Récapitulatif Conditions préalables et limitations Architecture Outils épopées Ressources connexes Pièces jointes

Réactivez automatiquement AWS àCloudTrail l'aide d'une règle de correction personnalisée dans AWS Config

Créée par Manigandan Shri (AWS)

Environnement : Production

Technologies : infrastructure ; opérations ; sécurité, identité, conformité

Services AWS : Amazon S3 ; AWS Config ; AWS KMS ; AWS Identity and Access Management ; AWS Systems Manager ; AWSCloudTrail

Récapitulatif

La visibilité sur l'activité de votre compte Amazon Web Services (AWS) est une bonne pratique opérationnelle et de sécurité importante. AWS vousCloudTrail aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.

Pour garantir que cette optionCloudTrail reste activée sur votre compte, AWS Config fournit la règlecloudtrail-enabled gérée. Si elleCloudTrail est désactivée, lacloudtrail-enabled règle la réactive automatiquement à l'aide de la correction automatique.

Toutefois, vous devez vous assurer de suivre les meilleures pratiques de sécuritéCloudTrail si vous utilisez la correction automatique. Ces bonnes pratiques incluent l'activationCloudTrail dans toutes les régions AWS, la journalisation des charges de travail en lecture et en écriture, la diffusion d'informations et le chiffrement des fichiers journaux avec un chiffrement côté serveur à l'aide de clés gérées AWS KMS (SSE-KMS).

Ce modèle vous aide à suivre ces bonnes pratiques de sécurité en proposant une action de correction personnalisée à réactiver automatiquementCloudTrail dans votre compte.

Important : nous vous recommandons d'utiliser des politiques de contrôle des services (SCP) pour empêcher toute altérationCloudTrail. Pour plus d'informations à ce sujet, consultez laCloudTrail section Prévenir la falsification d'AWS intitulée Comment utiliser AWS Organizations pour simplifier la sécurité à grande échelle sur le blog de sécurité AWS.

Conditions préalables et limitations

Prérequis

Un compte AWS actif
Autorisations pour créer un runbook AWS Systems Manager Automation
Un journal d'activité existant pour votre compte

Limites

Ce modèle ne prend pas en charge les actions suivantes :

Créer une clé de préfixe Amazon Simple Storage Service (Amazon S3) pour l'emplacement de stockage
Publier dans une rubrique Amazon Simple Notification Service (Amazon SNS)
Configuration d'AmazonCloudWatch Logs pour surveiller vosCloudTrail journaux

Architecture

Pile technologique

AWS Config
CloudTrail
Systems Manager
Systems Manager Automation

Outils

Grâce à AWS Config, vous bénéficiez d'un aperçu détaillé de la configuration des ressources de votre compte AWS.
AWS vousCloudTrail aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre compte.
AWS Key Management Service (AWS KMS) est un service de chiffrement et de gestion des clés.
Grâce à AWS Systems Manager, vous pouvez consulter et contrôler votre infrastructure sur AWS.
AWS Systems Manager Automation simplifie les tâches courantes de maintenance et de déploiement des instances Amazon Elastic Compute Cloud (Amazon EC2) et d'autres ressources AWS.
Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé dans le cloud qui vous aide à stocker, protéger et récupérer n'importe quelle quantité de données.

Code

Le fichier cloudtrail-remediation-action.yml (joint) vous aide à créer un runbook Systems Manager Automation à configurer et à réactiverCloudTrail en utilisant les meilleures pratiques de sécurité.

épopées

Tâche	Description	Compétences requises
Créez un compartiment S3.	Connectez-vous à AWS Management Console, ouvrez la console Amazon S3, puis créez un compartiment S3 pour stocker lesCloudTrail journaux. Pour de plus amples informations, veuillez consulter Créer un compartiment S3 dans la documentation Amazon S3.	Administrateur de systèmes
Ajoutez une stratégie de compartiment pourCloudTrail assurer la livraison de fichiers journaux dans le compartiment S3.	CloudTraildoit disposer des autorisations requises pour diffuser des fichiers journaux dans votre compartiment S3. Sur la console Amazon S3, choisissez le compartiment S3 que vous avez créé précédemment, puis Permissions. Créez une politique de compartiment S3 à l'aide de la politiqueCloudTrail de compartiment Amazon S3 présentée dans laCloudTrail documentation. Pour savoir comment ajouter une stratégie à un compartiment S3, veuillez consulter Ajout d'une stratégie de compartiment à l'aide de la console Amazon S3 dans la documentation Amazon S3. Important : si vous avez spécifié un préfixe lorsque vous avez créé votre parcours dansCloudTrail, assurez-vous de l'inclure dans la politique relative aux compartiments S3. Le préfixe est un ajout facultatif à la clé d'objet S3 qui crée une organisation de type dossier dans votre compartiment S3. Pour plus d'informations à ce sujet, consultez la section Création d'un parcours dans laCloudTrail documentation.	Administrateur de systèmes
Créer une clé KMS.	Créez une clé AWS KMSCloudTrail pour crypter les objets avant de les ajouter au compartiment S3. Pour obtenir de l'aide concernant cette histoire, consultez la section Chiffrement de fichiersCloudTrail journaux à l'aide de clés gérées par AWS KMS (SSE-KMS) dans laCloudTrail documentation.	Administrateur de systèmes
Ajoutez une stratégie de clé à la clé KMS.	Joignez une stratégie de clé KMS pourCloudTrail assurer l'utilisation de la clé KMS. Pour obtenir de l'aide sur cette histoire, veuillez consulter Chiffrement des fichiersCloudTrail journaux avec des clés gérées AWS KMS (SSE-KMS) dans laCloudTrail documentation. Important :CloudTrail aucune`Decrypt` autorisation n'est requise.	Administrateur de systèmes
Livre d'exécution de CreateAssumeRole for Systems Manager	Créez un`AssumeRole` pour Systems Manager Automation afin d'exécuter le runbook. Pour obtenir des instructions et des informations supplémentaires à ce sujet, consultez la section Configuration de l'automatisation dans la documentation de Systems Manager.	Administrateur de systèmes

Tâche	Description	Compétences requises
Créer le runbook Systems Manager Automation.	Utilisez le`cloudtrail-remediation-action.yml` fichier (joint) pour créer le runbook Systems Manager Automation. Pour plus d'informations à ce sujet, consultez la section Création de documents Systems Manager dans la documentation de Systems Manager.	Administrateur de systèmes
Testez le runbook.	Sur la console Systems Manager, testez le runbook Systems Manager Automation que vous avez créé précédemment. Pour plus d'informations à ce sujet, voir Exécuter une automatisation simple dans la documentation de Systems Manager.	Administrateur de systèmes

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Ajoutez la règleCloudTrail -enabled.	Sur la console AWS Config, choisissez Rules, puis Ajouter une règle. Sur la page Ajouter une règle, choisissez Ajouter une règle personnalisée. Sur la page Configurer la règle, saisissez un nom et une description, puis ajoutez la`cloudtrail-enabled` règle. Pour de plus amples informations, veuillez consulter Gérer vos règles de configuration dans la documentation d'AWS Config.	Administrateur de systèmes
Ajoutez l'action de correction automatique.	Dans la liste déroulante Actions, choisissez Gérer la correction. Choisissez Auto Remediation, puis choisissez le runbook Systems Manager que vous avez créé précédemment. Les paramètres d'entrée requis sont les suivants pourCloudTrail : `CloudTrailName` `CloudTrailS3BucketName` `CloudTrailKmsKeyId` `AssumeRole` (facultatif) Les paramètres d'entrée suivants sont définis sur true par défaut : `IsMultiRegionTrail` `IsOrganizationTrail` `IncludeGlobalServiceEvents` `EnableLogFileValidation` Conservez les valeurs par défaut pour le paramètre Rate Limits et le paramètre Resource ID. Choisissez Save (Enregistrer). Pour de plus amples informations, veuillez consulter Corriger des ressources AWS non conformes avec les règles de configuration dans la documentation de la console de configuration d'AWS Config.	Administrateur de systèmes
Testez la règle de correction automatique.	Pour tester la règle de correction automatique, ouvrez laCloudTrail console, choisissez Trails, puis choisissez le parcours. Choisissez Arrêter la journalisation pour désactiver la journalisation pour le journal de suivi. Lorsque vous êtes invité à confirmer, choisissez Yes (Oui). CloudTrail met fin à l'activité de journalisation pour ce suivi. Suivez les instructions de la section Évaluation de vos ressources dans la documentation AWS Config pour vous assurer qu'elles ontCloudTrail été automatiquement réactivées.	Administrateur de systèmes

Ajoutez la règleCloudTrail -enabled.

Sur la console AWS Config, choisissez Rules, puis Ajouter une règle. Sur la page Ajouter une règle, choisissez Ajouter une règle personnalisée. Sur la page Configurer la règle, saisissez un nom et une description, puis ajoutez lacloudtrail-enabled règle. Pour de plus amples informations, veuillez consulter Gérer vos règles de configuration dans la documentation d'AWS Config.

Administrateur de systèmes

Ajoutez l'action de correction automatique.

Dans la liste déroulante Actions, choisissez Gérer la correction. Choisissez Auto Remediation, puis choisissez le runbook Systems Manager que vous avez créé précédemment.

Les paramètres d'entrée requis sont les suivants pourCloudTrail :

CloudTrailName
CloudTrailS3BucketName
CloudTrailKmsKeyId
AssumeRole (facultatif)

Les paramètres d'entrée suivants sont définis sur true par défaut :

IsMultiRegionTrail
IsOrganizationTrail
IncludeGlobalServiceEvents
EnableLogFileValidation

Conservez les valeurs par défaut pour le paramètre Rate Limits et le paramètre Resource ID. Choisissez Save (Enregistrer).

Pour de plus amples informations, veuillez consulter Corriger des ressources AWS non conformes avec les règles de configuration dans la documentation de la console de configuration d'AWS Config.

Administrateur de systèmes

Testez la règle de correction automatique.

Pour tester la règle de correction automatique, ouvrez laCloudTrail console, choisissez Trails, puis choisissez le parcours. Choisissez Arrêter la journalisation pour désactiver la journalisation pour le journal de suivi. Lorsque vous êtes invité à confirmer, choisissez Yes (Oui). CloudTrail met fin à l'activité de journalisation pour ce suivi.

Suivez les instructions de la section Évaluation de vos ressources dans la documentation AWS Config pour vous assurer qu'elles ontCloudTrail été automatiquement réactivées.

Administrateur de systèmes

Ressources connexes

ConfigurezCloudTrail

Création et test du runbook Systems Manager Automation

Configurer la règle de correction automatique dans AWS Config

Ressources supplémentaires

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Automatisez les scans de sécurité pour les charges de travail multicomptes à l'aide d'Amazon Inspector

Corrigez automatiquement les instances et clusters de bases de données Amazon RDS non chiffrés