Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfigurieren der Protokollierung und Überwachung für Sicherheitsereignisse in Ihrer AWS IoT-Umgebung
Erstellt von Prateek Prakash (AWS)
Umgebung: Produktion | Technologien: IoT; Sicherheit, Identität, Compliance; Betrieb | Workload: Alle anderen Workloads |
AWS-Services: Amazon CloudWatch; Amazon OpenSearch Service; Amazon GuardDuty; AWS IoT Core; AWS IoT Device Defender ; AWS IoT Device Management ; Amazon CloudWatch Logs |
Übersicht
Sicherstellen, dass Ihre Internet of Things (IoT)-Umgebungen sicher sind, hat eine wichtige Priorität, insbesondere weil Organisationen Milliarden von Geräten mit ihren IT-Umgebungen verbinden. Dieses Muster bietet eine Referenzarchitektur, mit der Sie die Protokollierung und Überwachung von Sicherheitsereignissen in Ihrer gesamten IoT-Umgebung in der Amazon Web Services (AWS) Cloud implementieren können. In der Regel hat eine IoT-Umgebung in der AWS Cloud die folgenden drei Ebenen:
IoT-Geräte, die relevante Telemetriedaten generieren.
AWS IoT-Services (z. B. AWS IoT Core, AWS IoT Device Management oder AWS IoT Device Defender), die Ihre IoT-Geräte mit anderen Geräten und AWS-Services verbinden.
Backend-AWS-Services, die bei der Verarbeitung von Telemetriedaten helfen und nützliche Einblicke für Ihre verschiedenen Geschäftsanwendungsfälle bieten.
Die bewährten Methoden des Whitepapers AWS IoT Lens – AWS Well-Architected Framework können Ihnen helfen, Ihre cloudbasierte Architektur zu überprüfen und zu verbessern und die Auswirkungen Ihrer Entwurfsentscheidungen auf das Geschäft besser zu verstehen. Eine wichtige Empfehlung besteht darin, Anwendungsprotokolle und Metriken auf Ihren Geräten und in der AWS Cloud zu analysieren. Sie können dies erreichen, indem Sie verschiedene Ansätze und Techniken (z. B. Bedrohungsmodellierung
Dieses Muster beschreibt, wie Sie AWS IoT und Sicherheitsservices verwenden, um eine Referenzarchitektur für Sicherheitsprotokollierung und -überwachung für eine IoT-Umgebung in der AWS Cloud zu entwerfen und zu implementieren. Diese Architektur baut auf vorhandenen bewährten AWS-Sicherheitsmethoden auf und wendet sie auf Ihre IoT-Umgebung an.
Voraussetzungen und Einschränkungen
Voraussetzungen
Eine vorhandene Landing Zone-Umgebung. Weitere Informationen dazu finden Sie im Handbuch Einrichten einer sicheren und skalierbaren AWS-Umgebung mit mehreren Konten auf der Website AWS Prescriptive Guidance.
Die folgenden Konten müssen in Ihrer Landing Zone verfügbar sein:
Log-Archive-Konto – Dieses Konto richtet sich an Benutzer, die auf die Protokollierungsinformationen für Konten in den Organisationseinheiten (OUs) Ihrer Landing Zone zugreifen müssen. Weitere Informationen dazu finden Sie im Abschnitt Sicherheits-OU – Protokollarchivkonto des Handbuchs AWS-Sicherheitsreferenzarchitektur auf der Website AWS Prescriptive Guidance.
Sicherheitskonto – Ihre Sicherheits- und Compliance-Teams verwenden dieses Konto für die Prüfung oder für die Durchführung von Notfallsicherheitsvorgängen. Dieses Konto wird auch als Administratorkonto für Amazon festgelegt GuardDuty. Benutzer aus dem Administratorkonto können konfigurieren GuardDuty, zusätzlich zum Anzeigen und Verwalten von GuardDuty Ergebnissen für ihr eigenes Konto und alle Mitgliedskonten. Weitere Informationen dazu finden Sie unter Verwalten mehrerer Konten in GuardDuty in der Amazon- GuardDuty Dokumentation.
IoT-Konto – Dieses Konto ist für Ihre IoT-Umgebung bestimmt.
Architektur
Dieses Muster erweitert die zentralisierte Protokollierungslösung
Das folgende Architekturdiagramm zeigt die wichtigsten Komponenten einer IoT-Sicherheitsprotokollierungs- und Referenzarchitektur in der AWS Cloud.
Das Diagramm zeigt den folgenden Workflow:
IoT-Objekte sind die Geräte, die auf anomale Sicherheitsereignisse überwacht werden müssen. Diese Geräte führen einen Agenten aus, um Sicherheitsereignisse oder Metriken in AWS IoT Core und AWS IoT Device Defender zu veröffentlichen.
Wenn die AWS IoT-Protokollierung aktiviert ist, sendet AWS IoT Fortschrittsereignisse zu jeder Nachricht, während sie von Ihren Geräten über den Message Broker und die Regel-Engine an Amazon CloudWatch Logs weitergeleitet wird. Sie können CloudWatch Logs-Abonnements verwenden, um Ereignisse an eine zentralisierte Protokollierungslösung zu übertragen. Weitere Informationen dazu finden Sie unter AWS IoT-Metriken und -Dimensionen in der AWS IoT Core-Dokumentation.
AWS IoT Device Defender hilft bei der Überwachung unsicherer Konfigurationen und Sicherheitsmetriken für Ihre IoT-Geräte. Wenn eine Anomalie erkannt wird, benachrichtigen Alarme Amazon Simple Notification Service (Amazon SNS), der über eine AWS Lambda-Funktion als Abonnent verfügt. Die Lambda-Funktion sendet den Alarm als Nachricht an CloudWatch Logs. Sie können - CloudWatch Protokollabonnements verwenden, um Ereignisse an Ihre zentralisierte Protokollierungslösung zu übertragen. Weitere Informationen dazu finden Sie unter Audit-Prüfungen , Geräteseitige Metriken und Cloud-seitige Metriken in der AWS IoT Core-Dokumentation. AWS IoT
AWS CloudTrail protokolliert AWS IoT Core-Aktionen auf Steuerebene, die Änderungen vornehmen (z. B. das Erstellen, Aktualisieren oder Anhängen von APIs). Wenn als Teil einer Landing Zone-Implementierung eingerichtet CloudTrail ist, sendet es Ereignisse an - CloudWatch Protokolle und Sie können Abonnements verwenden, um Ereignisse an Ihre zentralisierte Protokollierungslösung zu übertragen
Von AWS Config verwaltete Regeln oder benutzerdefinierte Regeln werten Ressourcen aus, die Teil Ihrer IoT-Umgebung sind. Überwachen Sie Ihre Benachrichtigungen über Compliance-Änderungen mit - CloudWatch Ereignissen mit - CloudWatch Protokollen als Ziel. Nachdem Benachrichtigungen über Compliance-Änderungen an - CloudWatch Protokolle gesendet wurden, können Sie Abonnements verwenden, um Ereignisse an Ihre zentralisierte Protokollierungslösung zu übertragen.
Amazon analysiert GuardDuty kontinuierlich CloudTrail Verwaltungsereignisse und hilft dabei, API-Aufrufe an AWS IoT Core-Endpunkte anhand bekannter bösartiger IP-Adressen, ungewöhnlicher Geolocations oder Anonymisierung von Proxys zu identifizieren. Überwachen Sie GuardDuty Benachrichtigungen mit Amazon CloudWatch Events mit Protokollgruppen in CloudWatch Logs als Ziel. Wenn GuardDuty Benachrichtigungen an - CloudWatch Protokolle gesendet werden, können Sie Abonnements verwenden, um Ereignisse an Ihre Lösung für zentralisierte Überwachung zu übertragen, oder die GuardDuty Konsole in Ihrem Sicherheitskonto verwenden, um die Benachrichtigungen anzuzeigen.
AWS Security Hub überwacht Ihr IoT-Konto anhand bewährter Sicherheitsmethoden. Überwachen Sie Security Hub-Benachrichtigungen, indem Sie CloudWatch Ereignisse mit Protokollgruppen in - CloudWatch Protokollen als Ziel verwenden. Wenn Security Hub-Benachrichtigungen an CloudWatch Logs gesendet werden, verwenden Sie Abonnements, um Ereignisse an Ihre Lösung für zentralisierte Überwachung zu übertragen, oder verwenden Sie die Security Hub-Konsole in Ihrem Sicherheitskonto, um die Benachrichtigungen anzuzeigen.
Amazon Detective wertet Informationen aus und analysiert sie, um die Ursache zu isolieren und Maßnahmen für Sicherheitserkenntnisse für ungewöhnliche Aufrufe an AWS IoT-Endpunkte oder andere Services in Ihrer IoT-Architektur zu ergreifen.
Amazon Athena fragt Protokolle ab, die in Ihrem Log-Archive-Konto gespeichert sind, um Ihr Verständnis für Sicherheitserkenntnisse zu verbessern und Trends und böswillige Aktivitäten zu identifizieren.
Tools
Amazon Athena ist ein interaktiver Abfrageservice, der die direkte Analyse von Daten in Amazon Simple Storage Service (Amazon S3) mit Standard-SQL vereinfacht.
AWS CloudTrail unterstützt Sie bei der Aktivierung von Governance, Compliance sowie Betriebs- und Risikoprüfungen Ihres AWS-Kontos.
Amazon CloudWatch überwacht Ihre AWS-Ressourcen und die Anwendungen, die Sie auf AWS ausführen, in Echtzeit. Sie können verwenden, CloudWatch um Metriken zu erfassen und zu verfolgen. Dabei handelt es sich um Variablen, die Sie für Ihre Ressourcen und Anwendungen messen können.
Amazon CloudWatch Logs zentralisiert die Protokolle von all Ihren Systemen, Anwendungen und AWS-Services, die Sie verwenden. Sie können die Protokolle anzeigen und überwachen, nach bestimmten Fehlercodes oder Mustern suchen, sie nach bestimmten Feldern filtern oder sie sicher für zukünftige Analysen archivieren.
AWS Config bietet eine detaillierte Ansicht der Konfiguration der AWS-Ressourcen in Ihrem AWS-Konto.
Amazon Detective erleichtert die Analyse, Untersuchung und schnelle Identifizierung der Ursache von Sicherheitserkenntnissen oder verdächtigen Aktivitäten.
AWS Glue ist ein vollständig verwalteter ETL-Service (Extract, Transform, Load), mit dem Sie Ihre Daten einfach und kostengünstig kategorisieren, bereinigen, anreichern und zuverlässig zwischen verschiedenen Datenspeichern und Datenströmen verschieben können.
Amazon GuardDuty ist ein kontinuierlicher Service zur Sicherheitsüberwachung.
AWS IoT Core bietet eine sichere, bidirektionale Kommunikation für mit dem Internet verbundene Geräte (wie Sensoren, Aktuatoren, eingebettete Geräte, WLAN-Geräte und intelligente Appliances), um über MQTT, HTTPS und LoRaWAN eine Verbindung zur AWS Cloud herzustellen.
AWS IoT Device Defender ist ein Sicherheitsservice, mit dem Sie die Konfiguration Ihrer Geräte überprüfen, verbundene Geräte überwachen können, um anormales Verhalten zu erkennen und Sicherheitsrisiken zu minimieren.
Amazon OpenSearch Service ist ein verwalteter Service, der die Bereitstellung, den Betrieb und die Skalierung von OpenSearch Clustern in der AWS Cloud vereinfacht.
AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer Organisation konsolidieren können, die Sie erstellen und zentral verwalten.
AWS Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Standards und bewährten Methoden der Sicherheitsbranche zu überprüfen.
Amazon Virtual Private Cloud (Amazon VPC) stellt einen logisch isolierten Abschnitt der AWS Cloud bereit, in dem Sie AWS-Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.
Polen
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Validieren Sie die Sicherheitsvorkehrungen im IoT-Konto. | Überprüfen Sie, ob die Integritätsschutzrichtlinien für CloudTrail, AWS Config GuardDutyund Security Hub in Ihrem IoT-Konto aktiviert sind. | AWS-Administrator |
Überprüfen Sie, ob Ihr IoT-Konto als Mitgliedskonto Ihres Sicherheitskontos konfiguriert ist. | Überprüfen Sie, ob Ihr IoT-Konto konfiguriert und als Mitgliedskonto für GuardDuty und Security Hub in Ihrem Sicherheitskonto verknüpft ist. Weitere Informationen dazu finden Sie unter Verwalten von GuardDuty Konten mit AWS Organizations in der Amazon- GuardDuty Dokumentation und Verwalten von Administrator- und Mitgliedskonten in der AWS Security Hub-Dokumentation. | AWS-Administrator |
Validieren Sie die Protokollarchivierung. | Überprüfen Sie, ob CloudTrail-, AWS Config- und VPC-Flow-Protokolle im Log Archive-Konto gespeichert sind. | AWS-Administrator |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Richten Sie die zentralisierte Protokollierungslösung in Ihrem -Sicherheitskonto ein. | Melden Sie sich bei der AWS-Managementkonsole für Ihr Sicherheitskonto an und richten Sie die Lösung für die zentrale Protokollierung Weitere Informationen dazu finden Sie unter Erfassen, Analysieren und Anzeigen von Amazon CloudWatch Logs in einem einzigen Dashboard mit der zentralen Protokollierungslösung aus dem Implementierungshandbuch für die zentrale Protokollierung in der AWS-Lösungsbibliothek. | AWS-Administrator |
| Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
|---|---|---|
Richten Sie die AWS IoT-Protokollierung ein. | Melden Sie sich bei der AWS-Managementkonsole für Ihr IoT-Konto an. Richten Sie AWS IoT Core so ein und konfigurieren Sie es, dass Protokolle an CloudWatch -Protokolle gesendet werden. Weitere Informationen dazu finden Sie unter Konfigurieren der AWS IoT-Protokollierung und Überwachen von AWS IoT mithilfe von CloudWatch Protokollen in der AWS IoT Core-Dokumentation. | AWS-Administrator |
Richten Sie AWS IoT Device Defender ein. | Richten Sie AWS IoT Device Defender ein, um Ihre IoT-Ressourcen zu überprüfen und Anomalien zu erkennen. Weitere Informationen dazu finden Sie unter Erste Schritte mit AWS IoT Device Defender in der AWS IoT Core-Dokumentation. | AWS-Administrator |
Richten Sie ein CloudTrail. | Richten Sie so ein CloudTrail , dass Ereignisse an - CloudWatch Protokolle gesendet werden. Weitere Informationen dazu finden Sie unter Senden von Ereignissen an CloudWatch Protokolle in der AWS- CloudTrail Dokumentation. | AWS-Administrator |
Richten Sie AWS Config- und AWS Config-Regeln ein. | Richten Sie AWS Config und die erforderlichen AWS Config-Regeln ein. Weitere Informationen dazu finden Sie unter Einrichten von AWS Config mit der Konsole und Einrichten von AWS Config-Regeln mit der Konsole in der AWS Config-Dokumentation. | AWS-Administrator |
Richten Sie ein GuardDuty. | Richten Sie so ein und konfigurieren Sie GuardDuty so, dass Ergebnisse an Amazon CloudWatch Events mit Protokollgruppen in - CloudWatch Protokollen als Ziel gesendet werden. Weitere Informationen dazu finden Sie unter Erstellen von benutzerdefinierten Antworten auf GuardDuty Erkenntnisse mit Amazon CloudWatch Events in der Amazon- GuardDuty Dokumentation. | AWS-Administrator |
Richten Sie Security Hub ein. | Richten Sie Security Hub ein und aktivieren Sie die Standards CIS AWS Foundations Benchmark und AWS Foundational Security Best Practices. Weitere Informationen dazu finden Sie unter Automatisierte Reaktion und Behebung in der AWS Security Hub-Dokumentation. | AWS-Administrator |
Richten Sie Amazon Detective ein. | Richten Sie Detective ein, um die Analyse von Sicherheitsergebnissen zu erleichtern Weitere Informationen dazu finden Sie unter Einrichten von Amazon Detective in der Amazon-Detective-Dokumentation. | AWS-Administrator |
Richten Sie Amazon Athena und AWS Glue ein. | Richten Sie Athena und AWS Glue ein, um die AWS-Serviceprotokolle abzufragen, die Untersuchungen von Sicherheitsvorfällen durchführen. Weitere Informationen dazu finden Sie unter Abfragen von AWS-Serviceprotokollen in der Amazon Athena-Dokumentation. | AWS-Administrator |
Zugehörige Ressourcen
