Übersicht Voraussetzungen und Einschränkungen Architektur Tools Epen Zugehörige Ressourcen Anlagen

Automatisieren Sie Sicherheitsscans für kontoübergreifende Workloads mithilfe von Amazon Inspector und AWS Security Hub

Erstellt von Ramya Pulipaka () und Mikesh Khanal () AWS AWS

Umwelt: Produktion

Technologien: Sicherheit, Identität, Compliance; Management und Unternehmensführung

AWSDienste: Amazon Inspector; AmazonSNS; AWS Lambda; AWS Security Hub; Amazon CloudWatch

Übersicht

Dieses Muster beschreibt, wie in kontoübergreifenden Workloads in der Amazon Web Services (AWS) Cloud automatisch nach Sicherheitslücken gesucht wird.

Das Muster hilft bei der Erstellung eines Zeitplans für hostbasierte Scans von Amazon Elastic Compute Cloud (AmazonEC2) -Instances, die nach Tags gruppiert sind, oder für netzwerkbasierte Amazon Inspector-Scans. Ein AWS CloudFormation Stack stellt alle erforderlichen AWS Ressourcen und Dienste für Ihre Konten bereit. AWS

Die Ergebnisse von Amazon Inspector werden nach AWS Security Hub exportiert und bieten Einblicke in Sicherheitslücken in Ihren Konten, AWS Regionen, virtuellen privaten Clouds (VPCs) und EC2 Instances. Sie können diese Ergebnisse per E-Mail erhalten oder ein Amazon Simple Notification Service (AmazonSNS) -Thema erstellen, das einen HTTP Endpunkt verwendet, um die Ergebnisse an Ticketing-Tools, Sicherheitsinformations- und Event-Management-Software (SIEM) oder andere Sicherheitslösungen von Drittanbietern zu senden.

Voraussetzungen und Einschränkungen

Voraussetzungen

Eine bestehende E-Mail-Adresse, um E-Mail-Benachrichtigungen von Amazon zu erhaltenSNS.
Ein vorhandener HTTP Endpunkt, der von Ticketing-Tools, SIEM -Software oder anderen Sicherheitslösungen von Drittanbietern verwendet wird.
Aktive AWS Konten, die kontenübergreifende Workloads hosten, einschließlich eines zentralen Auditkontos.
Security Hub, aktiviert und konfiguriert. Sie können dieses Muster auch ohne Security Hub verwenden, wir empfehlen jedoch die Verwendung von Security Hub aufgrund der damit generierten Erkenntnisse. Weitere Informationen finden Sie unter Security Hub einrichten in der AWS Security Hub Hub-Dokumentation.
Auf jeder EC2 Instance, die Sie scannen möchten, muss ein Amazon Inspector-Agent installiert sein. Sie können den Amazon Inspector-Agent mithilfe von AWSSystems Manager Run Command auf mehreren EC2 Instances installieren.

Fähigkeiten

Erfahrung in der Nutzung self-managed und service-managed Berechtigungen für Stacksets in AWS CloudFormation. Wenn Sie self-managed Berechtigungen verwenden möchten, um Stack-Instances für bestimmte Konten in bestimmten Regionen bereitzustellen, müssen Sie die erforderlichen AWS Identity and Access Management Zugriffsverwaltungsrollen (IAM) erstellen. Wenn Sie service-managed Berechtigungen verwenden möchten, um Stack-Instances für Konten bereitzustellen, die von AWS Organizations in bestimmten Regionen verwaltet werden, müssen Sie die erforderlichen IAM Rollen nicht erstellen. Weitere Informationen finden Sie in der AWS CloudFormation Dokumentation unter Erstellen eines Stack-Sets.

Einschränkungen

Wenn keine Tags auf EC2 Instances in einem Konto angewendet werden, scannt Amazon Inspector alle EC2 Instances in diesem Konto.
Die AWS CloudFormation Stack-Sets und die onboard-audit-account .yaml-Datei (angehängt) müssen in derselben Region bereitgestellt werden.
Standardmäßig unterstützt Amazon Inspector Classic keine aggregierten Ergebnisse. Security Hub ist die empfohlene Lösung für die Anzeige von Bewertungen für mehrere Konten oder AWS Regionen.
Der Ansatz dieses Musters kann unter die Veröffentlichungsquote von 30.000 Transaktionen pro Sekunde (TPS) für ein SNS Thema in der Region USA Ost (Nord-Virginia) (us-east-1) skaliert werden, obwohl die Grenzwerte je nach Region variieren. Um effektiver zu skalieren und Datenverlust zu vermeiden, empfehlen wir, vor dem SNS Thema Amazon Simple Queue Service (AmazonSQS) zu verwenden.

Architektur

Das folgende Diagramm veranschaulicht den Arbeitsablauf für das automatische Scannen von EC2 Instances.

Ein AWS Konto für die Ausführung von Scans und ein separates Auditkonto für das Senden von Benachrichtigungen.

Der Workflow besteht aus folgenden Schritten:

1. Eine EventBridge Amazon-Regel verwendet einen Cron-Ausdruck, um sich nach einem bestimmten Zeitplan selbst zu initiieren, und initiiert Amazon Inspector.

2. Amazon Inspector scannt die EC2 markierten Instances im Konto.

3. Amazon Inspector sendet die Ergebnisse an Security Hub, der Erkenntnisse für Arbeitsabläufe, Priorisierung und Problembehebung generiert.

4. Amazon Inspector sendet den Status der Bewertung auch an ein SNS Thema im Auditkonto. Eine AWS Lambda-Funktion wird aufgerufen, wenn ein findings reported Ereignis zu dem SNS Thema veröffentlicht wird.

5. Die Lambda-Funktion ruft die Ergebnisse ab, formatiert sie und sendet sie an ein anderes SNS Thema im Prüfkonto.

6. Die Ergebnisse werden an die E-Mail-Adressen gesendet, die das Thema abonniert haben. SNS Die vollständigen Informationen und Empfehlungen werden im JSON Format an den HTTP abonnierten Endpunkt gesendet.

Technologie-Stack

AWS Control Tower
EventBridge
IAM
Amazon Inspector
Lambda
Security Hub
Amazon SNS

Tools

AWS CloudFormation— AWS CloudFormation unterstützt Sie bei der Modellierung und Einrichtung Ihrer AWS Ressourcen, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können.
AWS CloudFormation StackSets— AWS CloudFormation StackSets erweitert die Funktionalität von Stacks, indem es Ihnen ermöglicht, Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang zu erstellen, zu aktualisieren oder zu löschen.
AWSControl Tower — AWS Control Tower erstellt eine Abstraktions- oder Orchestrierungsebene, die die Funktionen mehrerer anderer AWS Dienste, einschließlich AWS Organizations, kombiniert und integriert.
Amazon EventBridge — EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden.
AWSLambda — Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen.
AWSSecurity Hub — Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Industriestandards und Best Practices zu überprüfen.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten ermöglicht.

Epen

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Stellen Sie die AWS CloudFormation Vorlage im Auditkonto bereit.	Laden Sie die `onboard-audit-account.yaml` Datei (angehängt) herunter und speichern Sie sie in einem lokalen Pfad auf Ihrem Computer. Melden Sie sich bei der AWS Management Console für Ihr Auditkonto an, öffnen Sie die AWS CloudFormation Konsole und wählen Sie dann Create Stack aus. Wählen Sie im Abschnitt Voraussetzungen die Option Vorlage vorbereiten aus und wählen Sie dann Vorlage ist bereit. Wählen Sie im Abschnitt „Vorlage angeben“ die Option „Vorlagenquelle“ und wählen Sie dann „Vorlage ist bereit“. Laden Sie die `onboard-audit-account.yaml` Datei hoch und konfigurieren Sie dann die verbleibenden Optionen entsprechend Ihren Anforderungen. Wichtig: Stellen Sie sicher, dass Sie die folgenden Eingabeparameter konfigurieren: `DestinationEmailAddress`— Geben Sie eine E-Mail-Adresse ein, um die Ergebnisse zu erhalten. `HTTPEndpoint`— Stellen Sie einen HTTP Endpunkt für Ihr Ticketing oder Ihre SIEM Tools bereit. Sie können die AWS CloudFormation Vorlage auch mithilfe der AWS Befehlszeilenschnittstelle (AWSCLI) bereitstellen. Weitere Informationen dazu finden Sie in der AWS CloudFormation Dokumentation unter Einen Stack erstellen.	Entwickler, Sicherheitsingenieur
Bestätigen Sie das SNS Amazon-Abonnement.	Öffnen Sie Ihren E-Mail-Posteingang und wählen Sie in der E-Mail, die Sie von Amazon erhalten, die Option Abonnement bestätigen ausSNS. Dadurch wird ein Webbrowser-Fenster geöffnet und die Abonnementbestätigung angezeigt.	Entwickler, Sicherheitsingenieur

Stellen Sie die AWS CloudFormation Vorlage im Auditkonto bereit.

Laden Sie die onboard-audit-account.yaml Datei (angehängt) herunter und speichern Sie sie in einem lokalen Pfad auf Ihrem Computer.

Melden Sie sich bei der AWS Management Console für Ihr Auditkonto an, öffnen Sie die AWS CloudFormation Konsole und wählen Sie dann Create Stack aus.

Wählen Sie im Abschnitt Voraussetzungen die Option Vorlage vorbereiten aus und wählen Sie dann Vorlage ist bereit. Wählen Sie im Abschnitt „Vorlage angeben“ die Option „Vorlagenquelle“ und wählen Sie dann „Vorlage ist bereit“. Laden Sie die onboard-audit-account.yaml Datei hoch und konfigurieren Sie dann die verbleibenden Optionen entsprechend Ihren Anforderungen.

Wichtig: Stellen Sie sicher, dass Sie die folgenden Eingabeparameter konfigurieren:

DestinationEmailAddress— Geben Sie eine E-Mail-Adresse ein, um die Ergebnisse zu erhalten.
HTTPEndpoint— Stellen Sie einen HTTP Endpunkt für Ihr Ticketing oder Ihre SIEM Tools bereit.

Sie können die AWS CloudFormation Vorlage auch mithilfe der AWS Befehlszeilenschnittstelle (AWSCLI) bereitstellen. Weitere Informationen dazu finden Sie in der AWS CloudFormation Dokumentation unter Einen Stack erstellen.

Entwickler, Sicherheitsingenieur

Bestätigen Sie das SNS Amazon-Abonnement.

Öffnen Sie Ihren E-Mail-Posteingang und wählen Sie in der E-Mail, die Sie von Amazon erhalten, die Option Abonnement bestätigen ausSNS. Dadurch wird ein Webbrowser-Fenster geöffnet und die Abonnementbestätigung angezeigt.

Entwickler, Sicherheitsingenieur

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie Stack-Sets im Audit-Konto.	Laden Sie die `vulnerability-management-program.yaml` Datei (angehängt) in einen lokalen Pfad auf Ihrem Computer herunter. Wählen Sie auf der AWS CloudFormation Konsole „Stacksets anzeigen“ und anschließend „Erstellen“. StackSet Wählen Sie „Vorlage ist bereit“, wählen Sie „Eine Vorlagendatei hochladen“ und laden Sie dann die `vulnerability-management-program.yaml`Datei hoch. Wenn Sie `self-managed` Berechtigungen verwenden möchten, folgen Sie den Anweisungen unter Erstellen eines Stack-Sets mit selbstverwalteten Berechtigungen in der AWS CloudFormation Dokumentation. Dadurch werden Stack-Sets in einzelnen Konten erstellt. Wenn Sie `service-managed` Berechtigungen verwenden möchten, folgen Sie den Anweisungen unter Erstellen eines Stack-Sets mit vom Service verwalteten Berechtigungen in der AWS CloudFormation Dokumentation. Dadurch werden Stacksets in Ihrer gesamten Organisation oder in bestimmten Organisationseinheiten (OUs) erstellt. Wichtig: Stellen Sie sicher, dass die folgenden Eingabeparameter für Ihre Stack-Sets konfiguriert sind: `AssessmentSchedule`— Der Zeitplan für die EventBridge Verwendung von Cron-Ausdrücken. `Duration`— Die Dauer des Amazon Inspector Inspector-Bewertungslaufs in Sekunden. `CentralSNSTopicArn`— Der Amazon-Ressourcenname (ARN) für das zentrale SNS Thema. `Tagkey`— Der Tag-Schlüssel, der der Ressourcengruppe zugeordnet ist. `Tagvalue`— Der Tag-Wert, der der Ressourcengruppe zugeordnet ist. Wenn Sie EC2 Instanzen im Auditkonto scannen möchten, müssen Sie die `vulnerability-management-program.yaml` Datei als AWS CloudFormation Stapel im Auditkonto ausführen.	Entwickler, Sicherheitsingenieur
Validieren Sie die Lösung.	Vergewissern Sie sich, dass Sie die Ergebnisse per E-Mail oder HTTP Endgerät gemäß dem Zeitplan erhalten, den Sie für Amazon Inspector festgelegt haben.	Entwickler, Sicherheitsingenieur

Erstellen Sie Stack-Sets im Audit-Konto.

Laden Sie die vulnerability-management-program.yaml Datei (angehängt) in einen lokalen Pfad auf Ihrem Computer herunter.

Wählen Sie auf der AWS CloudFormation Konsole „Stacksets anzeigen“ und anschließend „Erstellen“. StackSet Wählen Sie „Vorlage ist bereit“, wählen Sie „Eine Vorlagendatei hochladen“ und laden Sie dann die vulnerability-management-program.yamlDatei hoch.

Wenn Sie self-managed Berechtigungen verwenden möchten, folgen Sie den Anweisungen unter Erstellen eines Stack-Sets mit selbstverwalteten Berechtigungen in der AWS CloudFormation Dokumentation. Dadurch werden Stack-Sets in einzelnen Konten erstellt.

Wenn Sie service-managed Berechtigungen verwenden möchten, folgen Sie den Anweisungen unter Erstellen eines Stack-Sets mit vom Service verwalteten Berechtigungen in der AWS CloudFormation Dokumentation. Dadurch werden Stacksets in Ihrer gesamten Organisation oder in bestimmten Organisationseinheiten (OUs) erstellt.

Wichtig: Stellen Sie sicher, dass die folgenden Eingabeparameter für Ihre Stack-Sets konfiguriert sind:

AssessmentSchedule— Der Zeitplan für die EventBridge Verwendung von Cron-Ausdrücken.
Duration— Die Dauer des Amazon Inspector Inspector-Bewertungslaufs in Sekunden.
CentralSNSTopicArn— Der Amazon-Ressourcenname (ARN) für das zentrale SNS Thema.
Tagkey— Der Tag-Schlüssel, der der Ressourcengruppe zugeordnet ist.
Tagvalue— Der Tag-Wert, der der Ressourcengruppe zugeordnet ist.

Wenn Sie EC2 Instanzen im Auditkonto scannen möchten, müssen Sie die vulnerability-management-program.yaml Datei als AWS CloudFormation Stapel im Auditkonto ausführen.

Entwickler, Sicherheitsingenieur

Validieren Sie die Lösung.

Vergewissern Sie sich, dass Sie die Ergebnisse per E-Mail oder HTTP Endgerät gemäß dem Zeitplan erhalten, den Sie für Amazon Inspector festgelegt haben.

Entwickler, Sicherheitsingenieur

Zugehörige Ressourcen

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Automatisieren Sie die Behebung von Security Hub Hub-Standardergebnissen

Automatische Reaktivierung CloudTrail von AWS mithilfe bewährter Sicherheitsmethoden