Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Automatizza le scansioni di sicurezza per i carichi di lavoro tra account utilizzando Amazon Inspector e Security Hub AWS
Creato da Ramya Pulipaka () e Mikesh Khanal () AWS AWS
Ambiente: produzione | Tecnologie: sicurezza, identità, conformità; gestione e governance | AWSservizi: Amazon Inspector; Amazon; SNS AWS Lambda; Security HubAWS; Amazon CloudWatch |
Riepilogo
Questo modello descrive come eseguire automaticamente la scansione delle vulnerabilità nei carichi di lavoro tra account su Amazon Web Services () AWS Cloud.
Il modello aiuta a creare una pianificazione per le scansioni basate su host delle istanze Amazon Elastic Compute Cloud (AmazonEC2) raggruppate per tag o per le scansioni Amazon Inspector basate sulla rete. Uno AWS CloudFormation stack distribuisce tutte le risorse e i servizi necessari ai tuoi account. AWS AWS
I risultati di Amazon Inspector vengono esportati in AWS Security Hub e forniscono informazioni sulle vulnerabilità di account, AWS regioni, cloud privati virtuali (VPCs) e istanze. EC2 Puoi ricevere questi risultati via e-mail oppure puoi creare un argomento Amazon Simple Notification Service (AmazonSNS) che utilizza un HTTP endpoint per inviare i risultati a strumenti di ticketing, software di gestione delle informazioni sulla sicurezza e degli eventi (SIEM) o altre soluzioni di sicurezza di terze parti.
Prerequisiti e limitazioni
Prerequisiti
Un indirizzo e-mail esistente per ricevere notifiche e-mail da AmazonSNS.
Un HTTP endpoint esistente utilizzato da strumenti di ticketing, SIEM software o altre soluzioni di sicurezza di terze parti.
AWSAccount attivi che ospitano carichi di lavoro su più account, incluso un account di controllo centrale.
Security Hub, abilitato e configurato. Puoi utilizzare questo pattern senza Security Hub, ma ti consigliamo di utilizzare Security Hub per le informazioni che genera. Per ulteriori informazioni, vedere Configurazione del Security Hub nella documentazione AWS di Security Hub.
È necessario installare un agente Amazon Inspector su ogni EC2 istanza da scansionare. Puoi installare l'agente Amazon Inspector su più EC2 istanze utilizzando AWSSystems Manager Run Command.
Competenze
Esperienza nell'uso
self-managed
eservice-managed
nelle autorizzazioni per i set di stack. AWS CloudFormation Se desideri utilizzareself-managed
le autorizzazioni per distribuire istanze stack su account specifici in regioni specifiche, devi creare i ruoli AWS Identity and Access Management () richiesti. IAM Se desideri utilizzareservice-managed
le autorizzazioni per distribuire istanze stack su account gestiti da AWS Organizations in regioni specifiche, non è necessario creare i ruoli richiesti. IAM Per ulteriori informazioni, consulta Creare un set di stack nella documentazione. AWS CloudFormation
Limitazioni
Se non viene applicato alcun tag alle EC2 istanze di un account, Amazon Inspector analizza tutte EC2 le istanze di quell'account.
I set di AWS CloudFormation stack e il onboard-audit-account file.yaml (allegato) devono essere distribuiti nella stessa regione.
Per impostazione predefinita, Amazon Inspector Classic non supporta i risultati aggregati. Security Hub è la soluzione consigliata per visualizzare le valutazioni per più account o AWS regioni.
L'approccio di questo modello può essere scalato al di sotto della quota di pubblicazione di 30.000 transazioni al secondo (TPS) per un SNS argomento nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1), sebbene i limiti varino da regione a regione. Per una scalabilità più efficace ed evitare la perdita di dati, consigliamo di utilizzare Amazon Simple Queue Service (AmazonSQS) prima dell'SNSargomento.
Architettura
Il diagramma seguente illustra il flusso di lavoro per la scansione automatica delle istanze. EC2
Il flusso di lavoro consiste nei seguenti passaggi:
1. Una EventBridge regola Amazon utilizza un'espressione cron per l'avvio automatico in base a una pianificazione specifica e avvia Amazon Inspector.
2. Amazon Inspector analizza le EC2 istanze contrassegnate nell'account.
3. Amazon Inspector invia i risultati a Security Hub, che genera informazioni sul flusso di lavoro, l'assegnazione delle priorità e la correzione.
4. Amazon Inspector invia inoltre lo stato della valutazione a un SNS argomento nell'account di audit. Una funzione AWS Lambda viene richiamata se un findings reported
evento viene pubblicato nell'argomento. SNS
5. La funzione Lambda recupera, formatta e invia i risultati a un altro SNS argomento nell'account di controllo.
6. I risultati vengono inviati agli indirizzi e-mail che hanno sottoscritto l'argomento. SNS I dettagli completi e i consigli vengono inviati in JSON formato all'endpoint sottoscrittoHTTP.
Stack tecnologico
AWS Control Tower
EventBridge
IAM
Amazon Inspector
Lambda
Security Hub
Amazon SNS
Strumenti
AWS CloudFormation— ti AWS CloudFormation aiuta a modellare e configurare AWS le tue risorse in modo da dedicare meno tempo alla gestione di tali risorse e più tempo a concentrarti sulle tue applicazioni.
AWS CloudFormation StackSets— AWS CloudFormation StackSets estende la funzionalità degli stack consentendoti di creare, aggiornare o eliminare gli stack su più account e regioni con un'unica operazione.
AWSControl Tower — AWS Control Tower crea un livello di astrazione o orchestrazione che combina e integra le funzionalità di diversi altri serviziAWS, tra cui Organizations. AWS
Amazon EventBridge: EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti.
AWSLambda: Lambda è un servizio di elaborazione che consente di eseguire codice senza effettuare il provisioning o la gestione di server.
AWSSecurity Hub: Security Hub ti offre una visione completa dello stato di sicurezza AWS e ti aiuta a controllare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) è un servizio gestito che fornisce il recapito dei messaggi dagli editori agli abbonati.
Epiche
Attività | Descrizione | Competenze richieste |
---|---|---|
Implementa il AWS CloudFormation modello nell'account di controllo. | Scarica e salva il Accedi alla console di AWS gestione per il tuo account di controllo, apri la AWS CloudFormation console e scegli Crea stack. Scegli Prepara modello nella sezione Prerequisiti, quindi scegli Il modello è pronto. Scegli l'origine del modello nella sezione Specificare il modello, quindi scegli Il modello è pronto. Carica il Importante: assicurati di configurare i seguenti parametri di input:
È inoltre possibile distribuire il AWS CloudFormation modello utilizzando AWS Command Line Interface (). AWS CLI Per ulteriori informazioni su questo argomento, consulta Creazione di uno stack nella AWS CloudFormation documentazione. | Sviluppatore, ingegnere della sicurezza |
Conferma l'SNSabbonamento Amazon. | Apri la tua casella di posta elettronica e scegli Conferma abbonamento nell'e-mail che ricevi da AmazonSNS. Si apre una finestra del browser Web e viene visualizzata la conferma dell'abbonamento. | Sviluppatore, ingegnere della sicurezza |
Attività | Descrizione | Competenze richieste |
---|---|---|
Crea set di stack nell'account di controllo. | Scarica il Sulla AWS CloudFormation console, scegli Visualizza stackset, quindi scegli Crea. StackSet Scegli Il modello è pronto, scegli Carica un file modello, quindi carica il Se desideri utilizzare Se desideri utilizzare Importante: assicuratevi che i seguenti parametri di input siano configurati per i set di stack:
Se si desidera eseguire la scansione EC2 delle istanze nell'account di controllo, è necessario eseguire il | Sviluppatore, ingegnere della sicurezza |
Convalida la soluzione. | Verifica di ricevere i risultati via e-mail o HTTP endpoint secondo la pianificazione specificata per Amazon Inspector. | Sviluppatore, ingegnere della sicurezza |