自動化 AWS Security Hub 標準調查結果補救 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

自動化 AWS Security Hub 標準調查結果補救

由香提尼潘美薩 (AWS) 創建

環境:生產

技術:安全、身份、合規

工作負載:所有其他工作負載

AWS 服務:AWS CloudFormation; Amazon CloudWatch; AWS Lambda; AWS Security Hub; Amazon SNS

Summary

透過 AWS Security Hub,您可以啟用標準最佳實務的檢查,如下所示:

  • AWS 基礎安全最佳實務

  • CIS AWS Foundations

  • PCI DSS

每個標準都有預先定義的控制項。Security Hub 會檢查指定 AWS 帳戶中的控制項,並報告結果。

AWS Security Hub 預設會將所有發現項目傳送到 Amazon EventBridge。此模式提供安全控制,可部署 EventBridge 規則,以識別 AWS 基礎安全最佳實務標準發現結果。該規則識別 AWS 基礎安全最佳實務標準的自動擴展、虛擬私有雲 (VPC)、Amazon 彈性區塊存放區 (Amazon EBS) 和 Amazon 關聯式資料庫服務 (Amazon RDS) 的下列結果:

  • [AutoScaling.1] 與負載平衡器相關聯的 Auto Scaling 群組應使用負載平衡器運作狀態檢查

  • [EC2.2] VPC 預設安全群組不應允許傳入和傳出流量

  • [EC2.6] VPC 流量記錄應該在所有 VPC 中啟用

  • [EC2.7] 應該啟用 EBS 默認加密

  • [RDS.1] RDS 快照應為私有

  • [RDS.6] 應該為 RDS 資料庫執行個體和叢集設定增強型監控

  • [RDS.7] RDS 叢集應該啟用刪除保護

EventBridge 規則會將這些發現項目轉寄至 AWS Lambda 函數,以補救發現項目。然後 Lambda 函數會將附有補救資訊的通知傳送到 Amazon Simple Notification Service (Amazon SNS) 主題。

先決條件和限制

先決條件

  • 作用中的 AWS 帳戶

  • 您想要接收補救通知的電子郵件地址

  • 在您打算部署控制項的 AWS 區域中啟用 Security Hub 和 AWS Config

  • Amazon Simple Storage Service (Amazon S3) 儲存貯體位於與控制項相同的區域,以用於上傳 AWS Lambda 程式碼

限制

  • 此安全性控制會在安全性控制部署後自動補救報告的新發現項目。若要修復現有的發現項目,請在 Security Hub 主控台上手動選取發現項目。然後,在動作,請選取AFSB 普雷米迪自訂動作,以作為 AWS CloudFormation 部署的一部分而建立。

  • 此安全控制是區域性的,必須部署在您要監控的 AWS 區域中。

  • 對於 EC2.6 補救措施,若要啟用 VPC 流量日誌,將以 /vpc流量日誌/vPC_id 格式建立一個 Amazon CloudWatch Logs 群組。如果記錄群組存在相同名稱,則會使用現有的記錄群組。

  • 針對 EC2.7 補救措施,若要啟用 Amazon EBS 預設加密,則會使用預設的 AWS Key Management Service (AWS KMS) 金鑰。這項變更會防止使用某些不支援加密的執行個體。

Architecture

目標技術堆疊

  • Lambda 功能

  • Amazon SNS 主題

  • EventBridge 規則

  • Lambda 函數、VPC 流量記錄和 Amazon Resource Service (Amazon RDS) 增強型監控的 AWS Identity and Access Management (IAM) 角色

目標架構

自動化和擴充

若您使用 AWS Organizations,您可以使用AWS CloudFormation StackSets,將此範本部署到您要監視的多個帳戶中。

Tools

工具

  • AWS CloudFormation— AWS CloudFormation 是一項服務,可協助您利用基礎設施作為程式碼來塑造模型及設定 AWS 資源。

  • EventBridge— Amazon EventBridge 可從自己的應用程式、軟體即服務 (SaaS) 應用程式和 AWS 服務提供即時資料串流,然後將該資料路由到 Lambda 函數等目標。

  • Lambda— AWS Lambda 支援執行程式碼,無需佈建或管理伺服器。

  • Amazon S3— Amazon Simple Storage Service (Amazon S3) 是一種可高度擴展的物件儲存服務,可用於各種儲存解決方案,包括網站、行動應用程式、備份和資料湖。

  • Amazon SNS— Amazon Simple Notification Service (Amazon SNS) 協調和管理發佈者和用戶端之間的訊息傳遞或傳送,包括 Web Server 和電子郵件地址。訂閱者會收到發佈到所訂閱主題的所有訊息,且某一主題的所有訂閱者均會收到相同訊息。

Epics

任務描述所需技能
定義 S3 儲存貯體。

在 Amazon S3 主控台上,選擇或建立具有不包含前導斜線的唯一名稱的 S3 儲存貯體。S3 儲存貯體的名稱必須是全域唯一,且命名空間會由所有 AWS 帳戶共享。您的 S3 儲存貯體必須位於與正在評估的 Security Hub 發現項目相同的區域。

雲端架構師
將 Lambda 程式碼上傳至 S3 儲存貯體。

將「附件」一節中所提供的 Lambda 程式碼 .zip 檔案上傳至已定義的 S3 儲存貯體。

雲端架構師
部署 AWS CloudFormation 範本。

部署作為此模式附件提供的 AWS CloudFormation 範本。在下一個史詩中,提供參數的值。

雲端架構師
任務描述所需技能
提供 S3 儲存貯體名稱。

輸入您在第一部史詩中建立的 S3 儲存貯體名稱。

雲端架構師
提供 Amazon S3 前綴。

在 S3 儲存貯體中提供 Lambda 程式碼 .zip 檔案的位置,不含前導斜線 (例如 <directory>/<file-name> .zip)。

雲端架構師
提供 SNS 主題 ARN。

若您想要使用現有 SNS 主題進行補救通知,請提供 SNS 主題 Amazon Resource Name (ARN)。若要使用新的 SNS 主題,請將值保留為「無」(預設值)。

雲端架構師
提供電子郵件地址。

提供您要接收補救通知的電子郵件地址 (只有在您希望 AWS CloudFormation 建立 SNS 主題時才需要)。

雲端架構師
定義記錄層級。

定義 Lambda 函數的記錄層級和頻率。「資訊」指定有關應用程式進度的詳細資訊訊息。「錯誤」指定仍可允許應用程式繼續執行的錯誤事件。警告」指出潛在有害的狀況。

雲端架構師
提供 VPC 流程記錄 IAM 角色 ARN。

提供用於 VPC 流程記錄的 IAM 角色 ARN。(如果輸入「無」作為輸入,AWS CloudFormation 會建立 IAM 角色並使用它。)

雲端架構師
提供 RDS 增強型監控 IAM 角色 ARN。

提供用於 RDS 增強型監控的 IAM 角色 ARN。(如果輸入「無」,AWS 雲端格式會建立 IAM 角色並使用它。)

雲端架構師
任務描述所需技能
確認 Amazon SNS 訂閱。

成功部署範本時,如果已建立新的 SNS 主題,訂閱訊息會傳送至您所提供的電子郵件地址。若要接收補救通知,您必須確認此訂閱電子郵件訊息。

雲端架構師

相關資源

Attachments

attachment.zip