Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan pencatatan dan pemantauan untuk peristiwa keamanan di AWS IoT lingkungan
Prateek Prakash, Amazon Web Services
Ringkasan
Memastikan bahwa lingkungan Internet of Things (IoT) Anda aman adalah prioritas penting, terutama karena organisasi menghubungkan miliaran perangkat ke lingkungan TI mereka. Pola ini menyediakan arsitektur referensi yang dapat Anda gunakan untuk mengimplementasikan logging dan pemantauan untuk peristiwa keamanan di seluruh lingkungan IoT Anda di. AWS Cloud Biasanya, lingkungan IoT pada AWS Cloud memiliki tiga lapisan berikut:
Perangkat IoT yang menghasilkan data telemetri yang relevan.
AWS IoT layanan (misalnya,, AWS IoT CoreAWS IoT Device Management, atau AWS IoT Device Defender) yang menghubungkan perangkat IoT Anda ke perangkat lain dan. Layanan AWS
Backend Layanan AWS yang membantu memproses data telemetri dan memberikan wawasan yang berguna untuk berbagai kasus penggunaan bisnis Anda.
Praktik terbaik yang disediakan oleh whitepaper AWS IoT Lens - AWS Well-Architected Framework dapat membantu Anda meninjau dan meningkatkan arsitektur berbasis cloud serta lebih memahami dampak bisnis dari keputusan desain Anda. Rekomendasi penting adalah Anda menganalisis log dan metrik aplikasi di perangkat Anda dan di file. AWS Cloud Anda dapat mencapai ini dengan memanfaatkan pendekatan dan teknik yang berbeda (misalnya, pemodelan ancaman
Pola ini menjelaskan cara menggunakan AWS IoT dan layanan keamanan untuk merancang dan mengimplementasikan pencatatan keamanan dan arsitektur referensi pemantauan untuk lingkungan IoT di. AWS Cloud Arsitektur ini dibangun di atas praktik terbaik AWS keamanan yang ada dan menerapkannya ke lingkungan IoT Anda.
Prasyarat dan batasan
Prasyarat
Lingkungan landing zone yang ada. Untuk informasi selengkapnya tentang hal ini, lihat panduan Menyiapkan AWS lingkungan multi-akun yang aman dan dapat diskalakan di situs web Panduan AWS Preskriptif.
Akun berikut harus tersedia di landing zone Anda:
Akun Arsip Log - Akun ini diperuntukkan bagi pengguna yang perlu mengakses informasi pencatatan untuk akun di unit organisasi zona pendaratan Anda (OUs). Untuk informasi selengkapnya tentang ini, lihat bagian Security OU — Log Archive account dari panduan Arsitektur Referensi AWS Keamanan di situs web Panduan AWS Preskriptif.
Akun keamanan — Tim keamanan dan kepatuhan Anda menggunakan akun ini untuk mengaudit atau untuk melakukan operasi keamanan darurat. Akun ini juga ditetapkan sebagai akun administrator untuk Amazon GuardDuty. Pengguna dari akun administrator dapat mengonfigurasi GuardDuty, selain melihat dan mengelola GuardDuty temuan untuk akun mereka sendiri dan semua akun anggota. Untuk informasi selengkapnya tentang ini, lihat Mengelola beberapa akun GuardDuty dalam GuardDuty dokumentasi.
Akun IoT — Akun ini untuk lingkungan IoT Anda.
Arsitektur
Pola ini memperluas solusi Pencatatan Terpusat
Diagram arsitektur berikut menunjukkan komponen kunci dari pencatatan keamanan IoT dan arsitektur referensi pada file. AWS Cloud
Diagram menunjukkan alur kerja berikut:
Hal-hal IoT adalah perangkat yang harus dipantau untuk kejadian keamanan anomali. Perangkat ini menjalankan agen untuk mempublikasikan peristiwa atau metrik keamanan ke AWS IoT Core dan AWS IoT Device Defender.
Saat AWS IoT logging diaktifkan, AWS IoT kirimkan peristiwa kemajuan tentang setiap pesan saat diteruskan dari perangkat Anda melalui broker pesan dan mesin aturan ke Amazon CloudWatch Logs. Anda dapat menggunakan langganan CloudWatch Log untuk mendorong peristiwa ke solusi Pencatatan Terpusat. Untuk informasi selengkapnya tentang ini, lihat AWS IoT metrik dan dimensi dalam AWS IoT Core dokumentasi.
AWS IoT Device Defender membantu memantau konfigurasi yang tidak aman dan metrik keamanan untuk perangkat IoT Anda. Ketika anomali terdeteksi, alarm memberi tahu Amazon Simple Notification Service (Amazon SNS), yang memiliki fungsi sebagai pelanggan. AWS Lambda Fungsi Lambda mengirimkan alarm sebagai pesan ke CloudWatch Log. Anda dapat menggunakan langganan CloudWatch Log untuk mendorong peristiwa ke solusi Pencatatan Terpusat Anda. Untuk informasi selengkapnya tentang ini, lihat Pemeriksaan audit, Unggah log sisi perangkat ke CloudWatch, dan Mengonfigurasi AWS IoT pencatatan dalam dokumentasi. AWS IoT Core
AWS CloudTrail log tindakan bidang AWS IoT Core kontrol yang membuat perubahan (misalnya, membuat, memperbarui, atau melampirkan APIs). Ketika CloudTrail diatur sebagai bagian dari implementasi landing zone, ia mengirimkan peristiwa ke CloudWatch Log. Anda dapat menggunakan langganan untuk mendorong acara ke solusi Pencatatan Terpusat Anda.
AWS Config aturan terkelola atau aturan khusus mengevaluasi sumber daya yang merupakan bagian dari lingkungan IoT Anda. Pantau pemberitahuan perubahan kepatuhan Anda menggunakan CloudWatch Acara dengan CloudWatch Log sebagai target. Setelah pemberitahuan perubahan kepatuhan dikirim ke CloudWatch Log, Anda dapat menggunakan langganan untuk mendorong peristiwa ke solusi Pencatatan Terpusat.
Amazon GuardDuty terus menganalisis peristiwa CloudTrail manajemen dan membantu mengidentifikasi panggilan API yang dilakukan ke AWS IoT Core titik akhir dari alamat IP berbahaya yang diketahui, geolokasi yang tidak biasa, atau proxy anonim. Pantau GuardDuty pemberitahuan menggunakan CloudWatch Acara dengan grup CloudWatch log di Log sebagai target. Saat GuardDuty notifikasi dikirim ke CloudWatch Log, Anda dapat menggunakan langganan untuk mendorong peristiwa ke solusi Pemantauan Terpusat atau menggunakan GuardDuty konsol di akun Keamanan untuk melihat notifikasi.
AWS Security Hub memantau akun IoT Anda dengan menggunakan praktik terbaik keamanan. Pantau notifikasi Security Hub dengan menggunakan CloudWatch Peristiwa dengan grup CloudWatch log di Log sebagai target. Saat pemberitahuan Security Hub dikirim ke CloudWatch Log, gunakan langganan untuk mendorong peristiwa ke solusi Pemantauan Terpusat atau gunakan konsol Security Hub di akun Keamanan Anda untuk melihat notifikasi.
Amazon Detective mengevaluasi dan menganalisis informasi untuk mengisolasi akar penyebab dan mengambil tindakan atas temuan keamanan untuk panggilan yang tidak biasa ke AWS IoT titik akhir atau layanan lain dalam arsitektur IoT Anda.
Amazon Athena meminta log yang disimpan di akun Arsip Log Anda untuk meningkatkan pemahaman Anda tentang temuan keamanan dan mengidentifikasi tren dan aktivitas berbahaya.
Alat
Amazon Athena adalah layanan kueri interaktif yang memudahkan untuk menganalisis data secara langsung di Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) menggunakan SQL standar.
AWS CloudTrailmembantu Anda mengaktifkan tata kelola, kepatuhan, dan audit operasional dan risiko Anda. Akun AWS
Amazon CloudWatch memantau AWS sumber daya Anda dan aplikasi yang Anda jalankan AWS secara real time. Anda dapat menggunakan CloudWatch untuk mengumpulkan dan melacak metrik, yang merupakan variabel yang dapat Anda ukur untuk sumber daya dan aplikasi Anda.
Amazon CloudWatch Logs memusatkan log dari semua sistem, aplikasi, dan Layanan AWS yang Anda gunakan. Anda dapat melihat dan memantau log, mencari kode atau pola kesalahan tertentu, memfilternya berdasarkan bidang tertentu, atau mengarsipkannya dengan aman untuk analisis masa depan.
AWS Configmemberikan tampilan rinci tentang konfigurasi AWS sumber daya di Anda Akun AWS.
Amazon Detective memudahkan untuk menganalisis, menyelidiki, dan dengan cepat mengidentifikasi akar penyebab temuan keamanan atau aktivitas yang mencurigakan.
AWS Glueadalah layanan ekstrak, transformasi, dan muat (ETL) yang dikelola sepenuhnya yang membuatnya sederhana dan hemat biaya untuk mengkategorikan data Anda, membersihkannya, memperkayanya, dan memindahkannya dengan andal antara berbagai penyimpanan data dan aliran data.
Amazon GuardDuty adalah layanan pemantauan keamanan berkelanjutan.
AWS IoT Coremenyediakan komunikasi dua arah yang aman untuk perangkat yang terhubung ke Internet (seperti sensor, aktuator, perangkat tertanam, perangkat nirkabel, dan peralatan pintar) untuk terhubung ke AWS Cloud melalui MQTT, HTTPS, dan WAN. LoRa
AWS IoT Device Defenderadalah layanan keamanan yang memungkinkan Anda mengaudit konfigurasi perangkat Anda, memantau perangkat yang terhubung untuk mendeteksi perilaku abnormal, dan mengurangi risiko keamanan.
Amazon OpenSearch Service adalah layanan terkelola yang memudahkan penerapan, pengoperasian, dan skala OpenSearch cluster di. AWS Cloud
AWS Organizationsadalah layanan manajemen akun yang memungkinkan Anda untuk mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
AWS Security Hubmemberikan pandangan komprehensif tentang keadaan keamanan Anda AWS dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
Amazon Virtual Private Cloud (Amazon VPC) menyediakan bagian yang terisolasi secara logis di AWS Cloud mana Anda dapat meluncurkan AWS sumber daya di jaringan virtual yang telah Anda tentukan. Jaringan virtual ini sangat mirip dengan jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaatnya yaitu menggunakan infrastruktur AWS yang dapat diskalakan.
Epik
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Validasi pagar pembatas keamanan di akun IoT. | Validasi bahwa pagar pembatas untuk CloudTrail,, AWS Config GuardDuty, dan Security Hub diaktifkan di akun IoT Anda. | Administrator AWS |
Validasi bahwa akun IoT Anda dikonfigurasi sebagai akun anggota akun Keamanan Anda. | Validasi bahwa akun IoT Anda dikonfigurasi dan dikaitkan sebagai akun anggota dan Security Hub di akun GuardDuty Keamanan Anda. Untuk informasi selengkapnya tentang hal ini, lihat Mengelola GuardDuty akun dengan AWS Organizations GuardDuty dokumentasi dan Mengelola akun administrator dan anggota di dokumentasi Security Hub. | Administrator AWS |
Validasi pengarsipan log. | Validasi itu CloudTrail, AWS Config, dan Log Aliran VPC disimpan di akun Arsip Log. | Administrator AWS |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Siapkan solusi Pencatatan Terpusat di akun Keamanan Anda. | Masuk ke akun Keamanan Anda dan siapkan solusi Pencatatan Terpusat Untuk informasi selengkapnya tentang hal ini, lihat Mengumpulkan, menganalisis, dan menampilkan CloudWatch Log Amazon dalam satu dasbor dengan solusi Pencatatan Terpusat dari panduan implementasi Pencatatan Terpusat di Perpustakaan AWS Solusi. | Administrator AWS |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Mengatur AWS IoT logging. | Masuk ke akun AWS Management Console IoT Anda. Siapkan dan konfigurasikan AWS IoT Core untuk mengirim log ke CloudWatch Log. Untuk informasi selengkapnya tentang ini, lihat Mengkonfigurasi AWS IoT logging dan Monitor AWS IoT menggunakan CloudWatch Log dalam AWS IoT Core dokumentasi. | Administrator AWS |
Mengatur AWS IoT Device Defender. | Siapkan AWS IoT Device Defender untuk mengaudit sumber daya IoT Anda dan mendeteksi anomali. Untuk informasi selengkapnya tentang ini, lihat Memulai AWS IoT Device Defender dalam AWS IoT Core dokumentasi. | Administrator AWS |
Mengatur CloudTrail. | Siapkan CloudTrail untuk mengirim acara ke CloudWatch Log. Untuk informasi selengkapnya tentang ini, lihat Mengirim peristiwa ke CloudWatch Log dalam CloudTrail dokumentasi. | Administrator AWS |
Mengatur AWS Config dan AWS Config mengatur. | Mengatur AWS Config dan AWS Config aturan yang diperlukan. Untuk informasi selengkapnya tentang ini, lihat Menyiapkan AWS Config dengan konsol dan Menambahkan AWS Config aturan dalam AWS Config dokumentasi. | Administrator AWS |
Mengatur GuardDuty. | Siapkan dan konfigurasikan GuardDuty untuk mengirim temuan ke CloudWatch Acara Amazon dengan grup CloudWatch log di Log sebagai target. Untuk informasi selengkapnya tentang hal ini, lihat Membuat tanggapan khusus terhadap GuardDuty temuan dengan CloudWatch Acara Amazon di GuardDuty dokumentasi. | Administrator AWS |
Siapkan Security Hub. | Siapkan Security Hub dan aktifkan standar CIS AWS Foundations Benchmark dan AWS Foundational Security Best Practices. Untuk informasi selengkapnya tentang hal ini, lihat Respons dan remediasi otomatis dalam dokumentasi Security Hub. | Administrator AWS |
Siapkan Detektif Amazon. | Siapkan Detektif untuk memfasilitasi analisis temuan keamanan. Untuk informasi selengkapnya tentang ini, lihat Memulai Detektif Amazon di dokumentasi Detektif Amazon. | Administrator AWS |
Siapkan Amazon Athena dan. AWS Glue | Siapkan Athena dan AWS Glue untuk menanyakan Layanan AWS log yang melakukan investigasi insiden keamanan. Untuk informasi selengkapnya tentang hal ini, lihat Menanyakan Layanan AWS log di dokumentasi Amazon Athena. | Administrator AWS |
Sumber daya terkait
