自动修复 S AWS ecurity Hub 标准调查结果 - AWS Prescriptive Guidance

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动修复 S AWS ecurity Hub 标准调查结果

由 Chandini Penmetsa (AWS) 和 Aromal Raj Jayarajan () 创作 AWS

摘要

借AWS助 Security Hub,您可以启用对标准最佳做法的检查,例如:

  • AWS 基础安全最佳实践

  • CISAWS基金会基准

  • 支付卡行业数据安全标准 (PCIDSS)

这些标准中的每一个都有预定义的控件。Security Hub 会检查给定AWS账户中的控制并报告调查结果。

AWS默认情况下,Securit EventBridge y Hub 会将所有调查结果发送给亚马逊。此模式提供了一种安全控制,可部署 EventBridge 规则来识别AWS基础安全最佳实践标准调查结果。该规则根据基础安全最佳实践标准确定了自动扩展、虚拟私有云 (VPCs)、亚马逊弹性区块存储 (AmazonEBS) 和亚马逊关系数据库服务 (AmazonRDS) 的以下AWS发现:

  • [AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用负载均衡器运行状况检查

  • [EC2.2] VPC 默认安全组不应允许入站和出站流量

  • [EC2.6] 应全部启用VPC流日志记录 VPCs

  • [EC2.7] 应EBS启用默认加密

  • [RDS.1] RDS 快照应该是私有的

  • [RDS.6] 应为RDS数据库实例和集群配置增强监控

  • [RDS.7] RDS 群集应启用删除保护

该 EventBridge 规则将这些发现转发给 Lambd AWS a 函数,该函数会对发现结果进行补救。然后,Lambda 函数向亚马逊简单通知服务 (AmazonSNS) 主题发送包含补救信息的通知。

先决条件和限制

先决条件

  • 一个活跃的AWS账户

  • 您希望在其中接收补救通知的电子邮件地址

  • 在您打算部署控件的AWS区域中启用了 Security Hub 和 AWS Config

  • 与上传 Lambda 代码的控件位于同一区域的亚马逊简单存储服务 (Amazon S3) 存储桶 AWS

限制

  • 此安全控件会自动修复安全控制部署后报告的新调查发现。若要补救现有调查发现,请在 Security Hub 控制台上手动选择调查发现。然后,在 “操作” 下,选择在部署过程中由创建的AFSBPRemedy自定义操作AWS CloudFormation。

  • 此安全控制是区域性的,必须部署在您要监控的AWS区域。

  • 对于 EC2 .6 补救措施,要启用VPC流日志,将以 with /VpcFlowLogs/vpc _id CloudWatch 格式创建一个 Amazon 日志组。如果存在同名日志组,则将使用现有的日志组。

  • 对于 EC2 .7 补救措施,要启用 Amazon EBS 默认加密,请使用默认的AWS密钥管理服务 (AWSKMS) 密钥。此更改可防止使用某些不支持加密的实例。

架构

目标技术堆栈

  • Lambda 函数

  • 亚马逊SNS话题

  • EventBridge 规则

  • AWS身份和访问管理 (IAM) 角色用于 Lambda 函数、VPC流日志和亚马逊关系数据库服务 (亚马逊RDS) 增强监控

目标架构

自动修复 Sec AWS urity Hub 发现的工作流程。

自动化和扩缩

如果您使用的是 Or AWS ganizations,则可以使用将此模板部署AWS CloudFormation StackSets到您希望它监控的多个账户中。

工具

工具

  • AWS CloudFormation— AWS CloudFormation 是一项通过使用基础架构即代码来帮助您建模和设置AWS资源的服务。

  • EventBridge— Amazon EventBridge 提供来自您自己的应用程序、软件即服务 (SaaS) 应用程序和AWS服务的实时数据流,并将这些数据路由到 Lambda 函数等目标。

  • Lambda — Lamb AWS da 支持在不预配置或管理服务器的情况下运行代码。

  • Amazon S3 – Amazon Simple Storage Service (Amazon S3) 是一项高度可扩展的对象存储服务,可用于各种存储解决方案,包括网站、移动应用程序、备份和数据湖。

  • 亚马逊 SNS — 亚马逊简单通知服务 (AmazonSNS) 协调和管理发布者与客户之间的消息传送或发送,包括网络服务器和电子邮件地址。订阅用户接收所有发布至他们所订阅主题的消息,并且一个主题的所有订阅用户收到的消息都相同。

最佳实践

操作说明

任务描述所需技能

定义 S3 存储桶。

在 Amazon S3 控制台上,选择或创建一个具有不包含前导斜杠的唯一名称的 S3 存储桶。S3 存储桶名称是全球唯一的,命名空间由所有AWS账户共享。您的 S3 存储桶必须与评估中的 Security Hub 调查发现位于同一区域。

云架构师

将 Lambda 代码上传至 S3 存储桶。

将“附件”部分中提供的 Lambda 代码.zip 文件上传到定义的 S3 存储桶。

云架构师

部署 AWS CloudFormation 模板。

部署作为该模式附件提供的AWS CloudFormation 模板。在下一个操作说明中,提供参数的值。

云架构师
任务描述所需技能

提供 S3 存储桶名称。

输入您在第一个操作说明中创建的 S3 存储桶的名称。

云架构师

提供 Amazon S3 前缀。

提供 Lambda 代码 .zip 文件在 S3 存储桶中的位置,不带前导斜杠(例如,<directory>/<file-name>.zip)。

云架构师

提供SNS主题ARN。

如果您想使用现有SNS主题发送补救通知,请提供SNS主题 Amazon 资源名称 (ARN)。要使用新SNS主题,请将该值保留为 “无”(默认值)。

云架构师

提供电子邮箱地址。

提供您想要接收补救通知的电子邮件地址(仅在AWS CloudFormation 要创建SNS主题时才需要)。

云架构师

定义日志记录级别。

定义 Lambda 函数的日志记录级别与频率。“信息”表示有关应用程序进度的详细信息消息。“错误”表示仍可能允许应用程序继续运行的错误事件。“警告”表示潜在的有害情况。

云架构师

提供VPC流日志IAM角色ARN。

提供ARN用于VPC流日志的IAM角色。(如果输入 “无” 作为输入,则AWS CloudFormation 创建一个IAM角色并使用它。)

云架构师

提供 “RDS增强监控” IAM 角色ARN。

提供ARN用于RDS增强监控的IAM角色。(如果输入 “无”,则AWS CloudFormation 创建一个IAM角色并使用它。)

云架构师
任务描述所需技能

确认亚马逊SNS订阅。

成功部署模板后,如果创建了新SNS主题,则会向您提供的电子邮件地址发送订阅消息。您必须确认此订阅电子邮件消息,才能开始接收补救通知。

云架构师

相关资源

附件

要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip