SEC04-BP04 針對不合規資源實施補救措施 - AWS Well-Architected 架構
實作指引資源

SEC04-BP04 針對不合規資源實施補救措施

您的偵測控制措施可能針對不符合您組態需求的資源發出警示。您可以手動或自動實施以程式設計方式定義的補救措施,以修正這些資源並協助盡可能將影響降到最低。當您以程式設計方式定義補救措施時,您可以採取快速且一致的行動。

雖然自動化可以增強安全操作,但您應謹慎實作和管理自動化程序。 設置適當的監督和控制機制,以確認自動化回應是否有效、準確,且合乎組織政策和風險偏好。

預期成果:您會定義資源組態標準,以及在偵測到資源不合規時的修復步驟。在可能的情況下,您已透過程式設計方式定義補救措施,以供人員手動或透過自動化方式啟動。已設置偵測系統,其可識別不合規的資源,並在由安全人員監控的集中式工具中發佈警示。這些工具支援手動或自動執行程式設計的補救措施。自動化補救措施設有適當的監督和控制機制來控管理其使用。

常見的反模式:

  • 您實作自動化,但未徹底測試和驗證補救動作。這可能會導致意外的後果,例如中斷正當的業務營運或導致系統不穩定。

  • 您透過自動化改善回應時間和程序,但未設置適當的監控與機制,無法在需要時允許人為介入和判斷。

  • 您只依賴補救措施,而不是將補救措施視為更廣泛的事件回應和復原計劃的一部分。

建立此最佳實務的優勢:自動化補救措施能夠比手動流程更快回應組態錯誤,進而有助於將可能對業務造成的影響降至最低,並且減少意外使用的機會。 當您以程式設計方式定義補救措施時,就能一致套用這些措施,進而降低人為錯誤的風險。自動化還可同時處理更大量的警示,這點對於大規模操作的環境來說尤其重要。 

未建立此最佳實務時的風險暴露等級:

實作指引

SEC01-BP03 識別和驗證控制目標 中所述,像是 AWS Config 等服務可幫助您監控帳戶中資源的組態,以確保符合您的需求。 在偵測到不合規資源時,建議您設定傳送警示至雲端安全狀態管理 (CSPM) 解決方案,例如 AWS Security Hub,以協助修復。這些解決方案為您的安全調查人員提供了一個集中的位置,方便監控問題並採取矯正行動。

有些不合規資源的情況獨特,需要人為判斷來進行修復,有些情況則有標準回應,您可透過程式設計方式定義這類回應。例如,對於設定錯誤的 VPC 安全群組,其標準回應可能是移除不允許的規則並通知擁有者。您可以在 AWS Lambda 函數中、AWSSystems Manager Automation 文件中,或透過您慣用的其他程式碼環境來定義回應。務必確定環境能夠使用具有採取矯正行動所需之最低許可權的 IAM 角色來對 AWS 進行身分驗證。

定義所需的補救措施後,您就可以決定您偏好的補救措施實施方法。AWS Config 可以為您實施補救措施。如果您使用 Security Hub,則可透過自訂動作來執行此操作,該動作會將調查結果資訊發佈至 Amazon EventBridge。然後 EventBridge 規則就能實施您的補救措施。您可以在 Security Hub 中設定自動或手動執行自訂動作。 

對於程式化的補救措施,建議您留存所執行動作的完整日誌和稽核,以及其結果。 檢閱並分析這些日誌,以評估自動化流程的有效性,並找出改進之處。擷取 Amazon CloudWatch Logs 中的日誌,以及 Security Hub 中作為調查結果備註的修復結果。

一開始可參考 AWS 上的自動化安全性回應,其中包含預先建置的補救措施,可用來解決常見的安全錯誤組態。

實作步驟

  1. 分析警示並排定優先順序。

    1. 將來自各種不同 AWS 服務的安全警示合併到 Security Hub 中,以提供集中查看、排定優先順序和修復的方式。

  2. 制定補救措施。

    1. 使用 Systems Manager 和 AWS Lambda 等服務來執行程式化的補救措施。

  3. 設定實施補救措施的方式。

    1. 使用 Systems Manager 定義將調查結果發佈到 EventBridge 的自訂動作。設定手動或自動啟動這些動作。

    2. 您也可以使用 Amazon Simple Notification Service (SNS) 傳送通知和警示給相關的利害關係人 (例如,安全團隊或事件應變團隊),以便在必要時進行人為介入或向上呈報。

  4. 檢閱並分析補救措施日誌,以了解有效性和改進之處。

    1. 將日誌輸出傳送至 CloudWatch Logs。擷取 Security Hub 中作為調查結果備註的結果。

資源

相關的最佳實務:

相關文件:

相關範例:

相關工具: