Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisieren Sie Sicherheitsscans für kontoübergreifende Workloads mithilfe von Amazon Inspector und AWS Security Hub
Erstellt von Ramya Pulipaka () und Mikesh Khanal () AWS AWS
Umwelt: Produktion | Technologien: Sicherheit, Identität, Compliance; Management und Unternehmensführung | AWSDienste: Amazon Inspector; AmazonSNS; AWS Lambda; AWS Security Hub; Amazon CloudWatch |
Übersicht
Dieses Muster beschreibt, wie in kontoübergreifenden Workloads in der Amazon Web Services (AWS) Cloud automatisch nach Sicherheitslücken gesucht wird.
Das Muster hilft bei der Erstellung eines Zeitplans für hostbasierte Scans von Amazon Elastic Compute Cloud (AmazonEC2) -Instances, die nach Tags gruppiert sind, oder für netzwerkbasierte Amazon Inspector-Scans. Ein AWS CloudFormation Stack stellt alle erforderlichen AWS Ressourcen und Dienste für Ihre Konten bereit. AWS
Die Ergebnisse von Amazon Inspector werden nach AWS Security Hub exportiert und bieten Einblicke in Sicherheitslücken in Ihren Konten, AWS Regionen, virtuellen privaten Clouds (VPCs) und EC2 Instances. Sie können diese Ergebnisse per E-Mail erhalten oder ein Amazon Simple Notification Service (AmazonSNS) -Thema erstellen, das einen HTTP Endpunkt verwendet, um die Ergebnisse an Ticketing-Tools, Sicherheitsinformations- und Event-Management-Software (SIEM) oder andere Sicherheitslösungen von Drittanbietern zu senden.
Voraussetzungen und Einschränkungen
Voraussetzungen
Eine bestehende E-Mail-Adresse, um E-Mail-Benachrichtigungen von Amazon zu erhaltenSNS.
Ein vorhandener HTTP Endpunkt, der von Ticketing-Tools, SIEM -Software oder anderen Sicherheitslösungen von Drittanbietern verwendet wird.
Aktive AWS Konten, die kontenübergreifende Workloads hosten, einschließlich eines zentralen Auditkontos.
Security Hub, aktiviert und konfiguriert. Sie können dieses Muster auch ohne Security Hub verwenden, wir empfehlen jedoch die Verwendung von Security Hub aufgrund der damit generierten Erkenntnisse. Weitere Informationen finden Sie unter Security Hub einrichten in der AWS Security Hub Hub-Dokumentation.
Auf jeder EC2 Instance, die Sie scannen möchten, muss ein Amazon Inspector-Agent installiert sein. Sie können den Amazon Inspector-Agent mithilfe von AWSSystems Manager Run Command auf mehreren EC2 Instances installieren.
Fähigkeiten
Erfahrung in der Nutzung
self-managed
undservice-managed
Berechtigungen für Stacksets in AWS CloudFormation. Wenn Sieself-managed
Berechtigungen verwenden möchten, um Stack-Instances für bestimmte Konten in bestimmten Regionen bereitzustellen, müssen Sie die erforderlichen AWS Identity and Access Management Zugriffsverwaltungsrollen (IAM) erstellen. Wenn Sieservice-managed
Berechtigungen verwenden möchten, um Stack-Instances für Konten bereitzustellen, die von AWS Organizations in bestimmten Regionen verwaltet werden, müssen Sie die erforderlichen IAM Rollen nicht erstellen. Weitere Informationen finden Sie in der AWS CloudFormation Dokumentation unter Erstellen eines Stack-Sets.
Einschränkungen
Wenn keine Tags auf EC2 Instances in einem Konto angewendet werden, scannt Amazon Inspector alle EC2 Instances in diesem Konto.
Die AWS CloudFormation Stack-Sets und die onboard-audit-account .yaml-Datei (angehängt) müssen in derselben Region bereitgestellt werden.
Standardmäßig unterstützt Amazon Inspector Classic keine aggregierten Ergebnisse. Security Hub ist die empfohlene Lösung für die Anzeige von Bewertungen für mehrere Konten oder AWS Regionen.
Der Ansatz dieses Musters kann unter die Veröffentlichungsquote von 30.000 Transaktionen pro Sekunde (TPS) für ein SNS Thema in der Region USA Ost (Nord-Virginia) (us-east-1) skaliert werden, obwohl die Grenzwerte je nach Region variieren. Um effektiver zu skalieren und Datenverlust zu vermeiden, empfehlen wir, vor dem SNS Thema Amazon Simple Queue Service (AmazonSQS) zu verwenden.
Architektur
Das folgende Diagramm veranschaulicht den Arbeitsablauf für das automatische Scannen von EC2 Instances.
Der Workflow besteht aus folgenden Schritten:
1. Eine EventBridge Amazon-Regel verwendet einen Cron-Ausdruck, um sich nach einem bestimmten Zeitplan selbst zu initiieren, und initiiert Amazon Inspector.
2. Amazon Inspector scannt die EC2 markierten Instances im Konto.
3. Amazon Inspector sendet die Ergebnisse an Security Hub, der Erkenntnisse für Arbeitsabläufe, Priorisierung und Problembehebung generiert.
4. Amazon Inspector sendet den Status der Bewertung auch an ein SNS Thema im Auditkonto. Eine AWS Lambda-Funktion wird aufgerufen, wenn ein findings reported
Ereignis zu dem SNS Thema veröffentlicht wird.
5. Die Lambda-Funktion ruft die Ergebnisse ab, formatiert sie und sendet sie an ein anderes SNS Thema im Prüfkonto.
6. Die Ergebnisse werden an die E-Mail-Adressen gesendet, die das Thema abonniert haben. SNS Die vollständigen Informationen und Empfehlungen werden im JSON Format an den HTTP abonnierten Endpunkt gesendet.
Technologie-Stack
AWS Control Tower
EventBridge
IAM
Amazon Inspector
Lambda
Security Hub
Amazon SNS
Tools
AWS CloudFormation— AWS CloudFormation unterstützt Sie bei der Modellierung und Einrichtung Ihrer AWS Ressourcen, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können.
AWS CloudFormation StackSets— AWS CloudFormation StackSets erweitert die Funktionalität von Stacks, indem es Ihnen ermöglicht, Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang zu erstellen, zu aktualisieren oder zu löschen.
AWSControl Tower — AWS Control Tower erstellt eine Abstraktions- oder Orchestrierungsebene, die die Funktionen mehrerer anderer AWS Dienste, einschließlich AWS Organizations, kombiniert und integriert.
Amazon EventBridge — EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden.
AWSLambda — Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen.
AWSSecurity Hub — Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten ermöglicht.
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Stellen Sie die AWS CloudFormation Vorlage im Auditkonto bereit. | Laden Sie die Melden Sie sich bei der AWS Management Console für Ihr Auditkonto an, öffnen Sie die AWS CloudFormation Konsole und wählen Sie dann Create Stack aus. Wählen Sie im Abschnitt Voraussetzungen die Option Vorlage vorbereiten aus und wählen Sie dann Vorlage ist bereit. Wählen Sie im Abschnitt „Vorlage angeben“ die Option „Vorlagenquelle“ und wählen Sie dann „Vorlage ist bereit“. Laden Sie die Wichtig: Stellen Sie sicher, dass Sie die folgenden Eingabeparameter konfigurieren:
Sie können die AWS CloudFormation Vorlage auch mithilfe der AWS Befehlszeilenschnittstelle (AWSCLI) bereitstellen. Weitere Informationen dazu finden Sie in der AWS CloudFormation Dokumentation unter Einen Stack erstellen. | Entwickler, Sicherheitsingenieur |
Bestätigen Sie das SNS Amazon-Abonnement. | Öffnen Sie Ihren E-Mail-Posteingang und wählen Sie in der E-Mail, die Sie von Amazon erhalten, die Option Abonnement bestätigen ausSNS. Dadurch wird ein Webbrowser-Fenster geöffnet und die Abonnementbestätigung angezeigt. | Entwickler, Sicherheitsingenieur |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie Stack-Sets im Audit-Konto. | Laden Sie die Wählen Sie auf der AWS CloudFormation Konsole „Stacksets anzeigen“ und anschließend „Erstellen“. StackSet Wählen Sie „Vorlage ist bereit“, wählen Sie „Eine Vorlagendatei hochladen“ und laden Sie dann die Wenn Sie Wenn Sie Wichtig: Stellen Sie sicher, dass die folgenden Eingabeparameter für Ihre Stack-Sets konfiguriert sind:
Wenn Sie EC2 Instanzen im Auditkonto scannen möchten, müssen Sie die | Entwickler, Sicherheitsingenieur |
Validieren Sie die Lösung. | Vergewissern Sie sich, dass Sie die Ergebnisse per E-Mail oder HTTP Endgerät gemäß dem Zeitplan erhalten, den Sie für Amazon Inspector festgelegt haben. | Entwickler, Sicherheitsingenieur |