Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados Conexiones

Automatice los escaneos de seguridad para cargas de trabajo entre cuentas mediante Amazon Inspector y AWS Security Hub

Creado por Ramya Pulipaka (AWS) y Mikesh Khanal () AWS

Entorno: producción

Tecnologías: seguridad, identidad, conformidad; administración y gobierno

AWSservicios: Amazon Inspector; AmazonSNS; AWS Lambda; AWS Security Hub; Amazon CloudWatch

Resumen

Este patrón describe cómo buscar automáticamente vulnerabilidades en las cargas de trabajo entre cuentas en la nube de Amazon Web Services (AWS).

El patrón ayuda a crear una programación para los escaneos basados en el host de las instancias de Amazon Elastic Compute Cloud (AmazonEC2) agrupadas por etiquetas o para los escaneos de Amazon Inspector basados en la red. Una AWS CloudFormation pila despliega todos los AWS recursos y servicios necesarios en sus cuentas. AWS

Las conclusiones de Amazon Inspector se exportan a AWS Security Hub y proporcionan información sobre las vulnerabilidades en sus cuentas, AWS regiones, nubes privadas virtuales (VPCs) e EC2 instancias. Puedes recibir estas conclusiones por correo electrónico o puedes crear un tema de Amazon Simple Notification Service (AmazonSNS) que utilice un HTTP punto final para enviar las conclusiones a herramientas de venta de entradas, software de gestión de eventos e información de seguridad (SIEM) u otras soluciones de seguridad de terceros.

Requisitos previos y limitaciones

Requisitos previos

Una dirección de correo electrónico existente para recibir notificaciones por correo electrónico de AmazonSNS.
Un HTTP terminal existente utilizado por herramientas de venta de entradas, SIEM software u otras soluciones de seguridad de terceros.
AWSCuentas activas que alojan cargas de trabajo entre cuentas, incluida una cuenta de auditoría central.
Security Hub, habilitado y configurado. Puede usar este patrón sin Security Hub, pero le recomendamos usar Security Hub por la información que genera. Para obtener más información, consulte Configuración del Security Hub en la documentación del AWS Security Hub.
Debe haber instalado un agente de Amazon Inspector en cada EC2 instancia que desee escanear. Puede instalar el agente de Amazon Inspector en varias EC2 instancias mediante el comando Run de AWS Systems Manager.

Habilidades

Experiencia en el uso de conjuntos de pilas self-managed y service-managed permisos para ellos AWS CloudFormation. Si quiere usar self-managed los permisos para implementar instancias apiladas en cuentas específicas en regiones específicas, debe crear las funciones de AWS Identity and Access Management (IAM) requeridas. Si quieres usar service-managed los permisos para implementar instancias apiladas en cuentas administradas por AWS Organizations en regiones específicas, no necesitas crear las IAM funciones necesarias. Para obtener más información, consulta Cómo crear un conjunto de pilas en la AWS CloudFormation documentación.

Limitaciones

Si no se aplica ninguna etiqueta a EC2 las instancias de una cuenta, Amazon Inspector escanea todas las EC2 instancias de esa cuenta.
Los conjuntos de AWS CloudFormation pilas y el onboard-audit-account archivo.yaml (adjunto) deben implementarse en la misma región.
De forma predeterminada, Amazon Inspector Classic no admite resultados agregados. Security Hub es la solución recomendada para ver las evaluaciones de varias cuentas o AWS regiones.
El enfoque de este patrón puede escalarse por debajo de la cuota de publicación de 30 000 transacciones por segundo (TPS) para un SNS tema en la región EE. UU. Este (Virginia del Norte) (us-east-1), aunque los límites varían según la región. Para escalar de forma más eficaz y evitar la pérdida de datos, le recomendamos que utilice Amazon Simple Queue Service (AmazonSQS) antes del SNS tema.

Arquitectura

El siguiente diagrama ilustra el flujo de trabajo para escanear EC2 instancias automáticamente.

Una AWS cuenta para ejecutar escaneos y una cuenta de auditoría independiente para enviar notificaciones.

El flujo de trabajo consta de los pasos siguientes:

1. Una EventBridge regla de Amazon utiliza una expresión cron para autoiniciarse según un cronograma específico e inicia Amazon Inspector.

2. Amazon Inspector escanea las EC2 instancias etiquetadas de la cuenta.

3. Amazon Inspector envía los resultados a Security Hub, que genera información sobre el flujo de trabajo, la priorización y la corrección.

4. Amazon Inspector también envía el estado de la evaluación a un SNS tema de la cuenta de auditoría. Se invoca una función AWS Lambda si se publica un findings reported evento en el SNS tema.

5. La función Lambda busca, formatea y envía los resultados a otro SNS tema de la cuenta de auditoría.

6. Los resultados se envían a las direcciones de correo electrónico que están suscritas al tema. SNS Los detalles completos y las recomendaciones se envían en JSON formato al punto final suscritoHTTP.

Pila de tecnología

AWS Control Tower
EventBridge
IAM
Amazon Inspector
Lambda
Security Hub
Amazon SNS

Herramientas

AWS CloudFormation— le AWS CloudFormation ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a gestionarlos y más tiempo a centrarse en sus aplicaciones.
AWS CloudFormation StackSets— AWS CloudFormation StackSets amplía la funcionalidad de las pilas al permitirle crear, actualizar o eliminar pilas en varias cuentas y regiones con una sola operación.
AWSControl Tower: AWS Control Tower crea una capa de abstracción u orquestación que combina e integra las capacidades de varios otros AWS servicios, incluido OrganizationsAWS.
Amazon EventBridge: EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes.
AWSLambda: Lambda es un servicio informático que le ayuda a ejecutar código sin aprovisionar ni administrar servidores.
AWSSecurity Hub: Security Hub le proporciona una visión completa del estado de su seguridad AWS y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad.
Amazon SNS: Amazon Simple Notification Service (AmazonSNS) es un servicio gestionado que proporciona la entrega de mensajes de los editores a los suscriptores.

Epics

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Implemente la AWS CloudFormation plantilla en la cuenta de auditoría.	Descargue y guarde el archivo `onboard-audit-account.yaml` (adjunto) en una ruta local de su computadora. Inicie sesión en la consola AWS de administración de su cuenta de auditoría, abra la AWS CloudFormation consola y, a continuación, seleccione Crear pila. Seleccione Preparación de la plantilla en la sección Requisitos previos y, a continuación, seleccione La plantilla está lista. Elija el Origen de la plantilla en la sección de Especificar plantilla y luego elija La plantilla está lista. Cargue el archivo `onboard-audit-account.yaml` y, a continuación, configure las opciones restantes según sus necesidades. Importante: Asegúrese de configurar los siguientes parámetros de entrada: `DestinationEmailAddress` – Introduzca una dirección de correo electrónico para recibir los resultados. `HTTPEndpoint`— Proporcione un HTTP punto de conexión para la emisión de tickets o sus SIEM herramientas. También puede implementar la AWS CloudFormation plantilla mediante la interfaz de línea de AWS comandos (AWSCLI). Para obtener más información al respecto, consulte Crear una pila en la AWS CloudFormation documentación.	Desarrollador, ingeniero de seguridad
Confirma la SNS suscripción a Amazon.	Abre tu bandeja de entrada de correo electrónico y selecciona Confirmar suscripción en el correo que recibas de AmazonSNS. Esto abre una ventana del navegador web y muestra la confirmación de la suscripción.	Desarrollador, ingeniero de seguridad

Implemente la AWS CloudFormation plantilla en la cuenta de auditoría.

Descargue y guarde el archivo onboard-audit-account.yaml (adjunto) en una ruta local de su computadora.

Inicie sesión en la consola AWS de administración de su cuenta de auditoría, abra la AWS CloudFormation consola y, a continuación, seleccione Crear pila.

Seleccione Preparación de la plantilla en la sección Requisitos previos y, a continuación, seleccione La plantilla está lista. Elija el Origen de la plantilla en la sección de Especificar plantilla y luego elija La plantilla está lista. Cargue el archivo onboard-audit-account.yaml y, a continuación, configure las opciones restantes según sus necesidades.

Importante: Asegúrese de configurar los siguientes parámetros de entrada:

DestinationEmailAddress – Introduzca una dirección de correo electrónico para recibir los resultados.
HTTPEndpoint— Proporcione un HTTP punto de conexión para la emisión de tickets o sus SIEM herramientas.

También puede implementar la AWS CloudFormation plantilla mediante la interfaz de línea de AWS comandos (AWSCLI). Para obtener más información al respecto, consulte Crear una pila en la AWS CloudFormation documentación.

Desarrollador, ingeniero de seguridad

Confirma la SNS suscripción a Amazon.

Abre tu bandeja de entrada de correo electrónico y selecciona Confirmar suscripción en el correo que recibas de AmazonSNS. Esto abre una ventana del navegador web y muestra la confirmación de la suscripción.

Desarrollador, ingeniero de seguridad

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Cree conjuntos de pilas en la cuenta de auditoría.	Descargue el archivo `vulnerability-management-program.yaml` (adjunto) a una ruta local de su computadora. En la AWS CloudFormation consola, selecciona Ver conjuntos de pilas y, a continuación, selecciona Crear. StackSet Seleccione La plantilla está lista, seleccione Cargar un archivo de plantilla y, a continuación, cargue el archivo `vulnerability-management-program.yaml`. Si quieres usar `self-managed` los permisos, sigue las instrucciones de la documentación sobre cómo crear un conjunto de pilas con permisos autogestionados. AWS CloudFormation Esto crea conjuntos de pilas en cuentas individuales. Si quieres usar `service-managed` los permisos, sigue las instrucciones de la documentación sobre cómo crear un conjunto de pilas con permisos administrados por el servicio. AWS CloudFormation Esto crea conjuntos de pilas en toda la organización o en unidades organizativas específicas ()OUs. Importante: Asegúrese de que los siguientes parámetros de entrada estén configurados para sus conjuntos de pilas: `AssessmentSchedule`— El cronograma para EventBridge usar las expresiones cron. `Duration` – La duración de la ejecución de la evaluación de Amazon Inspector en segundos. `CentralSNSTopicArn`— El nombre del recurso de Amazon (ARN) para el SNS tema central. `Tagkey` – La clave de etiqueta que está asociada con el grupo de recursos. `Tagvalue` – El valor de etiqueta que está asociado con el grupo de recursos. Si quiere escanear las EC2 instancias de la cuenta de auditoría, debe ejecutar el `vulnerability-management-program.yaml` archivo como una AWS CloudFormation pila en la cuenta de auditoría.	Desarrollador, ingeniero de seguridad
Valide la solución.	Comprueba que recibes los resultados por correo electrónico o HTTP punto final según el cronograma que especificaste para Amazon Inspector.	Desarrollador, ingeniero de seguridad

Cree conjuntos de pilas en la cuenta de auditoría.

Descargue el archivo vulnerability-management-program.yaml (adjunto) a una ruta local de su computadora.

En la AWS CloudFormation consola, selecciona Ver conjuntos de pilas y, a continuación, selecciona Crear. StackSet Seleccione La plantilla está lista, seleccione Cargar un archivo de plantilla y, a continuación, cargue el archivo vulnerability-management-program.yaml.

Si quieres usar self-managed los permisos, sigue las instrucciones de la documentación sobre cómo crear un conjunto de pilas con permisos autogestionados. AWS CloudFormation Esto crea conjuntos de pilas en cuentas individuales.

Si quieres usar service-managed los permisos, sigue las instrucciones de la documentación sobre cómo crear un conjunto de pilas con permisos administrados por el servicio. AWS CloudFormation Esto crea conjuntos de pilas en toda la organización o en unidades organizativas específicas ()OUs.

Importante: Asegúrese de que los siguientes parámetros de entrada estén configurados para sus conjuntos de pilas:

AssessmentSchedule— El cronograma para EventBridge usar las expresiones cron.
Duration – La duración de la ejecución de la evaluación de Amazon Inspector en segundos.
CentralSNSTopicArn— El nombre del recurso de Amazon (ARN) para el SNS tema central.
Tagkey – La clave de etiqueta que está asociada con el grupo de recursos.
Tagvalue – El valor de etiqueta que está asociado con el grupo de recursos.

Si quiere escanear las EC2 instancias de la cuenta de auditoría, debe ejecutar el vulnerability-management-program.yaml archivo como una AWS CloudFormation pila en la cuenta de auditoría.

Desarrollador, ingeniero de seguridad

Valide la solución.

Comprueba que recibes los resultados por correo electrónico o HTTP punto final según el cronograma que especificaste para Amazon Inspector.

Desarrollador, ingeniero de seguridad

Recursos relacionados

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Automatizar la corrección de los resultados del estándar de Security Hub

Vuelva a habilitar AWS automáticamente CloudTrail mediante las prácticas recomendadas de seguridad