Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados Información adicional Conexiones

Identifique y avise cuando los recursos de Amazon Data Firehose no estén cifrados con una clave AWS KMS

Creado por Ram Kandaswamy () AWS

Entorno: producción

Tecnologías: gestión y gobierno; análisis; macrodatos; infraestructura CloudNative; seguridad, identidad y cumplimiento

AWSservicios: Amazon AWS CloudTrail CloudWatch; AWS Identity and Access Management; Amazon Kinesis; LambdaAWS; Amazon SNS

Resumen

Para cumplir con las normas, algunas organizaciones deben tener el cifrado activado en los recursos de entrega de datos, como Amazon Data Firehose. Este patrón muestra una forma de monitorear, detectar y notificar cuando los recursos no cumplen con las normas.

Para mantener el requisito de cifrado, este patrón se puede utilizar en Amazon Web Services (AWS) para proporcionar una supervisión y detección automatizadas de los recursos de entrega de Firehose que no están cifrados con la clave de AWS Key Management Service (AWSKMS). La solución envía notificaciones de alerta y se puede ampliar para que se corrija automáticamente. Esta solución se puede aplicar a una cuenta individual o a un entorno de cuentas múltiples, como un entorno que utilice AWS Landing Zone o AWS Control Tower.

Requisitos previos y limitaciones

Requisitos previos

Flujo de entrega de Firehose
Permisos suficientes y familiaridad con lo que AWS CloudFormation se utiliza en esta automatización de infraestructuras

Limitaciones

La solución no es en tiempo real porque utiliza AWS CloudTrail eventos para la detección y hay un retraso entre el momento en que se crea un recurso no cifrado y el momento en que se envía la notificación.

Arquitectura

Pila de tecnología de destino

La solución utiliza tecnología sin servidor y los siguientes servicios:

AWS CloudTrail
Amazon CloudWatch
AWSInterfaz de línea de comandos (AWSCLI)
AWSIdentity and Access Management (IAM)
Amazon Data Firehose
AWSLambda
Amazon Simple Notification Service (AmazonSNS)

Arquitectura de destino

Diagrama que muestra los cinco pasos del proceso.

Un usuario crea o modifica Firehose.
Se detecta un CloudTrail evento y se hace coincidir.
Lambda es invocado.
Se identifican los recursos que no cumplen con las normas.
Se envía una notificación por correo electrónico.

Automatizar y escalar

Con AWS CloudFormation StackSets ella, puede aplicar esta solución a varias AWS regiones o cuentas con un solo comando.

Herramientas

AWS CloudTrail— AWS CloudTrail es un AWS servicio que le ayuda a habilitar la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de su AWS cuenta. Las acciones realizadas por un usuario, un rol o un AWS servicio se registran como eventos en CloudTrail. Los eventos incluyen las acciones realizadas en la consola AWS de administración, la interfaz de línea de AWS comandos AWS SDKs y API las operaciones.
Amazon CloudWatch Events: Amazon CloudWatch Events ofrece un near-real-time flujo de eventos del sistema que describen los cambios en AWS los recursos.
AWSCLI— La interfaz de línea de AWS comandos (AWSCLI) es una herramienta de código abierto que le permite interactuar con AWS los servicios mediante comandos de su shell de línea de comandos.
IAM— AWS Identity and Access Management (IAM) es un servicio web que le ayuda a controlar de forma segura el acceso a AWS los recursos. Se utiliza IAM para controlar quién está autenticado (ha iniciado sesión) y quién está autorizado (tiene permisos) para usar los recursos.
Amazon Data Firehose: Amazon Data Firehose es un servicio totalmente gestionado que ofrece datos de streaming en tiempo real. Con Firehose, no necesitas escribir aplicaciones ni administrar recursos. Usted configura sus generadores de datos para que envíen datos a Firehose, y esta entrega automáticamente los datos al destino que especificó.
AWSLambda: AWS Lambda es un servicio informático que admite la ejecución de código sin aprovisionar ni administrar servidores. Lambda ejecuta su código solo cuando es necesario y escala de manera automática, desde unas pocas solicitudes por día hasta miles por segundo. Solo pagará por el tiempo de computación que consuma, no se aplican cargos cuando el código no se está ejecutando.
Amazon SNS: Amazon Simple Notification Service (AmazonSNS) es un servicio gestionado que proporciona la entrega de mensajes de los editores a los suscriptores (también conocidos como productores y consumidores).

Epics

Tarea Descripción Habilidades requeridas

Tarea	Descripción	Habilidades requeridas
Implemente AWS CloudFormation StackSets.	En el AWSCLI, utilice la `firehose-encryption-checker.yaml` plantilla (adjunta) para crear el conjunto de pilas ejecutando el siguiente comando. Proporcione un SNS tema de Amazon válido Amazon Resource Name (ARN) para el parámetro. La implementación debe crear correctamente las reglas de CloudWatch eventos, la función Lambda y un IAM rol con los permisos necesarios, tal y como se describe en la plantilla. `aws cloudformation create-stack-set --stack-set-name my-stack-set --template-body file://firehose-encryption-checker.yaml`	Arquitecto de la nube, administrador de sistemas
Cree instancias de pila.	Las pilas deben crearse en las AWS regiones que elijas, así como en una o más cuentas. Para crear instancias de pila, ejecute el siguiente comando y reemplace el nombre de pila, los números de cuenta y las regiones por los suyos. `aws cloudformation create-stack-instances --stack-set-name my-stack-set --accounts 123456789012 223456789012 --regions us-east-1 us-east-2 us-west-1 us-west-2 --operation-preferences FailureToleranceCount=1`	Arquitecto de la nube, administrador de sistemas

Implemente AWS CloudFormation StackSets.

En el AWSCLI, utilice la firehose-encryption-checker.yaml plantilla (adjunta) para crear el conjunto de pilas ejecutando el siguiente comando. Proporcione un SNS tema de Amazon válido Amazon Resource Name (ARN) para el parámetro. La implementación debe crear correctamente las reglas de CloudWatch eventos, la función Lambda y un IAM rol con los permisos necesarios, tal y como se describe en la plantilla.

aws cloudformation create-stack-set --stack-set-name my-stack-set --template-body file://firehose-encryption-checker.yaml

Arquitecto de la nube, administrador de sistemas

Cree instancias de pila.

Las pilas deben crearse en las AWS regiones que elijas, así como en una o más cuentas. Para crear instancias de pila, ejecute el siguiente comando y reemplace el nombre de pila, los números de cuenta y las regiones por los suyos.

aws cloudformation create-stack-instances --stack-set-name my-stack-set --accounts 123456789012 223456789012 --regions us-east-1 us-east-2 us-west-1 us-west-2 --operation-preferences FailureToleranceCount=1

Arquitecto de la nube, administrador de sistemas

Recursos relacionados

Información adicional

AWSConfig no admite el tipo de recurso Firehose Delivery Stream, por lo que no se puede usar una regla de AWS configuración en la solución.

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Gestión y gobernanza

Automatice la adición o actualización de entradas de registro de Windows