Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer la journalisation et la surveillance des événements de sécurité dans votre environnement AWS IoT
Créée par Prateek Prakash (AWS)
Environnement : Production | Technologies : IoT ; sécurité, identité, conformité ; opérations | Charge de travail : toutes les autres charges de travail |
Services AWS : Amazon CloudWatch ; Amazon OpenSearch Service ; Amazon GuardDuty ; AWS IoT Core ; AWS IoT Device Defender ; AWS IoT Device Management ; Amazon CloudWatch Logs |
Récapitulatif
Garantir la sécurité de vos environnements Internet des objets (IoT) est une priorité importante, notamment parce que les entreprises connectent des milliards d'appareils à leurs environnements informatiques. Ce modèle fournit une architecture de référence que vous pouvez utiliser pour implémenter la journalisation et la surveillance des événements de sécurité dans votre environnement IoT sur le cloud Amazon Web Services (AWS). Généralement, un environnement IoT sur le cloud AWS comporte les trois couches suivantes :
Des appareils IoT qui génèrent des données de télémétrie pertinentes.
Services AWS IoT (par exemple, AWS IoT Core, AWS IoT Device Management ou AWS IoT Device Defender) qui connectent vos appareils IoT à d'autres appareils et services AWS.
Services AWS principaux qui aident à traiter les données de télémétrie et fournissent des informations utiles pour vos différents cas d'utilisation professionnels.
Les meilleures pratiques décrites dans le livre blanc AWS IoT Lens - AWS Well-Architected Framework peuvent vous aider à revoir et à améliorer votre architecture basée sur le cloud et à mieux comprendre l'impact commercial de vos décisions de conception. Il est important d'analyser les journaux et les statistiques des applications sur vos appareils et dans le cloud AWS. Vous pouvez y parvenir en utilisant différentes approches et techniques (par exemple, la modélisation des menaces
Ce modèle décrit comment utiliser l'IoT et les services de sécurité AWS pour concevoir et mettre en œuvre une architecture de référence de journalisation et de surveillance de la sécurité pour un environnement IoT sur le cloud AWS. Cette architecture s'appuie sur les meilleures pratiques de sécurité AWS existantes et les applique à votre environnement IoT.
Conditions préalables et limitations
Prérequis
Un environnement de zone d'atterrissage existant. Pour plus d'informations à ce sujet, consultez le guide Configuration d'un environnement AWS multi-comptes sécurisé et évolutif sur le site Web AWS Prescriptive Guidance.
Les comptes suivants doivent être disponibles dans votre zone de landing zone :
Compte Log Archive : ce compte est destiné aux utilisateurs qui ont besoin d'accéder aux informations de journalisation des comptes des unités organisationnelles (UO) de votre zone d'atterrissage. Pour plus d'informations à ce sujet, consultez la section Security OU — Log Archive account du guide AWS Security Reference Architecture sur le site Web AWS Prescriptive Guidance.
Compte de sécurité : vos équipes de sécurité et de conformité utilisent ce compte à des fins d'audit ou pour effectuer des opérations de sécurité d'urgence. Ce compte est également désigné comme compte administrateur pour Amazon GuardDuty. Les utilisateurs du compte administrateur peuvent configurer GuardDuty, en plus de consulter et de gérer GuardDuty les résultats pour leur propre compte et pour tous les comptes des membres. Pour plus d'informations à ce sujet, consultez la section Gestion de plusieurs comptes GuardDuty dans la GuardDuty documentation Amazon.
Compte IoT — Ce compte est destiné à votre environnement IoT.
Architecture
Ce modèle étend la solution de journalisation centralisée
Le schéma d'architecture suivant montre les composants clés d'une architecture de référence et de journalisation de la sécurité de l'IoT sur le cloud AWS.
Le schéma suivant illustre le flux de travail suivant :
Les objets IoT sont les appareils qui doivent être surveillés pour détecter les événements de sécurité anormaux. Ces appareils exécutent un agent pour publier des événements ou des indicateurs de sécurité sur AWS IoT Core et AWS IoT Device Defender.
Lorsque la journalisation AWS IoT est activée, AWS IoT envoie des événements de progression relatifs à chaque message lorsqu'il est transmis de vos appareils à Amazon CloudWatch Logs via le courtier de messages et le moteur de règles. Vous pouvez utiliser CloudWatch les abonnements Logs pour transférer des événements vers une solution de journalisation centralisée. Pour plus d'informations à ce sujet, consultez les métriques et dimensions d'AWS IoT dans la documentation AWS IoT Core.
AWS IoT Device Defender permet de surveiller les configurations non sécurisées et les indicateurs de sécurité de vos appareils IoT. Lorsqu'une anomalie est détectée, des alarmes avertissent Amazon Simple Notification Service (Amazon SNS), qui dispose d'une fonction AWS Lambda en tant qu'abonné. La fonction Lambda envoie l'alarme sous forme de message à CloudWatch Logs. Vous pouvez utiliser CloudWatch les abonnements Logs pour transférer des événements vers votre solution de journalisation centralisée. Pour plus d'informations à ce sujet, consultez les sections Contrôles d'audit, mesures côté appareil et mesures côté cloud dans la documentation AWS IoT Core.
AWS CloudTrail enregistre les actions du plan de contrôle AWS IoT Core qui apportent des modifications (par exemple, la création, la mise à jour ou l'attachement d'API). Lorsqu'il CloudTrail est configuré dans le cadre de la mise en œuvre d'une zone d'atterrissage, il envoie des événements à CloudWatch Logs et vous pouvez utiliser des abonnements pour transférer des événements vers votre solution de journalisation centralisée
Les règles gérées ou personnalisées d'AWS Config évaluent les ressources qui font partie de votre environnement IoT. Surveillez vos notifications de modification de conformité en utilisant les CloudWatch événements avec CloudWatch journaux comme cible. Une fois les notifications de modification de conformité envoyées à CloudWatch Logs, vous pouvez utiliser des abonnements pour transférer des événements vers votre solution de journalisation centralisée.
Amazon analyse GuardDuty en permanence les événements CloudTrail de gestion et aide à identifier les appels d'API adressés aux points de terminaison AWS IoT Core à partir d'adresses IP malveillantes connues, de géolocalisations inhabituelles ou de proxys anonymisés. Surveillez GuardDuty les notifications à l'aide d'Amazon CloudWatch Events en ciblant les groupes de CloudWatch journaux dans Logs. Lorsque GuardDuty des notifications sont envoyées à CloudWatch Logs, vous pouvez utiliser des abonnements pour transférer des événements vers votre solution de surveillance centralisée ou utiliser la GuardDuty console de votre compte Security pour consulter les notifications.
AWS Security Hub surveille votre compte IoT en utilisant les meilleures pratiques de sécurité. Surveillez les notifications du Security Hub en utilisant comme cible les CloudWatch événements avec des groupes de CloudWatch journaux dans les journaux. Lorsque les notifications Security Hub sont envoyées à CloudWatch Logs, utilisez des abonnements pour transférer les événements vers votre solution de surveillance centralisée ou utilisez la console Security Hub de votre compte Security pour consulter les notifications.
Amazon Detective évalue et analyse les informations afin d'isoler la cause première et de prendre des mesures en fonction des résultats de sécurité relatifs à des appels inhabituels vers des points de terminaison AWS IoT ou d'autres services de votre architecture IoT.
Amazon Athena interroge les journaux stockés dans votre compte Log Archive afin de mieux comprendre les résultats de sécurité et d'identifier les tendances et les activités malveillantes.
Outils
Amazon Athena est un service de requête interactif qui facilite l'analyse des données directement dans Amazon Simple Storage Service (Amazon S3) à l'aide du langage SQL standard.
AWS vous CloudTrail aide à activer la gouvernance, la conformité et l'audit opérationnel et des risques de votre compte AWS.
Amazon CloudWatch surveille vos ressources AWS et les applications que vous exécutez sur AWS en temps réel. Vous pouvez les utiliser CloudWatch pour collecter et suivre les métriques, qui sont des variables que vous pouvez mesurer pour vos ressources et vos applications.
Amazon CloudWatch Logs centralise les journaux de tous les systèmes, applications et services AWS que vous utilisez. Vous pouvez consulter et surveiller les journaux, y rechercher des codes ou modèles d'erreur spécifiques, les filtrer en fonction de champs spécifiques ou les archiver en toute sécurité pour une analyse future.
Grâce à AWS Config, vous bénéficiez d'un aperçu détaillé de la configuration des ressources de votre compte AWS.
Amazon Detective facilite l'analyse, l'investigation et l'identification rapide de la cause première des problèmes de sécurité ou des activités suspectes.
AWS Glue est un service d'extraction, de transformation et de chargement (ETL) entièrement géré qui permet de classer vos données de manière simple et rentable, de les nettoyer, de les enrichir et de les déplacer de manière fiable entre différents magasins de données et flux de données.
Amazon GuardDuty est un service de surveillance continue de la sécurité.
AWS IoT Core fournit une communication bidirectionnelle sécurisée pour les appareils connectés à Internet (tels que les capteurs, les actionneurs, les appareils intégrés, les appareils sans fil et les appareils intelligents) afin qu'ils se connectent au cloud AWS via MQTT, HTTPS et WAN. LoRa
AWS IoT Device Defender est un service de sécurité qui vous permet d'auditer la configuration de vos appareils, de surveiller les appareils connectés pour détecter les comportements anormaux et d'atténuer les risques de sécurité.
Amazon OpenSearch Service est un service géré qui facilite le déploiement, l'exploitation et le dimensionnement de OpenSearch clusters dans le cloud AWS.
AWS Organizations est un service de gestion de comptes qui vous permet de consolider plusieurs comptes AWS au sein d'une organisation que vous créez et gérez de manière centralisée.
AWS Security Hub vous fournit une vue complète de votre état de sécurité dans AWS et vous aide à vérifier que votre environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques.
Amazon Virtual Private Cloud (Amazon VPC) fournit une section logiquement isolée du cloud AWS dans laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d'AWS.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Validez les garde-fous de sécurité du compte IoT. | Vérifiez que les garde-fous pour CloudTrail AWS Config et Security Hub sont activés dans votre compte IoT. GuardDuty | Administrateur AWS |
Vérifiez que votre compte IoT est configuré en tant que compte membre de votre compte Security. | Vérifiez que votre compte IoT est configuré et associé en tant que compte membre GuardDuty et Security Hub dans votre compte Security. Pour plus d'informations à ce sujet, consultez Gestion GuardDuty des comptes avec AWS Organizations dans la GuardDuty documentation Amazon et Gestion des comptes administrateurs et membres dans la documentation AWS Security Hub. | Administrateur AWS |
Validez l'archivage des journaux. | Confirmez que CloudTrail les journaux AWS Config et VPC Flow sont stockés dans le compte Log Archive. | Administrateur AWS |
| Tâche | Description | Compétences requises |
|---|---|---|
Configurez la solution de journalisation centralisée dans votre compte Security. | Connectez-vous à la console de gestion AWS pour votre compte de sécurité et configurez la solution de journalisation centralisée Pour plus d'informations à ce sujet, consultez Collecter, analyser et afficher Amazon CloudWatch Logs dans un tableau de bord unique avec la solution de journalisation centralisée, disponible dans le guide de mise en œuvre de la journalisation centralisée de la bibliothèque de solutions AWS. | Administrateur AWS |
| Tâche | Description | Compétences requises |
|---|---|---|
Configurez la journalisation AWS IoT. | Connectez-vous à l'AWS Management Console pour votre compte IoT. Configurez et configurez AWS IoT Core pour envoyer des CloudWatch journaux à Logs. Pour plus d'informations à ce sujet, consultez Configurer la journalisation AWS IoT et Surveiller AWS IoT à l'aide CloudWatch des journaux dans la documentation AWS IoT Core. | Administrateur AWS |
Configurez AWS IoT Device Defender. | Configurez AWS IoT Device Defender pour auditer vos ressources IoT et détecter les anomalies. Pour plus d'informations à ce sujet, consultez Getting started with AWS IoT Device Defender dans la documentation AWS IoT Core. | Administrateur AWS |
Configurez CloudTrail. | Configuré CloudTrail pour envoyer des événements à CloudWatch Logs. Pour plus d'informations à ce sujet, consultez la section Envoi d'événements aux CloudWatch journaux dans la CloudTrail documentation AWS. | Administrateur AWS |
Configurez les règles AWS Config et AWS Config. | Configurez AWS Config et les règles AWS Config requises. Pour plus d'informations à ce sujet, consultez Configuration d'AWS Config avec la console et Configuration des règles AWS Config avec la console dans la documentation AWS Config. | Administrateur AWS |
Configurez GuardDuty. | Configurez et configurez GuardDuty pour envoyer les résultats à Amazon CloudWatch Events en ciblant les groupes de CloudWatch journaux dans Logs. Pour plus d'informations à ce sujet, consultez la section Création de réponses personnalisées aux GuardDuty résultats avec Amazon CloudWatch Events dans la GuardDuty documentation Amazon. | Administrateur AWS |
Configurez Security Hub. | Configurez Security Hub et activez les normes CIS AWS Foundations Benchmark et AWS Foundational Security Best Practices. Pour plus d'informations à ce sujet, consultez la section Réponse et correction automatisées dans la documentation d'AWS Security Hub. | Administrateur AWS |
Configurez Amazon Detective. | Configurez Detective pour faciliter l'analyse des résultats de sécurité Pour plus d'informations à ce sujet, consultez la section Configuration d'Amazon Detective dans la documentation Amazon Detective. | Administrateur AWS |
Configurez Amazon Athena et AWS Glue. | Configurez Athena et AWS Glue pour interroger les journaux des services AWS qui mènent des enquêtes sur les incidents de sécurité. Pour plus d'informations à ce sujet, consultez la section Interrogation des journaux de service AWS dans la documentation Amazon Athena. | Administrateur AWS |
Ressources connexes
