS CloudFormation es un servicio que le ayuda a modelar y configurar AWS recursos mediante el uso de la infraestructura como código.
EventBridge— Amazon EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones de software como servicio (SaaS) y AWS servicios, y dirige esos datos a destinos como las funciones Lambda.
Lambda: AWS Lambda admite la ejecución de código sin aprovisionar ni administrar servidores.
Amazon S3: Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos altamente escalable que se puede utilizar para una amplia gama de soluciones de almacenamiento, incluyendo sitios web, aplicaciones móviles, copias de seguridad y lagos de datos.
Amazon SNS: Amazon Simple Notification Service (AmazonSNS) coordina y gestiona la entrega o el envío de mensajes entre editores y clientes, incluidos los servidores web y las direcciones de correo electrónico. Los suscriptores reciben todos los mensajes publicados de los temas a los que están suscritos y todos los suscriptores de un tema reciben los mismos mensajes.
Prácticas recomendadas
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Defina el bucket de S3. | En la consola de Amazon S3, seleccione o cree un bucket de S3 con un nombre único que no contenga barras diagonales iniciales. El nombre de un bucket de S3 es único a nivel mundial y todas AWS las cuentas comparten el espacio de nombres. Su bucket de S3 debe estar en la misma región de que los resultados de Security Hub que se están evaluando. | Arquitecto de la nube |
Cargue el código de Lambda en el bucket de S3. | Cargue el archivo .zip de código de Lambda que se proporciona en la sección «Adjuntos» en el bucket de S3 definido. | Arquitecto de la nube |
Implemente la plantilla AWS CloudFormation . | Implemente la AWS CloudFormation plantilla que se proporciona como adjunto a este patrón. En la siguiente épica, proporcione los valores de los parámetros. | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Proporcione el nombre del bucket de S3. | Escriba el nombre del bucket de S3 que ha creado en la primera épica. | Arquitecto de la nube |
Proporcione el prefijo de Amazon S3. | Proporcione la ubicación del archivo .zip del código de Lambda en su bucket de S3, sin barras diagonales iniciales (por ejemplo, <directory>/<file-name>.zip). | Arquitecto de la nube |
Proporcione el SNS temaARN. | Proporcione el SNS tema Amazon Resource Name (ARN) si desea utilizar un SNS tema existente para las notificaciones de corrección. Para usar un SNS tema nuevo, mantenga el valor como «Ninguno» (el valor predeterminado). | Arquitecto de la nube |
Proporcione una dirección de correo electrónico. | Indique una dirección de correo electrónico en la que desee recibir las notificaciones de corrección (solo es necesaria cuando desee AWS CloudFormation crear el SNS tema). | Arquitecto de la nube |
Defina el nivel de registro. | Defina el nivel y la frecuencia de registro de la función de Lambda. «Info» designa mensajes informativos detallados sobre el progreso de la aplicación. «Error» designa eventos de error que permiten que la aplicación siga ejecutándose. «Warning» designa situaciones potencialmente peligrosas. | Arquitecto de la nube |
Proporcione la IAM función ARN de registros de VPC flujo. | Proporcione la IAM función ARN que se utilizará para los registros VPC de flujo. (Si se introduce «Ninguno» como entrada, AWS CloudFormation crea un IAM rol y lo usa). | Arquitecto de la nube |
Proporcione la IAM función de supervisión RDS mejoradaARN. | Proporcione la IAM función ARN que se utilizará para la supervisión RDS mejorada. (Si se introduce «Ninguno», AWS CloudFormation crea un IAM rol y lo usa). | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Confirma la SNS suscripción a Amazon. | Cuando la plantilla se implementa correctamente, si se ha creado un SNS tema nuevo, se envía un mensaje de suscripción a la dirección de correo electrónico que has proporcionado. Para recibir notificaciones de corrección se debe confirmar este mensaje de correo electrónico de suscripción. | Arquitecto de la nube |
Recursos relacionados
Conexiones
Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip
