在 AWS IoT 環境中設定安全事件的記錄和監控 - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS IoT 環境中設定安全事件的記錄和監控

由普拉特克·普拉卡什(AWS)創建

環境:生產

技能:IoT Device Technologies、身份、合規、營運

工作負載:所有其他工作負載

AWS 服務:Amazon CloudWatch;亞馬遜 ES;Amazon GuardDuty 冕;AWS IoT Core;AWS IoT Device Defender;AWS IoT Device Management;Amazon CloudWatch Logs

Summary

確保物聯網 (IoT) 環境安全是重要的優先事項,尤其是因為組織將數十億個裝置連接到其 IT 環境。此模式提供您 Amazon Web Services (AWS) 雲端中的 IoT 環境中,針對安全事件實作日誌和監控。一般而言,AWS 雲端上的 IoT 環境具有以下三個層次:

  • 產生相關遙測資料的 IoT 裝置。

  • AWS IoT 服務 (例如AWS IoT CoreAWS IoT Device Management, 或AWS IoT Device Defender),將您的 IoT 裝置連接到其他裝置和 AWS 服務。

  • 後端 AWS 服務可協助處理遙測資料,並針對不同的商業使用案例提供實用的深入解析。

所提供的最佳做法AWS IoT Defender-AWS Well-Architected Framework 構白皮書可協助您檢閱並改善雲端架構,並進一步瞭解設計決策所帶來的業務影響。重要的建議是分析裝置和 AWS 雲端上的應用程式日誌和指標。您可以通過利用不同的方法和技術(例如威脅模型),識別必須監控以偵測潛在安全性問題的度量和事件。 

此模式描述如何使用 AWS IoT 和安全服務,為 AWS 雲端上的 IoT 環境設計和實作安全記錄和監控參考架構。此架構以現有 AWS 安全最佳實務為基礎,並將其套用至您的 IoT 環境。

先決條件和限制

先決條件

  • 既有的 landing zone 域環境。如需此項目的詳細資訊,請參閱設定安全且可擴展的多帳戶 AWS 環境在 AWS Prescriptive Guidance 網站上。

  • 您的 landing zone 必須具備可用的帳戶:

    • 日誌存檔帳戶— 此帳戶適用於需要存取登陸區域組織單位 (OU) 中帳戶之記錄資訊的使用者。如需此項目的詳細資訊,請參閱安全性 OU — 記錄封存帳戶部分的指南AWS 安全參考架構在 AWS Prescriptive Guidance 網站上。

    • 安全性帳戶— 您的安全性與法規遵循團隊會使用此帳戶進行稽核或執行緊急安全性作業。此帳戶也被指定為 Amazon GuardDuty 的管理員帳戶。管理員帳戶的使用者可以設定 GuardDuty,並可檢視並管理自己和所有成員帳戶的 GuardDuty 問題清單。如需此項目的詳細資訊,請參閱管理多個 GuardDuty 帳戶在 Amazon GuardDuty 文檔中。

Architecture

此模式會延伸集中式日誌方法,以收集和處理與安全相關的 IoT 事件。集中式記錄解決方案部署在安全帳戶中,並協助在單一儀表板中收集、分析和顯示 Amazon CloudWatch 日誌。此解決方案整合、管理和分析來自多個來源的記錄檔。最後,集中式記錄解決方案還使用 Amazon OpenSearch Service (Amazon Elasticsearch Service 的繼任者) 和 OpenSearch 儀表板,以顯示所有日誌事件的統一視圖。 

下列架構圖顯示 AWS 雲端上 IoT 安全記錄和參考架構的關鍵元件。 

此圖顯示以下工作流程:

  1. IoT 的東西是必須監控異常安全事件的設備。這些裝置執行代理程式,將安全事件或指標發佈到 AWS IoT Core 和 AWS IoT Device Defender。

  2. 啟用 AWS IoT 日誌時,AWS IoT 會在每條訊息透過訊息中介裝置和規則引擎傳遞到 Amazon CloudWatch Logs 時,傳送有關每條訊息的進度事件。您可以使用 CloudWatch Logs 訂閱,將事件推送到集中式日誌方法。如需此項目的詳細資訊,請參閱AWS IoT Device 指標和維度在 AWS IoT Core 文件中。 

  3. AWS IoT Device Defender 可協助監控 IoT 裝置的不安全組態和安全指標。偵測到異常狀況時,警示會通知 Amazon Simple Notification Service (Amazon SNS),該服務具有 AWS Lambda 函數的訂閱者。Lambda 函式會將警報做為訊息傳送至 CloudWatch Logs。您可以使用 CloudWatch Logs 訂閱,將事件推送至集中式記錄解決方案。如需此項目的詳細資訊,請參閱稽核檢查裝置端指標,以及雲端指標在 AWS IoT Core 文件中。

  4. AWS CloudTrail 會記錄進行變更的 AWS IoT Core 控制平面動作 (例如,建立、更新或附加 API)。當 CloudTrail 設定為 landing zone 實作的一部分時,它會將事件傳送至 CloudWatch Logs,您可以使用訂閱將事件推送至集中式記錄解決方案 

  5. AWS Config 受管規則或自訂規則會評估屬於 IoT 環境一部分的資源。監控符合性變更通知將 CloudWatch 事件與 CloudWatch Logs 作為目標。將合規性變更通知傳送至 CloudWatch Logs 之後,您可以使用訂閱將事件推送至集中式記錄解決方案。

  6. Amazon GuardDuty 會持續分析 CloudTrail 管理事件,並協助識別從已知惡意 IP 地址、不尋常的地理位置或匿名代理對 AWS IoT Core 端點進行的 API 呼叫。使用亞馬遜雲觀察事件以及雲觀察日誌中的 CloudWatch Logs 群組作為目標來監控 GuardDuty 通知。當 GuardDuty 通知傳送至 CloudWatch Logs 時,您可以使用訂閱將事件推送至您的集中式監控解決方案,或使用您安全帳戶中的 GuardDuty 控制台查看通知。

  7. AWS Security Hub 會使用安全最佳實務來監控您的 IoT 帳戶。使用 CloudWatch 事件與 CloudWatch 記錄檔中的 CloudWatch Logs 群組做為目標來監控安全中樞通知。當 Security Hub 通知傳送至 CloudWatch Logs 時,請使用訂閱將事件推送至您的集中式監控解決方案,或使用安全性帳戶中的安全性中樞主控台來檢視通知。

  8. Amazon Detective 會評估和分析資訊,以隔離根本原因,並針對非尋常呼叫 AWS IoT 終端節點或 IoT 架構中的其他服務,針對安全發現採取行動。

  9. Amazon Athena 查詢儲存在日誌存檔帳戶中的日誌,以加強您對安全發現的瞭解,並識別趨勢和惡意活動。

Tools

  • Amazon Athena— Amazon Athena 是一項互動式查詢服務,可讓您輕鬆地使用標準 SQL 直接在 Amazon Simple Storage Service (Amazon S3) 中分析資料。

  • AWS CloudTrail— AWS CloudTrail 可協助您針對 AWS 帳戶啟用監管、合規、操作稽核和風險稽核。

  • Amazon CloudWatch— Amazon CloudWatch 會即時監控您的 AWS 資源和您在 AWS 上執行的應用程式。 您可以使用 CloudWatch 來收集和追蹤指標,這些是您可以為您的資源和應用程式測量的變數。 

  • Amazon CloudWatch Logs— Amazon CloudWatch Logs 可集中您使用的所有系統、應用程式和 AWS 服務的日誌。您可以檢視和監視記錄檔、搜尋特定錯誤碼或模式、根據特定欄位篩選記錄檔,或安全地封存以供日後分析。 

  • AWS Config— AWS Config 提供您 AWS 帳戶中 AWS 資源的詳細組態視圖。

  • Amazon Detective— Amazon Security 可讓您輕鬆地分析、調查和快速識別安全問題清單或可疑活動的根本原因。

  • AWS Glue— AWS Glue 是全受管的擷取、轉換和載入 (ETL) 服務,可讓您以輕鬆且經濟實惠的方式,將您的資料進行分類、清理、富集,以及可靠地在各種資料存放區和資料流之間移動。

  • Amazon GuardDuty— Amazon GuardDuty b 是一種持續性的安全監控服務。

  • AWS IoT Core— AWS IoT Core 可針對已與網際網路連線的裝置 (例如感測器、傳動器、嵌入式裝置、無線裝置和智慧型設備),透過 MQTT、HTTPS 和 LoRaWAN 連線到 AWS 雲端。

  • AWS IoT Device Defender— AWS IoT Device Defender 是一項安全服務,可讓您稽核裝置組態、監控連網裝置以偵測異常行為,並且防範安全風險。

  • Amazon OpenSearch Service— Amazon OpenSearch Service (Amazon Elasticsearch Service 的繼任者) 是一項受管服務,可讓您輕鬆地部署、操作和擴展 AWS 雲端中的 OpenSearch 叢集。

  • AWS Organizations— AWS Organizations 是一項帳戶管理服務,可讓您將多個 AWS 帳戶整合到您所建立和集中管理的組織中。

  • AWS 安全中樞— AWS Security Hub 可供您全方位檢視 AWS 中的安全狀態,並協助您檢查環境是否符合安全產業標準和最佳實務。

  • Amazon VPC— Amazon Virtual Private Cloud (Amazon VPC) 會佈建 AWS 雲端的邏輯隔離區段,讓您可在自己定義的虛擬網路中啟動 AWS 資源。這個虛擬網路與您在資料中心中操作的傳統網路非常相似,且具備使用 AWS 可擴展基礎設施的優勢。

Epics

任務描述所需技能
在您的 landing zone 建立 IoT 帳戶。

在您的 landing zone 中建立符合組織需求且可用於 IoT 環境的 AWS 帳戶。

AWS 管理員
驗證 IoT 帳戶中的安全防護。

驗證您的 IoT 帳戶中已啟用 CloudTrail、AWS Config、GuardDuty 和安全中樞的防護。

AWS 管理員
驗證您的 IoT 帳戶已設定為安全性帳戶的成員帳戶。

驗證您的 IoT 帳戶是否已設定為安全性帳戶中的 GuardDuty 和安全中心的會員帳戶,並將其建立關聯。

如需此項目的詳細資訊,請參閱管理 AWS Organizations 的 GuardDuty 帳戶在 Amazon GuardDuty 文檔中和管理管理員和成員帳戶,在 AWS Security Hub 文件中。

AWS 管理員
驗證日誌存檔。

驗證 CloudTrail、AWS Config 和 VPC 流程日誌是否儲存在日誌存檔帳戶中。

AWS 管理員
任務描述所需技能
在您的安全性帳戶中設定集中記錄解決方案。

登入您的安全帳戶的 AWS 管理主控台,並設定集中式日誌方法,以收集、分析和顯示在亞馬遜 Open搜尋服務和開啟搜尋儀表板中的 CloudWatch Logs。

如需此項目的詳細資訊,請參閱使用集中式記錄解決方案在單一儀表板中收集、分析和顯示 Amazon CloudWatch Logs 記錄,從 AWS 解決方案庫中的集中記錄實作指南。

AWS 管理員
任務描述所需技能
設定 AWS IoT Device Logs。

針對您的 IoT 帳戶,登入 AWS 管理主控台。設定和設定 AWS IoT Core Device Logs 傳送日誌到 CloudWatch Logs。

如需此項目的詳細資訊,請參閱設定 AWS IoT Device Logs使用 CloudWatch Logs 監控 AWS IoT在 AWS IoT Core 文件中。

AWS 管理員
設定 AWS IoT Device Defender。

設定 AWS IoT Device Defender 以稽核您的 IoT 資源並偵測異常情況。

如需此項目的詳細資訊,請參閱開始使用 AWS IoT Device Defender在 AWS IoT Core 文件中。 

AWS 管理員
設定 CloudTrail。

設定 CloudTrail 將事件傳送到 CloudWatch Logs。

如需此項目的詳細資訊,請參閱將事件傳送至 CloudWatch Logs,在 AWS CloudTrail 文件中。 

AWS 管理員
設定 AWS Config 和 AWS Config 規則。

設定 AWS Config 和所需的 AWS Config 規則。如需此項目的詳細資訊,請參閱使用主控台設定 AWS Config使用主控台設定 AWS Config 規則在 AWS Config 文件中。 

AWS 管理員
設定 GuardDuty

設定並配置 GuardDuty 將發現結果傳送到 Amazon CloudWatch Events,並將雲觀察日誌中的日誌群組作為目標。 

如需此項目的詳細資訊,請參閱使用亞馬遜雲端觀察事件建立 GuardDuty 調查結果的自訂回應在 Amazon GuardDuty 文檔中。 

AWS 管理員
設定 Security Hub。

設定 Security Hub,並啟用CIS AWS Foundations BenchmarkAWS 基礎安全最佳實務標準。

如需此項目的詳細資訊,請參閱自動化回應與補救,在 AWS Security Hub 文件中。

AWS 管理員
設立亞馬遜 Detective

設定 Detective 以便分析安全性發現

如需此項目的詳細資訊,請參閱設定 Amazon Detective在亞馬遜 Detective 文檔中。 

AWS 管理員
設定 Amazon Athena 和 AWS Glue。

設定 Athena 和 AWS Glue 以查詢進行安全事件調查的 AWS 服務日誌。

如需此項目的詳細資訊,請參閱查詢 AWS 服務日誌在 Amazon Athena 文檔中。 

AWS 管理員

相關資源