Automatice los escaneos de seguridad para cargas de trabajo entre cuentas mediante Amazon Inspector y AWS Security Hub - Recomendaciones de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Automatice los escaneos de seguridad para cargas de trabajo entre cuentas mediante Amazon Inspector y AWS Security Hub

Creado por Ramya Pulipaka (AWS) y Mikesh Khanal () AWS

Entorno: producción

Tecnologías: seguridad, identidad, conformidad; administración y gobierno

AWSservicios: Amazon Inspector; AmazonSNS; AWS Lambda; AWS Security Hub; Amazon CloudWatch

Resumen

Este patrón describe cómo buscar automáticamente vulnerabilidades en las cargas de trabajo entre cuentas en la nube de Amazon Web Services (AWS).

El patrón ayuda a crear una programación para los escaneos basados en el host de las instancias de Amazon Elastic Compute Cloud (AmazonEC2) agrupadas por etiquetas o para los escaneos de Amazon Inspector basados en la red. Una AWS CloudFormation pila despliega todos los AWS recursos y servicios necesarios en sus cuentas. AWS

Las conclusiones de Amazon Inspector se exportan a AWS Security Hub y proporcionan información sobre las vulnerabilidades en sus cuentas, AWS regiones, nubes privadas virtuales (VPCs) e EC2 instancias. Puedes recibir estas conclusiones por correo electrónico o puedes crear un tema de Amazon Simple Notification Service (AmazonSNS) que utilice un HTTP punto final para enviar las conclusiones a herramientas de venta de entradas, software de gestión de eventos e información de seguridad (SIEM) u otras soluciones de seguridad de terceros.

Requisitos previos y limitaciones

Requisitos previos 

  • Una dirección de correo electrónico existente para recibir notificaciones por correo electrónico de AmazonSNS. 

  • Un HTTP terminal existente utilizado por herramientas de venta de entradas, SIEM software u otras soluciones de seguridad de terceros.

  • AWSCuentas activas que alojan cargas de trabajo entre cuentas, incluida una cuenta de auditoría central. 

  • Security Hub, habilitado y configurado. Puede usar este patrón sin Security Hub, pero le recomendamos usar Security Hub por la información que genera. Para obtener más información, consulte Configuración del Security Hub en la documentación del AWS Security Hub.

  • Debe haber instalado un agente de Amazon Inspector en cada EC2 instancia que desee escanear. Puede instalar el agente de Amazon Inspector en varias EC2 instancias mediante el comando Run de AWS Systems Manager

Habilidades

  • Experiencia en el uso de conjuntos de pilas self-managed y service-managed permisos para ellos AWS CloudFormation. Si quiere usar self-managed los permisos para implementar instancias apiladas en cuentas específicas en regiones específicas, debe crear las funciones de AWS Identity and Access Management (IAM) requeridas. Si quieres usar service-managed los permisos para implementar instancias apiladas en cuentas administradas por AWS Organizations en regiones específicas, no necesitas crear las IAM funciones necesarias. Para obtener más información, consulta Cómo crear un conjunto de pilas en la AWS CloudFormation documentación. 

Limitaciones

  • Si no se aplica ninguna etiqueta a EC2 las instancias de una cuenta, Amazon Inspector escanea todas las EC2 instancias de esa cuenta.

  • Los conjuntos de AWS CloudFormation pilas y el onboard-audit-account archivo.yaml (adjunto) deben implementarse en la misma región.

  • De forma predeterminada, Amazon Inspector Classic no admite resultados agregados. Security Hub es la solución recomendada para ver las evaluaciones de varias cuentas o AWS regiones.

  • El enfoque de este patrón puede escalarse por debajo de la cuota de publicación de 30 000 transacciones por segundo (TPS) para un SNS tema en la región EE. UU. Este (Virginia del Norte) (us-east-1), aunque los límites varían según la región. Para escalar de forma más eficaz y evitar la pérdida de datos, le recomendamos que utilice Amazon Simple Queue Service (AmazonSQS) antes del SNS tema.

Arquitectura

El siguiente diagrama ilustra el flujo de trabajo para escanear EC2 instancias automáticamente.

Una AWS cuenta para ejecutar escaneos y una cuenta de auditoría independiente para enviar notificaciones.

El flujo de trabajo consta de los pasos siguientes:

1. Una EventBridge regla de Amazon utiliza una expresión cron para autoiniciarse según un cronograma específico e inicia Amazon Inspector.   

2. Amazon Inspector escanea las EC2 instancias etiquetadas de la cuenta. 

3. Amazon Inspector envía los resultados a Security Hub, que genera información sobre el flujo de trabajo, la priorización y la corrección.

4. Amazon Inspector también envía el estado de la evaluación a un SNS tema de la cuenta de auditoría. Se invoca una función AWS Lambda si se publica un findings reported evento en el SNS tema. 

5. La función Lambda busca, formatea y envía los resultados a otro SNS tema de la cuenta de auditoría.

6. Los resultados se envían a las direcciones de correo electrónico que están suscritas al tema. SNS Los detalles completos y las recomendaciones se envían en JSON formato al punto final suscritoHTTP.

Pila de tecnología

  • AWS Control Tower

  • EventBridge 

  • IAM

  • Amazon Inspector

  • Lambda

  • Security Hub

  • Amazon SNS

Herramientas

  • AWS CloudFormation— le AWS CloudFormation ayuda a modelar y configurar sus AWS recursos para que pueda dedicar menos tiempo a gestionarlos y más tiempo a centrarse en sus aplicaciones.

  • AWS CloudFormation StackSets— AWS CloudFormation StackSets amplía la funcionalidad de las pilas al permitirle crear, actualizar o eliminar pilas en varias cuentas y regiones con una sola operación.

  • AWSControl Tower: AWS Control Tower crea una capa de abstracción u orquestación que combina e integra las capacidades de varios otros AWS servicios, incluido OrganizationsAWS.

  • Amazon EventBridge: EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes.

  • AWSLambda: Lambda es un servicio informático que le ayuda a ejecutar código sin aprovisionar ni administrar servidores.

  • AWSSecurity Hub: Security Hub le proporciona una visión completa del estado de su seguridad AWS y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad.

  • Amazon SNS: Amazon Simple Notification Service (AmazonSNS) es un servicio gestionado que proporciona la entrega de mensajes de los editores a los suscriptores.

Epics

TareaDescripciónHabilidades requeridas

Implemente la AWS CloudFormation plantilla en la cuenta de auditoría.

Descargue y guarde el archivo onboard-audit-account.yaml (adjunto) en una ruta local de su computadora. 

Inicie sesión en la consola AWS de administración de su cuenta de auditoría, abra la AWS CloudFormation consola y, a continuación, seleccione Crear pila

Seleccione Preparación de la plantilla en la sección Requisitos previos y, a continuación, seleccione La plantilla está lista. Elija el Origen de la plantilla en la sección de Especificar plantilla y luego elija La plantilla está lista. Cargue el archivo onboard-audit-account.yaml y, a continuación, configure las opciones restantes según sus necesidades.  

Importante: Asegúrese de configurar los siguientes parámetros de entrada:

  • DestinationEmailAddress – Introduzca una dirección de correo electrónico para recibir los resultados.

  • HTTPEndpoint— Proporcione un HTTP punto de conexión para la emisión de tickets o sus SIEM herramientas.

También puede implementar la AWS CloudFormation plantilla mediante la interfaz de línea de AWS comandos (AWSCLI). Para obtener más información al respecto, consulte Crear una pila en la AWS CloudFormation documentación.

Desarrollador, ingeniero de seguridad

Confirma la SNS suscripción a Amazon.

Abre tu bandeja de entrada de correo electrónico y selecciona Confirmar suscripción en el correo que recibas de AmazonSNS. Esto abre una ventana del navegador web y muestra la confirmación de la suscripción.

Desarrollador, ingeniero de seguridad
TareaDescripciónHabilidades requeridas

Cree conjuntos de pilas en la cuenta de auditoría.

Descargue el archivo vulnerability-management-program.yaml (adjunto) a una ruta local de su computadora.

En la AWS CloudFormation consola, selecciona Ver conjuntos de pilas y, a continuación, selecciona Crear. StackSet Seleccione La plantilla está lista, seleccione Cargar un archivo de plantilla y, a continuación, cargue el archivo vulnerability-management-program.yaml

Si quieres usar self-managed los permisos, sigue las instrucciones de la documentación sobre cómo crear un conjunto de pilas con permisos autogestionados. AWS CloudFormation Esto crea conjuntos de pilas en cuentas individuales. 

Si quieres usar service-managed los permisos, sigue las instrucciones de la documentación sobre cómo crear un conjunto de pilas con permisos administrados por el servicio. AWS CloudFormation Esto crea conjuntos de pilas en toda la organización o en unidades organizativas específicas ()OUs.

Importante: Asegúrese de que los siguientes parámetros de entrada estén configurados para sus conjuntos de pilas:

  • AssessmentSchedule— El cronograma para EventBridge usar las expresiones cron. 

  • Duration – La duración de la ejecución de la evaluación de Amazon Inspector en segundos.

  • CentralSNSTopicArn— El nombre del recurso de Amazon (ARN) para el SNS tema central.

  • Tagkey – La clave de etiqueta que está asociada con el grupo de recursos. 

  • Tagvalue – El valor de etiqueta que está asociado con el grupo de recursos. 

Si quiere escanear las EC2 instancias de la cuenta de auditoría, debe ejecutar el vulnerability-management-program.yaml archivo como una AWS CloudFormation pila en la cuenta de auditoría.

Desarrollador, ingeniero de seguridad

Valide la solución.

Comprueba que recibes los resultados por correo electrónico o HTTP punto final según el cronograma que especificaste para Amazon Inspector.

Desarrollador, ingeniero de seguridad

Recursos relacionados

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip