As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Reative automaticamente a AWS CloudTrail usando uma regra de remediação personalizada no AWS Config
Criado por Manigandan Shri (AWS)
Ambiente: produção | Tecnologias: infraestrutura, operações, segurança, identidade, conformidade | Serviços da AWS: Amazon S3; AWS Config; AWS KMS; AWS Identity and Access Management; AWS Systems Manager; AWS CloudTrail |
Resumo
A visibilidade da atividade em sua conta da Amazon Web Services (AWS) é uma importante prática recomendada operacional e de segurança. CloudTrail A AWS ajuda você com a governança, a conformidade e a auditoria operacional e de risco da sua conta.
Para garantir que CloudTrail permaneça habilitado em sua conta, o AWS Config fornece a regra cloudtrail-enabled gerenciada. Se CloudTrail estiver desativada, a cloudtrail-enabled regra a reativa automaticamente usando a correção automática.
No entanto, você deve se certificar de seguir as melhores práticas de segurança para CloudTrail usar a remediação automática. Essas melhores práticas incluem habilitar CloudTrail em todas as regiões da AWS, registrar cargas de trabalho de leitura e gravação, habilitar insights e criptografar arquivos de log com criptografia do lado do servidor usando chaves gerenciadas (SSE-KMS) do AWS Key Management Service (AWS KMS).
Esse padrão ajuda você a seguir essas melhores práticas de segurança, fornecendo uma ação de remediação personalizada para ser reativada automaticamente CloudTrail em sua conta.
Importante: recomendamos o uso de políticas de controle de serviço (SCPs) para evitar qualquer adulteração. CloudTrail Para obter mais informações sobre isso, consulte a CloudTrail seção Prevenir adulteração na AWS sobre Como usar o AWS Organizations para simplificar a segurança em grande escala no blog
Pré-requisitos e limitações
Pré-requisitos
Uma conta AWS ativa
Permissões para criar um runbook do AWS Systems Manager Automation
Uma trilha existente para sua conta
Limitações
Esse padrão não é compatível com as seguintes ações:
Configurar uma chave de prefixo do Amazon Simple Storage Service (Amazon S3) para o local de armazenamento da chave de prefixo
Publicar para um tópico do Amazon Simple Notification Service (Amazon SNS)
Configurando o Amazon CloudWatch Logs para monitorar seus CloudTrail registros
Arquitetura
Pilha de tecnologia
AWS Config
CloudTrail
Systems Manager
Automação do Systems Manager
Ferramentas
O AWS Config oferece uma exibição detalhada da configuração dos recursos da AWS em sua conta.
CloudTrailA AWS ajuda você a viabilizar a governança, a conformidade e a auditoria operacional e de risco da sua conta.
O AWS Key Management Service (AWS KMS) é um serviço de criptografia e gerenciamento de chave com escalabilidade para a nuvem.
O AWS Systems Manager ajuda a visualizar e controlar a infraestrutura na AWS.
O AWS Systems Manager Automation simplifica tarefas comuns de manutenção e implantação das instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e outros recursos da AWS.
O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
Código
O cloudtrail-remediation-actionarquivo.yml (anexado) ajuda você a criar um runbook do Systems Manager Automation para configurar e reativar CloudTrail usando as melhores práticas de segurança.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Criar um bucket do S3. | Faça login no AWS Management Console, abra o console Amazon S3 e crie um bucket S3 para armazenar os registros. CloudTrail Para obter mais informações, consulte Criar um bucket S3 na documentação do Amazon S3. | Administrador de sistemas |
Adicione uma política de bucket para permitir CloudTrail a entrega de arquivos de log para o bucket do S3. | CloudTrail deve ter as permissões necessárias para entregar arquivos de log ao seu bucket do S3. No console do Amazon S3, escolha o bucket do S3 criado anteriormente e escolha Permissões. Crie uma política de bucket do S3 usando a política de bucket do Amazon S3 da CloudTrail CloudTrail documentação. Para visualizar as etapas de como adicionar uma política a um bucket do S3, consulte Adicionar uma política de bucket usando o console do Amazon S3 na documentação do Amazon S3. Importante: se você especificou um prefixo ao criar sua trilha CloudTrail, certifique-se de incluí-lo na política de bucket do S3. O prefixo é uma opção adicional para a chave do objeto do S3 que cria uma organização em formato de pasta no seu bucket do S3. Para obter mais informações sobre isso, consulte Criação de uma trilha na CloudTrail documentação. | Administrador de sistemas |
Criar uma chave do KMS. | Crie uma chave do AWS KMS para CloudTrail criptografar objetos antes de adicioná-los ao bucket do S3. Para obter ajuda com essa história, consulte Criptografar arquivos de CloudTrail log com chaves gerenciadas do AWS KMS (SSE-KMS) na documentação. CloudTrail | Administrador de sistemas |
Adicione uma política de chaves à chave do KMS. | Anexe uma política de chave KMS para CloudTrail permitir o uso da chave KMS. Para obter ajuda com essa história, consulte Criptografar arquivos de CloudTrail log com chaves gerenciadas pelo AWS KMS (SSE-KMS) na documentação. CloudTrail Importante: CloudTrail não requer | Administrador de sistemas |
Crie AssumeRole o runbook do Systems Manager | Crie um | Administrador de sistemas |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Crie um runbook do Systems Manager Automation. | Use o arquivo | Administrador de sistemas |
Teste o runbook. | No console do Systems Manager, teste o runbook do Systems Manager Automation que você criou anteriormente. Para obter mais informações, consulte Executar uma automação simples na documentação do Systems Manager. | Administrador de sistemas |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Adicione a regra CloudTrail -enabled. | No console do AWS Config, escolha Regras e, em seguida, escolha Adicionar regra. Na página Add rule (Adicionar regra), selecione Add custom rule (Adicionar regra personalizada). Na página Configurar regra, digite um nome e uma descrição para a regra | Administrador de sistemas |
Adicione a ação de correção automática. | Na lista suspensa Ações, escolha Gerenciar remediação. Escolha Remediação automática e, em seguida, escolha o runbook do Systems Manager que você criou anteriormente. A seguir estão os parâmetros de entrada necessários para CloudTrail:
Os seguintes parâmetros de entrada são definidos como verdadeiros por padrão:
Mantenha os valores padrão para o parâmetro Parâmetros de limite de taxa e parâmetro de ID de recurso. Escolha Salvar. Para obter mais informações, consulte Remediar recursos da AWS não compatíveis com as regras do AWS Config na documentação do AWS Config. | Administrador de sistemas |
Teste a regra de remediação automática. | Para testar a regra de remediação automática, abra o CloudTrail console, escolha Trilhas e, em seguida, escolha a trilha. Escolha Parar registro em log para desativar o registro na trilha. Quando você for solicitado a confirmar, escolha Parar de registrar. CloudTrail interrompe a atividade de registro dessa trilha. Siga as instruções de Avaliação de seus recursos na documentação do AWS Config para garantir CloudTrail que ela seja reativada automaticamente. | Administrador de sistemas |
Recursos relacionados
Configurar CloudTrail
Crie e teste o runbook do Systems Manager Automation
Configure a regra de remediação automática no AWS Config
Recursos adicionais
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip
