Réactivez automatiquement AWS à CloudTrail l'aide d'une règle de correction personnalisée dans AWS Config - AWS Prescriptive Guidance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réactivez automatiquement AWS à CloudTrail l'aide d'une règle de correction personnalisée dans AWS Config

Créée par Manigandan Shri (AWS)

Environnement : Production

Technologies : Infrastructure ; Opérations ; Sécurité, identité, conformité

Services AWS : Amazon S3 ; AWS Config ; AWS KMS ; AWS Identity and Access Management ; AWS Systems Manager ; AWS CloudTrail

Récapitulatif

La visibilité sur l'activité de votre compte Amazon Web Services (AWS) est une bonne pratique opérationnelle et de sécurité importante. AWS vous CloudTrail aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.

Pour garantir que cela CloudTrail reste activé sur votre compte, AWS Config fournit la règlecloudtrail-enabled gérée. Si elle CloudTrail est désactivée, lacloudtrail-enabled règle la réactive automatiquement à l'aide de la correction automatique.

Cependant, vous devez vous assurer de suivre les meilleures pratiques de sécurité CloudTrail si vous utilisez la correction automatique. Ces bonnes pratiques incluent l'activation CloudTrail dans toutes les régions AWS, la journalisation des charges de travail en lecture et en écriture, ainsi que le chiffrement des fichiers journaux avec un chiffrement côté serveur à l'aide d'AWS Key Management Service (AWS KMS).

Ce modèle vous aide à suivre ces meilleures pratiques de sécurité en proposant une action corrective personnalisée à réactiver CloudTrail automatiquement sur votre compte.

Important : Nous vous recommandons d'utiliser des politiques de contrôle des services (SCP) pour empêcher toute manipulation CloudTrail. Pour plus d'informations à ce sujet, consultez la section Empêcher la falsification d'AWS de la CloudTrail section Comment utiliser AWS Organizations pour simplifier la sécurité à grande échelle sur le blog de sécurité AWS.

Conditions préalables et limitations

Prérequis

  • Un compte AWS actif

  • Autorisations AWS Identity and Access Management utilisateurs et des rôles dans AWS Systems Manager Automation

  • Un journal d'activité

Limites

Ce modèle ne prend pas en charge les actions suivantes :

  • Définir une clé de préfixe Amazon Simple Storage Service (Amazon S3)

  • Publier dans une rubrique Amazon Simple Notification Service (Amazon SNS)

  • Configuration d'Amazon CloudWatch Logs pour surveiller vos CloudTrail journaux

Architecture

Pile technologique

  • AWS Config 

  • CloudTrail

  • Systems Manager

  • Systems Manager Automation

Outils

 

AWS Config : vous bénéficiez d'un aperçu détaillé de la configuration des ressources de votre compte AWS. 

AWS CloudTrail : vous CloudTrail aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.

AWS KMS — AWS Key Management Service (AWS KMS) est un service de chiffrement et de gestion des clés.

AWS Systems Manager : vous aide à visualiser et contrôler votre infrastructure sur AWS.

AWS Systems Manager Automation

Amazon S3 : Amazon Simple Storage Service (Amazon S3) est une solution de stockage sur Internet.

Code

Le fichier cloudtrail-remediation-action .yml (joint) vous aide à créer un runbook d'automatisation de Systems Manager à configurer et à réactiver CloudTrail en utilisant les meilleures pratiques de sécurité.

Épopées

TâcheDescriptionCompétences requises
Créez un compartiment S3.

Connectez-vous à AWS Management Console, ouvrez la console Amazon S3, puis créez un compartiment S3 pour stocker les CloudTrail journaux. Pour plus d'informations, consultez Créer un compartiment S3 dans la documentation Amazon S3.

administrateur
Ajoutez une stratégie de compartiment pour CloudTrail assurer la livraison des fichiers journaux dans le compartiment S3.

CloudTrail doit disposer des autorisations requises pour livrer les fichiers journaux dans votre compartiment S3. Sur la console Amazon S3, choisissez le compartiment S3 que vous avez créé précédemment, puis choisissez Autorisations. Créez une politique de compartiment S3 en utilisant la politique CloudTrail de compartiment Amazon S3 décrite dans la CloudTrail documentation.

Pour savoir comment ajouter une stratégie à un compartiment S3, veuillez consulter Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3 dans la documentation Amazon S3.

Important : Si vous avez spécifié un préfixe lorsque vous avez créé votre journal d'activité CloudTrail, assurez-vous de l'inclure dans la stratégie de compartiment S3. Le préfixe est un ajout facultatif à la clé d'objet S3 qui crée une organisation de type dossier dans votre compartiment S3. Pour plus d'informations à ce sujet, consultez la section Création d'un parcours dans la CloudTrail documentation.

administrateur
Créer une clé KMS.

Créez une clé AWS KMS CloudTrail pour chiffrer les objets avant de les ajouter au compartiment S3. Pour obtenir de l'aide sur cette histoire, consultez la section Chiffrement des fichiers CloudTrail journaux avec des clés gérées AWS KMS (SSE-KMS) dans la CloudTrail documentation.

administrateur
Ajoutez une stratégie de clé à la clé KMS.

Joignez une stratégie de clé KMS pour CloudTrail assurer l'utilisation de la clé KMS. Pour obtenir de l'aide sur ce récit, reportez-vous à Chiffrement des fichiers CloudTrail journaux avec clés gérées par AWS KMS (SSE-KMS) dans la CloudTrail documentation.

Important : CloudTrail aucuneDecrypt autorisation n'est requise.

administrateur
Runbook Create AssumeRole for Systems Manager

Créez unAssumeRole pour Systems Manager Automation afin d'exécuter le runbook. Pour obtenir des instructions et plus d'informations à ce sujet, consultez la section Configuration de l'automatisation dans la documentation de Systems Manager.

Administrateur de systèmes
TâcheDescriptionCompétences requises
Créez le runbook Systems Manager

Utilisez le fichier cloudtrail-remediation-action .yml (joint) pour créer le runbook Systems Manager Automation. Pour plus d'informations à ce sujet, consultez la section Création de documents Systems Manager dans la documentation de Systems Manager.

Administrateur de systèmes
Testez le runbook.

Sur la console System Manager, testez le runbook Systems Manager Automation que vous avez créé précédemment. Pour plus d'informations à ce sujet, consultez la section Exécution d'une automatisation simple dans la documentation de Systems Manager.

Administrateur de systèmes
TâcheDescriptionCompétences requises
Ajoutez la règle compatible avec CloudTrail.

Sur la console AWS Config, choisissez Règles, puis Ajouter une règle. Sur la page Ajouter une règle, choisissez Ajouter une règle personnalisée. Sur la page Configure rule (Configurer la règle), saisissez un nom et une description, puis ajoutez lacloudtrail-enabled règle. Pour plus d'informations, reportez-vous à Gérer vos règles de configuration dans la documentation AWS Config.

Administrateur de systèmes
Ajoutez l'action de correction automatique.

Dans la liste déroulante Actions, choisissez Gérer les mesures correctives. Choisissez Correction automatique, puis choisissez le runbook Systems Manager que vous avez créé précédemment. 

Les paramètres d'entrée requis sont les suivants pour CloudTrail :

  • CloudTrailName

  • CloudTrailS3BucketName

  • CloudTrailKmsKeyId

  • AssumeRole (facultatif)

Les paramètres d'entrée suivants sont définis sur true par défaut : 

  • IsMultiRegionTrail

  • IsOrganizationTrail

  • IncludeGlobalServiceEvents

  • EnableLogFileValidation

Conservez les valeurs par défaut pour le paramètre Rate Limits et le paramètre Resource ID. Choisissez Save (Enregistrer).

Pour plus d'informations à ce sujet, consultez la section Corriger les ressources AWS non conformes avec les règles AWS Config dans la documentation AWS Config.

administrateur
Testez la règle de correction automatique.

Pour tester la règle de correction automatique, ouvrez la CloudTrail console, choisissez Trails, puis choisissez le parcours. Choisissez Yes (Oui) pour désactiver la journalisation du journal d'activité. Lorsque vous êtes invité à confirmer, choisissez Yes (Oui). CloudTrail arrête l'activité de journalisation pour ce journal d'activité.

Suivez les instructions de la section Évaluation de vos ressources dans la documentation AWS Config pour vous assurer que cette option CloudTrail a été automatiquement réactivée.

Administrateur de systèmes

Configurez CloudTrail

Création et test du runbook Systems Manager Automation

Configurer la règle de correction automatique dans AWS Config

Ressources supplémentaires

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip