Casos de uso de integración y permisos requeridos - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Casos de uso de integración y permisos requeridos

AWS Security HubpermiteAWSclientes para recibir los hallazgos de los socios de APN. Los productos del socio pueden ejecutarse dentro o fuera del clienteAWSaccount. La configuración de permisos de la cuenta del cliente difiere según el modelo que utiliza el producto asociado.

En Security Hub, el cliente siempre controla qué socios pueden enviar los resultados a la cuenta del cliente. Los clientes pueden revocar los permisos de un socio en cualquier momento.

Para permitir que un socio envíe resultados de seguridad a su cuenta, el cliente se suscribe primero al producto asociado en Security Hub. El paso de suscripción es necesario para todos los casos de uso que se describen a continuación. Para obtener más detalles sobre cómo los clientes administran las integraciones de productos, consulteAdministración de integraciones de productosen laAWS Security HubGuía del usuario de.

Después de que un cliente se suscriba a un producto asociado, Security Hub crea automáticamente una política de recursos administrados. La política concede al producto de un socio permiso para utilizarBatchImportFindingsOperación de la API para enviar resultados a Security Hub de la cuenta del cliente.

Estos son los casos comunes de los productos de socios que se integran con Security Hub. La información incluye los permisos adicionales necesarios para cada caso de uso.

Socio alojado: resultados enviados desde la cuenta de socio

Este caso de uso cubre a los socios que alojan un producto por su cuentaAWSaccount. Para enviar resultados de seguridad deAWScliente, el socio llama alBatchImportFindingsOperación de la API desde la cuenta de producto de un socio.

Para este caso de uso, la cuenta de cliente solo necesita los permisos que se establecen cuando el cliente se suscribe al producto asociado.

En la cuenta de socio, el principal de IAM que llama alBatchImportFindingsLa operación de la API debe tener una política de IAM que permita a la entidad llamarBatchImportFindings.

Permitir que un producto asociado envíe conclusiones al cliente en Security Hub es un proceso de dos pasos:

  1. El cliente crea una suscripción a un producto asociado en Security Hub.

  2. Security Hub genera la política de recursos administrados correcta con la confirmación del cliente.

Para enviar los resultados de seguridad relacionados con la cuenta del cliente, el producto de socio utiliza sus propias credenciales para llamar alBatchImportFindingsOperación de la API.

A continuación se muestra un ejemplo de una política de IAM que otorga al principal de la cuenta de socio los permisos necesarios de Security Hub.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "securityhub:BatchImportFindings", "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name" } ] }

Socio alojado: resultados enviados desde la cuenta de cliente

Este caso de uso cubre a los socios que alojan un producto por su cuentaAWScuenta, pero usa un rol multicuenta para acceder a la cuenta del cliente. Se llama aBatchImportFindingsOperación de la API desde la cuenta del cliente.

Para este caso de uso, para llamar alBatchImportFindingsOperación de API, la cuenta de socio asume un rol de IAM administrado por el cliente en la cuenta del cliente.

Esta llamada se realiza desde la cuenta del cliente. Por lo tanto, la política de recursos administrados debe permitir que el ARN del producto de la cuenta del producto asociado se utilice en la llamada. La política de recursos administrados de Security Hub concede permiso para la cuenta del producto de socio y el ARN del producto asociado. El ARN del producto es el identificador único del socio como proveedor. Dado que la llamada no procede de la cuenta del producto asociado, el cliente debe conceder permiso explícitamente para que el producto asociado envíe los resultados a Security Hub.

La práctica recomendada para los roles multicuenta entre cuentas de socio y cliente es utilizar un identificador externo que proporciona el socio. Este identificador externo forma parte de la definición de la política multicuenta de la cuenta del cliente. El socio debe proporcionar el identificador cuando asume el rol. Un identificador externo proporciona una capa adicional de seguridad al concederAWSacceso a una cuenta de un socio. El identificador exclusivo garantiza que el socio utilice la cuenta de cliente correcta.

La habilitación de un producto de socio para enviar hallazgos al cliente en Security Hub con una función multicuenta se realiza en cuatro pasos:

  1. El cliente, o socio que utiliza funciones multicuentas que trabajan en nombre del cliente, inicia la suscripción a un producto en Security Hub.

  2. Security Hub genera la política de recursos administrados correcta con la confirmación del cliente.

  3. El cliente configura el rol entre cuentas de forma manual o medianteAWS CloudFormation. Para obtener más información sobre roles entre cuentas, consulteProporcionar acceso aAWScuentas de propiedad de tercerosen laIAM User Guide.

  4. El producto almacena de forma segura la función de cliente y el ID externo.

A continuación, el producto envía los resultados a Security Hub:

  1. El producto llama alAWS Security Token Service(AWS STS) para asumir la función de cliente.

  2. El producto llama alBatchImportFindingsOperación de API en Security Hub con las credenciales temporales del rol asumido.

A continuación se muestra un ejemplo de política de IAM que concede los permisos de Security Hub necesarios a la función entre cuentas del socio.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "securityhub:BatchImportFindings", "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name" } ] }

LaResourcede la política identifica la suscripción del producto específica. Esto garantiza que el socio solo pueda enviar los hallazgos del producto asociado al que está suscrito el cliente.

Alojado por el cliente: resultados enviados desde la cuenta de cliente

Este caso de uso cubre a los socios que tienen un producto que se implementa en elAWSaccount. LaBatchImportFindingsLa API se llama desde la solución que se ejecuta en la cuenta del cliente.

En este caso de uso, se deben conceder permisos adicionales al producto asociado para llamar alBatchImportFindingsAPI. La forma en que se concede este permiso difiere en función de la solución de socio y de cómo se configura en la cuenta del cliente.

Un ejemplo de este enfoque es un producto asociado que se ejecuta en una instancia EC2 de la cuenta del cliente. Esta instancia de EC2 debe tener un rol de instancia EC2 asociado que otorgue a esa instancia la capacidad de llamar alBatchImportFindingsOperación de la API. Esto permite que la instancia de EC2 envíe los resultados de seguridad a la cuenta del cliente.

Este caso de uso equivale funcionalmente a un escenario en el que un cliente carga los hallazgos en su cuenta de un producto que posee.

El cliente permite que el producto asociado envíe los resultados de la cuenta del cliente al cliente en Security Hub:

  1. El cliente implementa el producto de socio en suAWScuenta manualmente usandoAWS CloudFormation, u otra herramienta de implementación.

  2. El cliente define la política de IAM necesaria para que el producto de socio utilice cuando envía conclusiones a Security Hub.

  3. El cliente adjunta la política a los componentes necesarios del producto asociado, como una instancia EC2, un contenedor o una función Lambda.

Ahora, el producto puede enviar los resultados a Security Hub:

  1. El producto asociado utiliza elAWSSDK oAWS CLIllamar aBatchImportFindingsOperación de la API en Security Hub. Realiza la llamada desde el componente de la cuenta del cliente a la que se adjunta la póliza.

  2. Durante la llamada a la API, se generan las credenciales temporales necesarias para permitir elBatchImportFindingsllama a tener éxito.

A continuación se muestra un ejemplo de una política de IAM que otorga los permisos de Security Hub necesarios al producto asociado de la cuenta de cliente.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "securityhub:BatchImportFindings", "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name" } ] }