Casi d'uso di integrazione e autorizzazioni richieste - AWS Security Hub
Ospitato dal partner: risultati inviati dall'account del partnerOspitato dal partner: risultati inviati dall'account del clienteCustomer hosted: risultati inviati dall'account del cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Casi d'uso di integrazione e autorizzazioni richieste

AWS Security Hub consente AWS ai clienti di ricevere i risultati dai partner APN. I prodotti del partner possono funzionare all'interno o all'esterno dell' AWS account del cliente. La configurazione delle autorizzazioni nell'account del cliente varia in base al modello utilizzato dal prodotto partner.

In Security Hub, il cliente controlla sempre quali partner possono inviare i risultati all'account del cliente. I clienti possono revocare le autorizzazioni di un partner in qualsiasi momento.

Per consentire a un partner di inviare i risultati di sicurezza al proprio account, il cliente sottoscrive innanzitutto il prodotto partner in Security Hub. La fase di sottoscrizione è necessaria per tutti i casi d'uso descritti di seguito. Per i dettagli su come i clienti gestiscono le integrazioni dei prodotti, consulta Gestire le integrazioni dei prodotti nella Guida per l'AWS Security Hub utente.

Dopo che un cliente si è abbonato a un prodotto partner, Security Hub crea automaticamente una politica delle risorse gestite. La politica concede al prodotto partner l'autorizzazione a utilizzare l'operazione BatchImportFindingsAPI per inviare i risultati a Security Hub per l'account del cliente.

Ecco i casi più comuni di prodotti partner che si integrano con Security Hub. Le informazioni includono le autorizzazioni aggiuntive richieste per ogni caso d'uso.

Ospitato dal partner: risultati inviati dall'account del partner

Questo caso d'uso riguarda i partner che ospitano un prodotto AWS sul proprio account. Per inviare i risultati di sicurezza relativi a un AWS cliente, il partner richiama l'operazione BatchImportFindingsAPI dall'account del prodotto del partner.

In questo caso d'uso, l'account cliente necessita solo delle autorizzazioni stabilite quando il cliente si abbona al prodotto partner.

Nell'account partner, il principale IAM che chiama l'operazione BatchImportFindingsAPI deve disporre di una policy IAM che consenta al principale di effettuare chiamate. BatchImportFindings

Consentire a un prodotto partner di inviare i risultati al cliente in Security Hub è un processo in due fasi:

  1. Il cliente crea un abbonamento a un prodotto partner in Security Hub.

  2. Security Hub genera la corretta politica delle risorse gestite con la conferma del cliente.

Per inviare i risultati di sicurezza relativi all'account del cliente, il prodotto partner utilizza le proprie credenziali per richiamare l'operazione BatchImportFindingsAPI.

Ecco un esempio di policy IAM che concede al responsabile dell'account partner le autorizzazioni necessarie per il Security Hub.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Ospitato dal partner: risultati inviati dall'account del cliente

Questo caso d'uso riguarda i partner che ospitano un prodotto nel proprio AWS account, ma utilizzano un ruolo interaccount per accedere all'account del cliente. Richiamano il funzionamento dell'BatchImportFindingsAPI dall'account del cliente.

In questo caso d'uso, per richiamare l'operazione BatchImportFindingsAPI, l'account partner assume un ruolo IAM gestito dal cliente nell'account del cliente.

Questa chiamata viene effettuata dall'account del cliente. Pertanto, la politica delle risorse gestite deve consentire l'utilizzo dell'ARN del prodotto per l'account del prodotto partner nella chiamata. La politica delle risorse gestite di Security Hub concede l'autorizzazione per l'account del prodotto partner e l'ARN del prodotto partner. L'ARN del prodotto è l'identificatore univoco del partner come fornitore. Poiché la chiamata non proviene dall'account del prodotto partner, il cliente deve concedere esplicitamente l'autorizzazione al prodotto partner per inviare i risultati a Security Hub.

La migliore pratica per i ruoli tra account partner e account cliente consiste nell'utilizzare un identificatore esterno fornito dal partner. Questo identificatore esterno fa parte della definizione della politica tra account diversi nell'account del cliente. Il partner deve fornire l'identificatore quando assume il ruolo. Un identificatore esterno fornisce un ulteriore livello di sicurezza quando si concede l'accesso all' AWS account a un partner. L'identificatore univoco garantisce che il partner utilizzi l'account cliente corretto.

L'abilitazione di un prodotto partner a inviare i risultati al cliente in Security Hub con un ruolo interaccount avviene in quattro passaggi:

  1. Il cliente, o il partner che utilizza ruoli interaccount che lavorano per conto del cliente, avvia l'abbonamento a un prodotto in Security Hub.

  2. Security Hub genera la corretta politica delle risorse gestite con la conferma del cliente.

  3. Il cliente configura il ruolo tra account diversi manualmente o utilizzando. AWS CloudFormation Per informazioni sui ruoli tra account diversi, consulta Fornire l'accesso agli AWS account di proprietà di terze parti nella IAM User Guide.

  4. Il prodotto archivia in modo sicuro il ruolo del cliente e l'ID esterno.

Successivamente, il prodotto invia i risultati a Security Hub:

  1. Il prodotto chiama il AWS Security Token Service (AWS STS) per assumere il ruolo di cliente.

  2. Il prodotto richiama l'operazione BatchImportFindingsAPI su Security Hub con le credenziali temporanee del ruolo assunto.

Ecco un esempio di policy IAM che concede le autorizzazioni di Security Hub necessarie al ruolo cross-account del partner.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

La Resource sezione della policy identifica l'abbonamento specifico del prodotto. Ciò garantisce che il partner possa inviare solo i risultati relativi al prodotto partner a cui il cliente è abbonato.

Customer hosted: risultati inviati dall'account del cliente

Questo caso d'uso riguarda i partner che dispongono di un prodotto distribuito nell' AWS account del cliente. L'BatchImportFindingsAPI viene richiamata dalla soluzione che viene eseguita nell'account del cliente.

In questo caso d'uso, al prodotto partner devono essere concesse autorizzazioni aggiuntive per chiamare l'BatchImportFindingsAPI. Il modo in cui viene concessa questa autorizzazione varia in base alla soluzione del partner e a come è configurata nell'account del cliente.

Un esempio di questo approccio è un prodotto partner che viene eseguito su un' EC2 istanza nell'account del cliente. A questa EC2 istanza deve essere associato un ruolo di EC2 istanza che garantisca a tale istanza la possibilità di richiamare l'operazione BatchImportFindingsAPI. Ciò consente all' EC2 istanza di inviare i risultati di sicurezza all'account del cliente.

Questo caso d'uso è funzionalmente equivalente a uno scenario in cui un cliente carica nel proprio account i risultati di un prodotto di sua proprietà.

Il cliente consente al prodotto partner di inviare i risultati dall'account del cliente al cliente in Security Hub:

  1. Il cliente implementa manualmente il prodotto partner nel proprio AWS account utilizzando AWS CloudFormation o un altro strumento di implementazione.

  2. Il cliente definisce la politica IAM necessaria per il prodotto partner da utilizzare quando invia i risultati a Security Hub.

  3. Il cliente allega la policy ai componenti necessari del prodotto partner, come un' EC2 istanza, un contenitore o una funzione Lambda.

Ora il prodotto può inviare i risultati a Security Hub:

  1. Il prodotto partner utilizza l' AWS SDK o AWS CLI per chiamare l'operazione BatchImportFindingsAPI in Security Hub. Effettua la chiamata dal componente dell'account del cliente a cui è allegata la politica.

  2. Durante la chiamata API, vengono generate le credenziali temporanee necessarie per consentire l'esito positivo della BatchImportFindingschiamata.

Ecco un esempio di policy IAM che concede le necessarie autorizzazioni Security Hub al prodotto partner nell'account cliente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}