Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Automatisez la correction des résultats standard d'AWS Security Hub
Créée par Chandini Penmetsa (AWS) et Aromal Raj Jayarajan (AWS)
Récapitulatif
Avec AWS Security Hub, vous pouvez activer la vérification des meilleures pratiques standard, telles que les suivantes :
Bonnes pratiques de sécurité de base d'AWS
Test de référence des fondements d'AWS CIS
Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
Chacune de ces normes comporte des contrôles prédéfinis. Security Hub vérifie le contrôle dans un compte AWS donné et publie les résultats.
AWS Security Hub envoie tous les résultats à Amazon EventBridge par défaut. Ce modèle fournit un contrôle de sécurité qui déploie une EventBridge règle pour identifier les conclusions standard des meilleures pratiques de sécurité de base d'AWS. La règle identifie les résultats suivants concernant le dimensionnement automatique, les clouds privés virtuels (VPCs), Amazon Elastic Block Store (Amazon EBS) et Amazon Relational Database Service (Amazon RDS), conformément à la norme AWS Foundational Security Best Practices :
[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé de l'équilibreur de charge
[EC2.2] Le groupe de sécurité VPC par défaut ne doit pas autoriser le trafic entrant et sortant
[EC2.6] La journalisation des flux VPC doit être activée dans tous les cas VPCs
[EC2.7] Le chiffrement par défaut EBS doit être activé
[RDS.1] Les instantanés RDS doivent être privés
[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données et les clusters RDS
[RDS.7] La protection contre la suppression des clusters RDS doit être activée
La EventBridge règle transmet ces résultats à une fonction AWS Lambda, qui corrige le résultat. La fonction Lambda envoie ensuite une notification contenant des informations de correction à une rubrique Amazon Simple Notification Service (Amazon SNS).
Conditions préalables et limitations
Prérequis
Un compte AWS actif
Adresse e-mail à laquelle vous souhaitez recevoir la notification de correction
Security Hub et AWS Config activés dans la région AWS où vous avez l'intention de déployer le contrôle
Un bucket Amazon Simple Storage Service (Amazon S3) situé dans la même région que le contrôle pour télécharger le code AWS Lambda
Limites
Ce contrôle de sécurité corrige automatiquement les nouvelles découvertes signalées après le déploiement du contrôle de sécurité. Pour corriger les résultats existants, sélectionnez-les manuellement sur la console Security Hub. Ensuite, sous Actions, sélectionnez l'action AFSBPRemedypersonnalisée créée dans le cadre du déploiement par AWS CloudFormation.
Ce contrôle de sécurité est régional et doit être déployé dans les régions AWS que vous souhaitez surveiller.
Pour la solution EC2 .6, pour activer les journaux de flux VPC, un groupe de journaux CloudWatch Amazon Logs sera with /VpcFlowLogs/vpc créé au format _id. S'il existe un groupe de journaux portant le même nom, le groupe de journaux existant sera utilisé.
Pour la solution EC2 2.7, pour activer le chiffrement par défaut d'Amazon EBS, la clé AWS Key Management Service (AWS KMS) par défaut est utilisée. Cette modification empêche l'utilisation de certaines instances qui ne prennent pas en charge le chiffrement.
Architecture
Pile technologique cible
fonction Lambda
Rubrique Amazon SNS
EventBridge règle
Rôles AWS Identity and Access Management (IAM) pour la fonction Lambda, les journaux de flux VPC et la surveillance améliorée d'Amazon Relational Database Service (Amazon RDS)
Architecture cible
Automatisation et mise à l'échelle
Si vous utilisez AWS Organizations, vous pouvez utiliser AWS CloudFormation StackSets pour déployer ce modèle sur plusieurs comptes que vous souhaitez qu'il surveille.
Outils
Outils
AWS CloudFormation — AWS CloudFormation est un service qui vous aide à modéliser et à configurer les ressources AWS en utilisant l'infrastructure sous forme de code.
EventBridge— Amazon EventBridge fournit un flux de données en temps réel à partir de vos propres applications, d'applications SaaS (software as a service) et de services AWS, en acheminant ces données vers des cibles telles que les fonctions Lambda.
Lambda — AWS Lambda prend en charge l'exécution de code sans provisionner ni gérer de serveurs.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets hautement évolutif que vous pouvez utiliser pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) coordonne et gère la distribution ou l'envoi de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.
Bonnes pratiques
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Définissez le compartiment S3. | Sur la console Amazon S3, choisissez ou créez un compartiment S3 avec un nom unique qui ne contient pas de barres obliques en tête. Le nom d'un compartiment S3 est unique au monde et l'espace de noms est partagé par tous les comptes AWS. Votre compartiment S3 doit se trouver dans la même région que les résultats du Security Hub en cours d'évaluation. | Architecte du cloud |
Téléchargez le code Lambda dans le compartiment S3. | Téléchargez le fichier .zip de code Lambda fourni dans la section « Pièces jointes » dans le compartiment S3 défini. | Architecte du cloud |
Déployez le CloudFormation modèle AWS. | Déployez le CloudFormation modèle AWS fourni en pièce jointe à ce modèle. Dans l'épopée suivante, indiquez les valeurs des paramètres. | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Indiquez le nom du compartiment S3. | Entrez le nom du compartiment S3 que vous avez créé dans le premier épisode épique. | Architecte du cloud |
Indiquez le préfixe Amazon S3. | <directory><file-name>Indiquez l'emplacement du fichier .zip de code Lambda dans votre compartiment S3, sans barres obliques (par exemple,/.zip). | Architecte du cloud |
Indiquez l'ARN de la rubrique SNS. | Indiquez le nom de ressource Amazon (ARN) de la rubrique SNS si vous souhaitez utiliser une rubrique SNS existante pour les notifications de correction. Pour utiliser une nouvelle rubrique SNS, conservez la valeur « Aucune » (valeur par défaut). | Architecte du cloud |
Indiquez une adresse e-mail. | Indiquez l'adresse e-mail à laquelle vous souhaitez recevoir les notifications de correction (nécessaire uniquement lorsque vous souhaitez qu'AWS CloudFormation crée le sujet SNS). | Architecte du cloud |
Définissez le niveau de journalisation. | Définissez le niveau et la fréquence de journalisation pour votre fonction Lambda. « Info » désigne des messages d'information détaillés sur le déroulement de l'application. Le terme « Erreur » désigne les événements d'erreur susceptibles de permettre à l'application de continuer à fonctionner. Le terme « Avertissement » désigne des situations potentiellement dangereuses. | Architecte du cloud |
Fournissez l'ARN du rôle IAM des journaux de flux VPC. | Indiquez l'ARN du rôle IAM à utiliser pour les journaux de flux VPC. (Si « Aucun » est saisi en entrée, AWS CloudFormation crée un rôle IAM et l'utilise.) | Architecte du cloud |
Fournissez l'ARN du rôle IAM de surveillance améliorée RDS. | Indiquez l'ARN du rôle IAM à utiliser pour la surveillance améliorée RDS. (Si « Aucun » est saisi, AWS CloudFormation crée un rôle IAM et l'utilise.) | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Confirmez l'abonnement Amazon SNS. | Lorsque le modèle est déployé avec succès, si une nouvelle rubrique SNS a été créée, un message d'abonnement est envoyé à l'adresse e-mail que vous avez fournie. Pour recevoir des notifications de correction, vous devez confirmer cet e-mail d'abonnement. | Architecte du cloud |
Ressources connexes
Pièces jointes
