Identifique e alerte quando os recursos do Amazon Data Firehose não estiverem criptografados com uma chave AWS KMS - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasÉpicosRecursos relacionadosMais informaçõesAnexos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Identifique e alerte quando os recursos do Amazon Data Firehose não estiverem criptografados com uma chave AWS KMS

Criado por Ram Kandaswamy () AWS

Ambiente: produção

Tecnologias: gestão e governança; análise; big data CloudNative; infraestrutura; segurança, identidade e conformidade

AWSserviços: AWS CloudTrail; Amazon CloudWatch; AWS Identity and Access Management; Amazon Kinesis; LambdaAWS; Amazon SNS

Resumo

Para fins de conformidade, algumas organizações devem ter a criptografia ativada em recursos de entrega de dados, como o Amazon Data Firehose. Esse padrão mostra uma forma de monitorar, detectar e notificar quando os recursos estão fora de conformidade.

Para manter o requisito de criptografia, esse padrão pode ser usado no Amazon Web Services (AWS) para fornecer monitoramento e detecção automatizados de recursos de entrega do Firehose que não são criptografados com a AWS chave Key Management Service (AWSKMS). A solução envia notificações de alerta e pode ser estendida para realizar a correção automática. Essa solução pode ser aplicada a uma conta individual ou a um ambiente de várias contas, como um ambiente usando AWS Landing Zone ou Control TowerAWS.

Pré-requisitos e limitações

Pré-requisitos

  • Fluxo de entrega do Firehose

  • Permissões e familiaridade suficientes com AWS CloudFormation o que é usado nessa automação de infraestrutura

Limitações

A solução não é em tempo real porque usa AWS CloudTrail eventos para detecção e há um atraso entre o momento em que um recurso não criptografado é criado e a notificação é enviada.

Arquitetura

Pilha de tecnologias de destino

A solução usa tecnologia sem servidor e os seguintes serviços:

  • AWS CloudTrail

  • Amazon CloudWatch

  • AWSInterface de linha de comando (AWSCLI)

  • AWSIdentity and Access Management (IAM)

  • Amazon Data Firehose

  • AWSLambda

  • Serviço de notificação simples da Amazon (AmazonSNS)

Arquitetura de destino

Diagrama mostrando as cinco etapas do processo.

  1. Um usuário cria ou modifica o Firehose.

  2. Um CloudTrail evento é detectado e correspondido.

  3. Lambda é invocado.

  4. Recursos não compatíveis são identificados.

  5. Notificação por e-mail é enviada.

Automação e escala

Usando AWS CloudFormation StackSets, você pode aplicar essa solução a várias AWS regiões ou contas com um único comando.

Ferramentas

  • AWS CloudTrail— AWS CloudTrail é um AWS serviço que ajuda você a viabilizar a governança, a conformidade e a auditoria operacional e de risco de sua AWS conta. As ações realizadas por um usuário, função ou AWS serviço são registradas como eventos em CloudTrail. Os eventos incluem ações realizadas no console AWS de gerenciamento, na interface de linha de AWS comando AWS SDKs e API nas operações.

  • Amazon CloudWatch Events — O Amazon CloudWatch Events fornece um near-real-time fluxo de eventos do sistema que descrevem mudanças nos AWS recursos.

  • AWSCLI— AWS Command Line Interface (AWSCLI) é uma ferramenta de código aberto que permite interagir com AWS serviços usando comandos em seu shell de linha de comando. 

  • IAM— AWS Identity and Access Management (IAM) é um serviço web que ajuda você a controlar com segurança o acesso aos AWS recursos. Você usa IAM para controlar quem está autenticado (conectado) e autorizado (tem permissões) a usar os recursos. 

  • Amazon Data Firehose — O Amazon Data Firehose é um serviço totalmente gerenciado para entrega de dados de streaming em tempo real. Com o Firehose, você não precisa criar aplicativos nem gerenciar recursos. Você configura seus produtores de dados para enviar dados para o Firehose, e ele entrega automaticamente os dados para o destino que você especificou.

  • AWSLambda — O AWS Lambda é um serviço de computação que oferece suporte à execução de código sem provisionar ou gerenciar servidores. O Lambda executa o código somente quando necessário e dimensiona automaticamente, desde algumas solicitações por dia até milhares por segundo. Você paga apenas pelo tempo de computação consumido. Não haverá cobranças quando o código não estiver em execução. 

  • Amazon SNS — O Amazon Simple Notification Service (AmazonSNS) é um serviço gerenciado que fornece entrega de mensagens dos editores aos assinantes (também conhecidos como produtores e consumidores).

Épicos

TarefaDescriçãoHabilidades necessárias

Implantar AWS CloudFormation StackSets.

No AWSCLI, use o firehose-encryption-checker.yaml modelo (anexado) para criar o conjunto de pilhas executando o comando a seguir.  Forneça um SNS tópico válido da Amazon Amazon Resource Name (ARN) para o parâmetro. A implantação deve criar com sucesso regras de CloudWatch eventos, a função Lambda e uma IAM função com as permissões necessárias, conforme descrito no modelo.

aws cloudformation create-stack-set    --stack-set-name my-stack-set   --template-body file://firehose-encryption-checker.yaml 

Arquiteto de nuvem, administrador de sistemas

Crie instâncias da pilha.

As pilhas precisam ser criadas nas AWS regiões de sua escolha, bem como em uma ou mais contas.  Para criar instâncias da pilha, execute o seguinte comando, substituindo o nome da pilha, os números de conta e as regiões pelos seus.

aws cloudformation create-stack-instances     --stack-set-name my-stack-set    --accounts 123456789012 223456789012   --regions us-east-1 us-east-2 us-west-1 us-west-2     --operation-preferences FailureToleranceCount=1 

Arquiteto de nuvem, administrador de sistemas

Recursos relacionados

Mais informações

AWSO Config não é compatível com o tipo de recurso de fluxo de entrega Firehose, portanto, uma regra AWS Config não pode ser usada na solução.

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip