Vuelva a activarse automáticamente AWS CloudTrail mediante una regla de corrección personalizada en Config AWS

Creado por Manigandan Shri () AWS

Entorno: producción

Tecnologías: infraestructura; seguridad, identidad, conformidad

AWSservicios: Amazon S3; AWS Config AWSKMS; AWS Identity and Access Management; AWS Systems Manager; AWS CloudTrail

Resumen

La visibilidad de la actividad de su cuenta de Amazon Web Services (AWS) es una práctica recomendada operativa y de seguridad importante. AWS CloudTrail le ayuda con la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de su cuenta.

Para garantizar que CloudTrail permanezca habilitada en su cuenta, AWS Config proporciona la regla cloudtrail-enabled administrada. Si CloudTrail está desactivada, la cloudtrail-enabled regla la vuelve a activar automáticamente mediante una corrección automática.

Sin embargo, debe asegurarse de seguir las prácticas recomendadas de seguridad CloudTrail si utiliza la corrección automática. Estas prácticas recomendadas incluyen la activación CloudTrail en todas AWS las regiones, el registro de las cargas de trabajo de lectura y escritura, la obtención de información y el cifrado de los archivos de registro con cifrado del lado del servidor mediante AWS claves administradas por el Servicio de administración de claves (- AWSKMS). SSE KMS

Este patrón le ayuda a seguir estas prácticas recomendadas de seguridad, ya que proporciona una acción correctiva personalizada para volver a activarla automáticamente en su cuenta. CloudTrail

Importante: Te recomendamos que utilices políticas de control de servicios (SCPs) para evitar cualquier manipulación. CloudTrail Para obtener más información al respecto, consulte la AWS CloudTrail sección Impedir la manipulación de How to use AWS Organizations para simplificar la seguridad a gran escala en el blog de AWS seguridad.

Requisitos previos y limitaciones

Requisitos previos 

• Una cuenta activa AWS

• Permisos para crear un manual AWS de automatización de Systems Manager

• Un registro de seguimiento existente para su cuenta

Limitaciones

Este patrón no admite las siguientes acciones:

• Configurar una clave de prefijo de Amazon Simple Storage Service (Amazon S3) para la ubicación de almacenamiento

• Publicar en un tema de Amazon Simple Notification Service (AmazonSNS)

• Configuración de Amazon CloudWatch Logs para monitorizar tus CloudTrail registros

Arquitectura

Pila de tecnología

• AWSConfig 

• CloudTrail

• Systems Manager

• Automatización de Systems Manager

Herramientas

• AWSConfig proporciona una vista detallada de la configuración de AWS los recursos de tu cuenta. 

• AWS CloudTraille ayuda a habilitar la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de su cuenta.

• AWSEl Servicio de administración de claves (AWSKMS) es un servicio de cifrado y administración de claves.

• AWSSystems Manager le ayuda a ver y controlar su infraestructuraAWS.

• AWSSystems Manager Automation simplifica las tareas comunes de mantenimiento e implementación de las instancias de Amazon Elastic Compute Cloud (AmazonEC2) y otros AWS recursos.

• Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

Código

El cloudtrail-remediation-actionarchivo.yml (adjunto) le ayuda a crear un manual de automatización de Systems Manager para configurarlo y volver a activarlo CloudTrail utilizando las mejores prácticas de seguridad.

Epics

Configurar CloudTrail

Tarea	Descripción	Habilidades requeridas
Cree un bucket de S3.	Inicie sesión en la consola AWS de administración, abra la consola de Amazon S3 y, a continuación, cree un bucket de S3 para almacenar los CloudTrail registros. Para obtener más información, consulte Creación de un bucket en la documentación de Amazon S3.	Administrador de sistemas
Añada una política de bucket que permita CloudTrail entregar los archivos de registro al bucket de S3.	CloudTrail debe tener los permisos necesarios para entregar los archivos de registro a su bucket de S3. En la consola de Amazon S3, elija el bucket de S3 que ha creado anteriormente y, a continuación, elija Permisos. Cree una política de bucket de S3 mediante la política de bucket de Amazon S3 que CloudTrail aparece en la CloudTrail documentación. Para conocer los pasos sobre cómo añadir una política a un bucket de S3, consulte Cómo añadir una política de bucket mediante la consola de Amazon S3 en la documentación de Amazon S3. Importante: Si especificó un prefijo al crear su ruta CloudTrail, asegúrese de incluirlo en la política de buckets de S3. El prefijo es un añadido opcional a la clave del objeto de S3 que crea una organización en forma de carpeta en su bucket de S3. Para obtener más información al respecto, consulte Crear una ruta en la CloudTrail documentación.	Administrador de sistemas
Cree una KMS clave.	Cree una AWS KMS clave CloudTrail para cifrar los objetos antes de añadirlos al bucket de S3. Para obtener ayuda con esta historia, consulte Cifrar archivos de CloudTrail registro con claves AWS KMS administradas (SSE-KMS) en la CloudTrail documentación.	Administrador de sistemas
Agregue una política de claves a la KMS clave.	Adjunte una política KMS clave para CloudTrail permitir el uso de la KMS clave. Para obtener ayuda con esta historia, consulte Cifrar archivos de CloudTrail registro con AWS KMS claves administradas (SSE-KMS) en la CloudTrail documentación. Importante: CloudTrail no requiere Decrypt permisos.	Administrador de sistemas
Manual de AssumeRole instrucciones de Create for Systems Manager	Cree un AssumeRole para que Systems Manager Automation ejecute el manual de procedimientos. Para obtener instrucciones y más información sobre esto, consulte Configurar la automatización en la documentación de Systems Manager.	Administrador de sistemas

Cree y pruebe el manual de procedimientos de Systems Manager Automation

Tarea	Descripción	Habilidades requeridas
Cree el manual de procedimientos de Systems Manager Automation.	Utilice el archivo cloudtrail-remediation-action.yml (adjunto) para crear el manual de procedimiento de Systems Manager Automation. Para obtener más información sobre esto, consulte Creación de documentos de Systems Manager en la documentación de Systems Manager.	Administrador de sistemas
Pruebe el manual de procedimientos.	En la consola de Systems Manager, pruebe el manual de procedimientos de Systems Manager Automation que creó anteriormente. Para obtener más información sobre esto, consulte Realizar una automatización simple en la documentación de Systems Manager.	Administrador de sistemas

Configure la regla de corrección automática en AWS Config

Tarea	Descripción	Habilidades requeridas
Agregue la regla CloudTrail activada.	En la consola de AWS Config, selecciona Rules y, a continuación, selecciona Add rule. En la página Add rule (Añadir regla), seleccione Add custom rule (Añadir regla personalizada). En la página Configure rule (Configurar regla), escriba un nombre y una descripción, y agregue la regla cloudtrail-enabled. Para obtener más información, consulta Administrar tus reglas de AWS Config en la documentación de AWS Config.	Administrador de sistemas
Agregue la acción correctora automática.	En la lista desplegable Actions (Acciones), seleccione Manage remediation (Administrar la corrección). Elija Auto remediation (Corrección automática) y, a continuación, elija el manual de procedimientos de Systems Manager que creó anteriormente.  Los siguientes son los parámetros de entrada necesarios para CloudTrail: CloudTrailName CloudTrailS3BucketName CloudTrailKmsKeyId AssumeRole (opcional) Los siguientes parámetros de entrada están configurados en true de forma predeterminada:  IsMultiRegionTrail IsOrganizationTrail IncludeGlobalServiceEvents EnableLogFileValidation Conserve los valores predeterminados para el parámetro de límites de velocidad y el parámetro de ID de recurso. Seleccione Guardar. Para obtener más información, consulta Cómo corregir AWS recursos no conformes con reglas de AWS Config en la documentación de AWS Config.	Administrador de sistemas
Pruebe la regla de corrección automática.	Para probar la regla de corrección automática, abra la CloudTrail consola, elija Rutas y, a continuación, elija la ruta. Seleccione Stop logging (Detener el registro) para desactivar el registro de los registros de seguimiento. Cuando se le pida que confirme, seleccione Detener el registro. CloudTrail detiene el registro de la actividad de esa ruta. Sigue las instrucciones de Evaluating your resources en la documentación de AWS Config para asegurarte de que CloudTrail se haya vuelto a habilitar automáticamente.	Administrador de sistemas

Recursos relacionados

Configura CloudTrail

• Creación de un bucket de S3

• Política de bucket de Amazon S3 para CloudTrail

• Cómo añadir una política de bucket mediante la consola de Amazon S3

• Creación de un registro de seguimiento

• Configuración de automatización

• Cifrar archivos de CloudTrail registro con claves AWS KMS administradas (SSE-KMS)

Cree de un manual de procedimientos de Systems Manager Automation

• Etiquetado de documentos de Systems Manager

• Ejecución de una automatización sencilla

Configure la regla de corrección automática en AWS Config

• Administrar tus reglas de AWS Config

• Corregir los AWS recursos no conformes con las reglas de Config AWS

Recursos adicionales

• AWS CloudTrail - Mejores prácticas de seguridad

• Introducción a AWS Systems Manager

• Cómo empezar con AWS Config

• Empezando con AWS CloudTrail

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip