本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
針對 AWS IoT 環境中的安全事件設定記錄和監控
創建者普拉特克普拉卡什 (AWS)
環境:生產 | 技術:IoT;安全性、身分識別、合規性;營運 | 工作負載:所有其他工作 |
AWS 服務:亞馬遜 CloudWatch; 亞馬遜 OpenSearch 服務; 亞馬遜 GuardDuty; AWS IoT Core; AWS IoT Device Defender; AWS IoT Device Management; 亞馬遜 CloudWatch 日誌 |
總結
確保您的物聯網 (IoT) 環境安全是重要的優先事項,尤其是因為組織正在將數十億台裝置連接到其 IT 環境。此模式提供了一個參考架構,您可以用來在 Amazon Web Services (AWS) 雲端上實作 IoT 環境中的安全事件記錄和監控。AWS 雲端上的 IoT 環境通常具有以下三層:
產生相關遙測資料的 IoT 裝置。
將您的 IoT 裝置連接到其他裝置和 AWS 服務的 AWS IoT 服務 (例如 AWS IoT AWS IoT Core、AWS IoT 裝置管理或 AWS IoT 裝置防禦者)。
後端 AWS 服務可協助處理遙測資料,並為您的不同商業使用案例提供有用的見解。
AWS IoT 鏡頭提供的最佳實務-AWS Well-Architected Framework 白皮書可協助您檢閱和改善雲端架構,並深入了解設計決策對業務的影響。重要的建議是分析裝置和 AWS 雲端上的應用程式日誌和指標。您可以利用不同的方法和技巧 (例如威脅模型
此模式說明如何使用 AWS IoT 和安全服務,為 AWS 雲端上的 IoT 環境設計和實作安全記錄和監控參考架構。此架構建立在現有的 AWS 安全最佳實務之上,並將其套用至您的 IoT 環境。
先決條件和限制
先決條件
既有 landing zone 環境。如需詳細資訊,請參閱 AWS 規範指導網站上設定安全且可擴展的多帳戶 AWS 環境指南。
您必須具備可用的 landing zone 的帳戶口:
記錄封存帳戶 — 此帳戶適用於需要存取登陸區域組織單位 (OU) 中帳戶記錄資訊的使用者。如需詳細資訊,請參閱 AWS AWS Prescriptive Guidance 網站上 AWS 安全參考架構指南的安全 OU — 日誌存檔帳戶部分。
安全性帳戶 — 您的安全性與法規遵循團隊會使用此帳戶進行稽核或執行緊急安全性作業。這個帳戶也被指定為亞馬遜的管理員帳戶 GuardDuty。管理員帳戶的使用者除了檢視和管理自己帳戶和所有成員帳戶的 GuardDuty 發現項目之外 GuardDuty,還可以設定。如需相關資訊,請參閱 Amazon GuardDuty 文件 GuardDuty中的管理多個帳戶。
IoT 帳戶 — 此帳戶適用於您的 IoT 環境。
架構
此模式可擴充 AWS 解決方案庫的集中式記錄解決
下列架構圖顯示 AWS 雲端上 IoT 安全記錄和參考架構的關鍵元件。
圖表說明以下工作流程:
IoT 物件是必須監控異常安全事件的裝置。這些裝置會執行代理程式,將安全事件或指標發佈到 AWS IoT Core 和 AWS IoT Device Defender。
啟用 AWS IoT Logs 記錄時,AWS IoT 會在其透過訊息代理程式和規則引擎從您的裝置傳遞到 Amazon Lo CloudWatch gs 時,AWS IoT 會傳送有關每則訊息的進度事件。您可以使用記 CloudWatch 錄訂閱將事件推送至集中式記錄解決方案。如需詳細資訊,請參閱 AWS IoT 核心文件中的 AWS IoT 指標和維度。
AWS IoT Device Defender 可協助監控 IoT 裝置的不安全組態和安全指標。當偵測到異常情況時,警示會通知 Amazon Simple Notification Service (Amazon SNS),該服務具備 AWS Lambda 函數作為訂閱者的 AWS Lambda 函數。Lambda 函數會將警示做為訊息傳送至 CloudWatch 記錄檔。您可以使用記 CloudWatch 錄訂閱將事件推送至集中式記錄解決方案。如需詳細資訊,請參閱 AWS IoT Core 文件中的稽核檢查、裝置端指標和雲端指標。
AWS CloudTrail 記錄進行變更的 AWS IoT 核心控制平面動作 (例如,建立、更新或附加 API)。當設定 CloudTrail 為 landing zone 實作的一部分時,它會將事件傳送至記錄 CloudWatch 檔,而且您可以使用訂閱將事件推送至集中式記錄解決方案
AWS Config 受管規則或自訂規則會評估屬於您 IoT 環境的資源。使用「 CloudWatch 記錄檔」做為目標的「 CloudWatch 事件」來監視符合性變更通知。將合規性變更通知傳送至記錄 CloudWatch 檔後,您可以使用訂閱將事件推送至您的集中式記錄解決方案。
Amazon 會 GuardDuty 持續分析 CloudTrail 管理事件,並協助識別來自已知惡意 IP 地址、異常地理位置或匿名代理伺服器對 AWS IoT Core 端點進行的 API 呼叫。使用 Amazon CloudWatch 事件以日誌群組作為目標的 CloudWatch 日誌群組來監控 GuardDuty 通知。當 GuardDuty 通知傳送至 CloudWatch 記錄檔時,您可以使用訂閱將事件推送至您的集中式監控解決方案,或使用安全性帳戶中的 GuardDuty 主控台來檢視通知。
AWS Security Hub 使用安全最佳實務來監控您的 IoT 帳戶。使用 [記錄檔] 中的 CloudWatch 記錄群組做為目標的 CloudWatch 事件來監視 Security Hub 通知。當 Security Hub 通知傳送至 CloudWatch 記錄檔時,請使用訂閱將事件推送至您的集中式監控解決方案,或使用安全性帳戶中的 Security Hub 主控台來檢視通知。
Amazon Detective ess 會評估和分析資訊,以隔離根本原因,並針對異常呼叫 AWS IoT 端點或 IoT 架構中其他服務的安全發現採取行動。
Amazon Athena 會查詢存放在日誌存檔帳戶中的日誌,以加強您對安全發現結果的瞭解,並識別趨勢和惡意活動。
工具
Amazon Athena 是一種互動式查詢服務,可在 Amazon Simple Storage Service (Amazon S3) 中使用標準 SQL 輕鬆地直接分析資料。
AWS 帳戶口可 CloudTrail協助您啟用 AWS 帳戶戶口的監管、合規、操作稽核和風險稽核。
Amazon 會即時 CloudWatch監控您的 AWS 資源,以及您在 AWS 上執行的應用程式。 您可以用 CloudWatch 來收集和追蹤指標,這些指標是您可以為您的資源和應用程式測量的變數。
Amazon CloudWatch Logs 會集中您使用的所有系統、應用程式和 AWS 服務的日誌。您可以檢視和監控日誌、在日誌中搜尋特定的錯誤碼或模式、根據特定欄位篩選日誌,或安全封存日誌以供日 future 分析。
AWS Config 在您 AWS 帳戶內提供 AWS 資源組態的詳細檢視。
Amazon Detective 可讓您輕鬆地分析、調查並快速識別安全問題清單或可疑活動的根本原因。
AWS Glue 是全受管的擷取、轉換和載入 (ETL) 服務,可讓您以輕鬆且經濟實惠的方式,將您的資料進行分類、清理、富集,以及可靠地在各種資料存放區和資料串流之間移動。
亞馬遜 GuardDuty是一種持續的安全監控服務。
AWS IoT Core 為連線網際網路的裝置 (例如感應器、致動器、嵌入式裝置、無線裝置和智慧設備) 提供安全的雙向通訊,以透過 MQTT、HTTPS 和 LoRa WAN 連線到 AWS 雲端。
AWS IoT Device Defender 是一種安全服務,可讓您稽核裝置組態、監控連網裝置以偵測異常行為,以及防範安全風險。
Amazon Ser OpenSearch vice 是一項受管服務,可讓您輕鬆地部署、操作和擴展 AWS 雲端 OpenSearch 叢集。
AWS Organizations Organization 是一種帳戶口管理服務,可讓您將多個 AWS 帳戶口整合到您建立和集中管理的組織中。
AWS Security Hub 可讓您全方位地檢視 AWS 中的安全狀態,並協助您檢查環境是否符合安全業界標準和最佳實務。
Amazon Virtual Private Cloud (Amazon VPC) 佈建邏輯上隔離的 AWS 雲端區段,您可以在自己定義的虛擬網路中啟動 AWS 資源。這個虛擬網路與您在資料中心中操作的傳統網路非常相似,且具備使用 AWS 可擴展基礎設施的優勢。
史诗
| 任務 | 描述 | 所需技能 |
|---|---|---|
驗證 IoT 帳戶中的安全護欄。 | 驗證您的 IoT 帳戶中已啟用 AWS Config 和安全中心的護欄。 CloudTrail GuardDuty | AWS 管理員 |
驗證您的 IoT 帳戶設定為安全性帳戶的成員帳戶。 | 驗證您的 IoT 帳戶已設定並關聯為您安全性帳戶中 GuardDuty 的安全性中心的成員帳戶。 如需詳細資訊,請參閱 Amazon GuardDuty 文件中的使用 AWS Organizations 管理 GuardDuty 帳戶和 AWS Security Hub 文件中的管理管理員和成員帳戶。 | AWS 管理員 |
驗證記錄封存。 | 驗證 CloudTrail AWS Config 和 VPC 流程日誌是否存放在日誌存檔帳戶中。 | AWS 管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
在您的安全性帳戶中設定集中式記錄解決方案。 | 登入安全帳戶的 AWS 管理主控台,並從 AWS 解決方案程式庫設定集中式記錄解決 如需詳細資訊,請參閱 AWS 解決方案程式庫中的集中 CloudWatch 日誌記錄實作指南,在單一儀表板中收集、分析和顯示 Amazon 日誌。 | AWS 管理員 |
| 任務 | 描述 | 所需技能 |
|---|---|---|
設定 AWS IoT 物聯網記錄。 | 為您的 IoT 帳戶戶口登入 AWS 管理主控台。設定和設定 AWS IoT Core,以便將日誌傳送到 CloudWatch 日誌。 如需詳細資訊,請參閱 AWS IoT Core 文件中的設定 AWS IoT 記錄和使用 CloudWatch 日誌監控 AWS IoT。 | AWS 管理員 |
設定 AWS IoT Device Defender。 | 設定 AWS IoT Device Defender 來稽核您的 IoT 資源並偵測異常情況。 | AWS 管理員 |
設定 CloudTrail。 | 設定 CloudTrail 將事件傳送至 CloudWatch 記錄檔。 如需詳細資訊,請參閱 AWS CloudTrail 文件中的將事件傳送至 CloudWatch 日誌。 | AWS 管理員 |
設定 AWS Config 和 AWS Config 規則。 | 設定 AWS Config 和所需的 AWS Config 規則。如需此參考資料的詳細資訊,請參閱 AWS Config 文件中的使用主控台設定 AWS Config 規則和使用主控台設定 AWS Config 規則。 | AWS 管理員 |
設定 GuardDuty。 | 設定並設定 GuardDuty 以將發現項目傳送至 Amazon CloudWatch 事件,並將日誌群組中的 CloudWatch 日誌群組做為目標。 如需這方面的詳細資訊,請參閱 Amazon GuardDuty 文件中的使用 Amazon E CloudWatch vents 建立對 GuardDuty 發現項目的自訂回應。 | AWS 管理員 |
設定 Security Hub。 | 設定 Security Hub 並啟用 CIS AWS 基礎基準測試和 AWS 基礎安全最佳實務標準。 如需相關資訊,請參閱 AWS Security Hub 文件中的自動回應和修復。 | AWS 管理員 |
設定 Amazon Simple Detective。 | 設立 Detective 以協助分析保安結果 有關這方面的更多信息,請參閱亞馬遜 Detective 文檔中的設置亞馬遜 Detective。 | AWS 管理員 |
設置 Amazon Athena 和 AWS AWS Glue。 | 設定 Athena 和 AWS Glue 以查詢執行安全事件調查的 AWS 服務日誌。 如需詳細資訊,請參閱 Amazon Athena 文件中的查詢 AWS 服務日誌。 | AWS 管理員 |
相關資源
