使用 Amazon Inspector 和 AWS Security Hub 自動執行跨帳戶工作負載的安全掃描 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Inspector 和 AWS Security Hub 自動執行跨帳戶工作負載的安全掃描

由麥凱許 ‧ 卡納爾 (AWS) 創建

環境:生產

技術:安全、身份、合規;操作

AWS 服務:Amazon Inspector; Amazon SNS; AWS Lambda; AWS Security Hub; Amazon CloudWatch 察

Summary

此模式描述如何自動掃描 Amazon Web Services (AWS) 雲端跨帳戶工作負載中的弱點。

該模式有助於針對按標籤分組的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體建立基於主機的掃描排程,或針對基於網路的 Amazon Inspector 掃描。AWS CloudFormation 堆疊會將所有必要的 AWS 資源和服務部署到您的 AWS 帳戶。

Amazon Inspector 發現的結果會匯出到 AWS Security Hub,並提供帳戶、AWS 區域、虛擬私有雲 (VPC) 和 EC2 執行個體漏洞的深入解析。您可以透過電子郵件接收這些發現結果,也可以建立 Amazon Simple Notification Service (Amazon SNS) 主題,該主題使用 HTTP 端點將發現結果傳送到票務工具、安全資訊和事件管理 (SIEM) 軟體或其他第三方安全解決方案。

先決條件和限制

先決條件

  • 接收 Amazon SNS 電子郵件通知的現有電子郵件地址。 

  • 票務工具、SIEM 軟體或其他協力廠商安全性解決方案所使用的現有 HTTP 端點。

  • 託管跨帳戶工作負載的現用 AWS 帳戶,包括中央稽核帳戶。 

  • Security Hub,已啟用並設定。您可以在沒有 Security Hub 的情況下使用此模式,但我們建議您使用安全性中樞,因為它會產生深入解析。如需詳細資訊,請參閱「」設定 Security Hub在 AWS Security Hub 文件中。

  • 您必須在要掃描的每個 EC2 執行個體上安裝 Amazon Inspector 代理程式。您可以使用 Amazon Inspector 代理在多個 EC2 執行個體上安裝 Amazon Inspector 代理。AWS Systems Manager Run Command。 

技能

  • 使用體驗self-managedservice-managedAWS CloudFormation 中堆疊集的權限。如果您想要使用self-managed許可將堆疊執行個體部署到特定區域中的特定帳戶,您必須建立所需的 AWS Identity and Access Management (IAM) 角色。如果您想要使用service-managed許可將堆疊執行個體部署到特定區域中由 AWS Organizations 管理的帳戶,您無需建立必要的 IAM 角色。如需詳細資訊,請參閱「」建立堆疊集在 AWS CloudFormation 文件中。 

限制

  • 如果沒有標籤應用於帳戶中的 EC2 執行個體,則 Amazon Inspector 會掃描該帳戶中的所有 EC2 執行個體。

  • AWS CloudFormation 堆疊集和上架稽核帳戶 .yaml 檔案 (已附加) 必須部署在相同的區域。

  • 針對美國東部 (維吉尼亞北部) 區域 (US-East-1) 的 SNS 主題,這個模式可以在每秒 30,000 筆交易的發布配額 (TPS) 下進行擴展,雖然限制會因區域而有所不同。為了更有效地擴展並避免資料遺失,我們建議您在 SNS 主題前使用 Amazon 簡易佇列服務 (Amazon SQS)。

Architecture

下圖說明自動掃描 EC2 執行個體的工作流程。

工作流程包含下列步驟:

1. Amazon EventBridge 規則使用 cron 表達式在特定的時間表自我啟動,並啟動 Amazon Inspector。  

2. Amazon Inspector 掃描帳戶中標記的 EC2 實例。 

3. Amazon Inspector 會將發現結果傳送到 Security Hub,該中樞會產生工作流程、優先順序和補救的深入解析。

4. Amazon Inspector 也會將評估狀態傳送至稽核帳戶中的 SNS 主題。如果使用 AWS Lambda 函數,則會呼叫findings reported事件會發佈到 SNS 主題。 

5. Lambda 函數會擷取、格式化並將發現項目傳送至稽核帳戶中的另一個 SNS 主題。

6. 搜尋結果會傳送到訂閱 SNS 主題的電子郵件地址。完整的詳細資料和建議會以 JSON 格式傳送到訂閱的 HTTP 端點。

技術堆疊

  • AWS Control Tower

  • EventBridge 

  • IAM

  • Amazon Inspector

  • Lambda

  • 安全中樞

  • Amazon SNS

Tools

  • AWS CloudFormation— AWS CloudFormation 可幫助您模型化與設定 AWS 資源,讓您能花較少的時間管理這些資源,並且有更多時間專注在您的應用程式上。

  • AWS CloudFormation StackSets— AWS CloudFormation StackSets 可讓您透過單次操作跨多個帳戶和區域建立、更新或刪除堆疊,藉以擴充堆疊功能。

  • AWS Control Tower— AWS Control Tower 會建立抽象或協調層,結合並整合其他數個 AWS 服務 (包括 AWS Organizations) 的功能。

  • Amazon EventBridge— EventBridge 是一個無伺服器匯流排服務,可讓您輕鬆將應用程式與來自各種來源的資料連線。

  • AWS Lambda— Lambda 是一項運算服務,可協助您執行程式碼,無需佈建或管理伺服器。

  • AWS 安全中樞— Security Hub 可讓您全方位地檢視 AWS 中的安全狀態,並協助您檢查環境是否符合安全產業標準和最佳實務。

  • Amazon SNS— Amazon Simple Notification Service (Amazon SNS) 是一個受管理的服務,可將訊息傳遞從發布商到訂閱者。

Epics

任務描述所需技能
在稽核帳戶中部署 AWS CloudFormation 範本。

下載並將上架稽核帳戶 .yaml 檔案 (附加) 儲存至電腦上的本機路徑。 

登入 AWS 管理主控台以取得稽核帳戶,然後開啟 AWS CloudFormation 主控台,然後選擇建立堆疊。 

選擇準備範本中的先決條件區段,然後選擇範本已就緒。選擇範本來源中的指定範本區段,然後選擇範本已就緒。上傳內建稽核帳戶 .yaml 檔案,然後根據您的需求設定剩餘的選項。 

重要:確認您設定下列輸入參數:

  • DestinationEmailAddress— 輸入接收發現項目的電子郵件地址。

  • HTTPEndpoint— 針對您的票證或 SIEM 工具提供 HTTP 端點。

您也可以使用 AWS 命令列界面 (AWS CLI) 部署 AWS CloudFormation 範本。如需此項目的詳細資訊,請參閱建立堆疊在 AWS CloudFormation 文件中。

開發人員、安全工程師
確認 Amazon SNS 訂閱。

開啟電子郵件收件匣,然後選擇確認訂閱在您從 Amazon SNS 收到的電子郵件中。這會開啟網頁瀏覽器視窗,並顯示訂閱確認。

開發人員、安全工程師
任務描述所需技能
在稽核帳戶中建立堆疊集。

將弱點管理程式 .yaml 檔案 (附加) 下載到電腦上的本機路徑。

在 AWS CloudFormation 主控台上,選擇檢視堆疊集,然後選擇建立 StackSet。選擇範本已就緒中,選擇上傳範本檔案,然後上傳 可能性管理程序 .yaml 文件。 

如果您想要使用self-managed許可,請遵循下者中的說明:建立具有自我管理許可的堆疊集在 AWS CloudFormation 文件中。這會在個別帳戶中建立堆疊集。 

如果您想要使用service-managed 許可,請遵循下者中的說明:建立具有服務管理許可的堆疊集在 AWS CloudFormation 文件中。這會在整個組織或指定的組織單位 (OU) 中建立堆疊集。

重要:請確定已為堆疊集配置下列輸入參數:

  • AssessmentSchedule— 使用 cron 運算式的 EventBridge 的排程。 

  • Duration— Amazon Inspector 評估的持續期間 (秒)。

  • CentralSNSTopicArn— 中央 SNS 主題的 Amazon Resource Name (ARN)。

  • Tagkey— 與資源群組相關聯的標籤鍵。 

  • Tagvalue— 與資源群組相關聯的標籤值。 

如果您要掃描稽核帳戶中的 EC2 執行個體,則必須在稽核帳戶中以 AWS CloudFormation 堆疊的形式執行弱點管理程式 .yaml 檔案。

開發人員、安全工程師
驗證解決方案。

檢查您是否依照您為 Amazon Inspector 指定的排程,透過電子郵件或 HTTP 端點接收發現結果。

開發人員、安全工程師

Attachments

attachment.zip