SEC04-BP04 启动对不合规资源的修复 - 安全支柱
实施指导资源

SEC04-BP04 启动对不合规资源的修复

您的检测性控制措施可能会对不符合配置要求的资源发出警报。您可以手动或自动启动以编程方式定义的修复措施,用于修复这些资源并尽可能减少潜在影响。通过以编程方式定义的修复措施,您可以迅速采取一致的行动。

虽然利用自动化功能可以增强安全修复操作,但您应谨慎地实施和管理自动化功能。 您需要建立适当的监督和控制机制,确保自动化响应有效、准确且符合组织的策略和风险偏好。

期望结果:您定义了资源配置标准,以及在检测到资源不合规情况时应采取的修复措施。您尽可能以编程方式定义修复措施,以便手动或者自动启动这些措施。实施了检测系统,用于识别不合规的资源,并将警报发布到由您的安全人员监控的集中式工具。这些工具支持手动或自动运行您的程序化修复措施。采取了相应的监督和控制机制来管控自动修复措施的使用。

常见反模式:

  • 您实施了自动化功能,但没有全面测试和验证修复措施。这可能会导致意外的后果,例如中断合法的业务运营或导致系统不稳定。

  • 您利用自动化功能来改善响应时间和流程,但没有采取适当的监控和机制,以便在需要时进行人工干预和判断。

  • 您完全依赖修复措施,而不是将修复措施作为一部分,融入到更全面的事件响应和恢复计划中。

建立此最佳实践的好处:面对错误配置,自动修复的响应速度比手动流程更快,这让您可以尽量减少潜在的业务影响,并减少出现意外使用情况的机会。以编程方式定义修复措施后,可以始终如一地应用这些措施,从而降低人为错误的风险。自动化功能还可以同时处理更大量的警报,这在大规模运行的环境中尤其重要。 

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

SEC01-BP03 识别并验证控制目标中所述,AWS Config 等服务可以帮助您监控账户中资源的配置,以便遵守您的要求。 在检测到不合规资源时,我们建议您配置向云安全状态管理(CSPM,Cloud Security Posture Management)解决方案(例如 AWS Security Hub)发送警报,协助实施修复措施。这些解决方案为安全调查人员提供了一个中心位置,可用来监控问题和采取纠正措施。

一些不合规资源的情况会非常独特,需要人工判断才能修复,不过其它情况可以采取以编程方式定义的标准响应。例如,对于 VPC 安全组的配置错误,标准响应可以是删除不允许的规则并通知负责人。可以在 AWS Lambda 函数、AWS Systems Manager Automation 文档中或者通过其它您常用的代码编写环境来定义响应措施。确保环境能够使用 IAM 角色在 AWS 上进行身份验证,并具有执行纠正措施所需的最低权限。

在定义了所需的修复措施之后,您就可以确定启动修复措施的首选方式。AWS Config 可以为您启动修复。如果您使用 Security Hub,则可以通过自定义操作来执行这个过程,自定义操作会将调查发现信息发布到 Amazon EventBridge。然后,EventBridge 规则启动修复措施。您可以在 Security Hub 中将自定义操作配置为自动或手动运行。 

对于程序化的修复措施,我们建议您全面记录所采取的行动及其结果,并进行审计。查看和分析这些日志,以评测自动化流程的有效性,并确定需要改进的地方。将 Amazon CloudWatch Logs 中的日志和修复结果作为调查发现备注收集到 Security Hub 中。

首先,您可以考虑 AWS 上的自动化安全响应,其中预先构建了修复措施,用于解决常见的安全配置错误。

实施步骤

  1. 分析警报并确定其优先级。

    1. 将来自各种 AWS 服务的安全警报整合到 Security Hub 中,以便在集中位置进行查看、划分优先级和执行修复措施。

  2. 制定修复措施。

    1. 使用 Systems Manager 和 AWS Lambda 等服务来运行程序化的修复措施。

  3. 配置启动修复的方式。

    1. 使用 Systems Manager,定义将调查发现发布到 EventBridge 的自定义操作。将这些操作配置为手动或自动启动。

    2. 如果需要,您还可以使用 Amazon Simple Notification Service(SNS)向相应的利益相关者(例如安全团队或事件响应团队)发送通知和警报,以便进行手动干预或上报。

  4. 查看和分析修复日志,了解有效性并发现改进的机会。

    1. 将日志输出发送到 CloudWatch Logs。在 Security Hub 中将结果收集为调查发现备注。

资源

相关最佳实践:

相关文档:

相关示例:

相关工具: