As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Security OU — Conta de ferramentas de segurança
Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa |
O diagrama a seguir ilustra os serviços AWS de segurança configurados na conta do Security Tooling.
![Serviços de segurança para a conta do Security Tooling](images/security-tooling-acct.png)
A conta do Security Tooling é dedicada a operar serviços de segurança, monitorar AWS contas e automatizar alertas e respostas de segurança. Os objetivos de segurança incluem o seguinte:
-
Forneça uma conta dedicada com acesso controlado para gerenciar o acesso às barreiras de segurança, monitoramento e resposta.
-
Mantenha a infraestrutura de segurança centralizada apropriada para monitorar os dados das operações de segurança e manter a rastreabilidade. Detecção, investigação e resposta são partes essenciais do ciclo de vida da segurança e podem ser usadas para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para esforços de identificação e resposta a ameaças.
-
Apoie ainda mais a estratégia defense-in-depth da organização mantendo outra camada de controle sobre a configuração e as operações de segurança apropriadas, como chaves de criptografia e configurações de grupos de segurança. Essa é uma conta na qual os operadores de segurança trabalham. As only/audit roles to view AWS organization-wide information are typical, whereas write/modify funções de leitura são limitadas em número, rigorosamente controladas, monitoradas e registradas.
Considerações sobre design
-
AWSPor padrão, a Control Tower nomeia a conta na OU de Segurança como Conta de Auditoria. Você pode renomear a conta durante a configuração da AWS Control Tower.
-
Talvez seja apropriado ter mais de uma conta do Security Tooling. Por exemplo, o monitoramento e a resposta a eventos de segurança geralmente são atribuídos a uma equipe dedicada. A segurança da rede pode garantir sua própria conta e funções em colaboração com a infraestrutura de nuvem ou a equipe de rede. Essas divisões mantêm o objetivo de separar os enclaves de segurança centralizados e enfatizam ainda mais a separação de tarefas, privilégios mínimos e a simplicidade potencial das atribuições da equipe. Se você estiver usando o AWS Control Tower, isso restringe a criação de AWS contas adicionais na OU de segurança.
Administrador delegado para serviços de segurança
A conta do Security Tooling serve como conta de administrador para serviços de segurança que são gerenciados em uma estrutura de administrador/membro em todas as contas. AWS Conforme mencionado anteriormente, isso é tratado por meio da funcionalidade de administrador delegado do AWS Organizations. Os serviços AWS SRA que atualmente oferecem suporte ao administrador delegado incluem AWS Config, Firewall AWS Manager, Amazon, Access Analyzer AWSIAM, GuardDuty Amazon Macie, Security AWS Hub, Amazon Detective, Audit AWS Manager, Amazon Inspector e Systems Manager. AWS CloudTrail AWS Sua equipe de segurança gerencia os recursos de segurança desses serviços e monitora quaisquer eventos ou descobertas específicos de segurança.
IAMO Identity Center oferece suporte à administração delegada a uma conta de membro. AWSSRAusa a conta do Shared Services como a conta de administrador delegado do IAM Identity Center, conforme explicado posteriormente na seção IAMIdentity Center da conta do Shared Services.
AWS CloudTrail
AWS CloudTrail
No AWSSRA, a conta do Security Tooling é a conta de administrador delegado para gerenciamento. CloudTrail O bucket do S3 correspondente para armazenar os registros de trilhas da organização é criado na conta do Log Archive. Isso serve para separar o gerenciamento e o uso dos privilégios de CloudTrail log. Para obter informações sobre como criar ou atualizar um bucket do S3 para armazenar arquivos de log para uma trilha organizacional, consulte a AWS CloudTrail documentação.
nota
Você pode criar e gerenciar trilhas organizacionais a partir das contas de gerenciamento e de administrador delegado. No entanto, como prática recomendada, você deve limitar o acesso à conta de gerenciamento e usar a funcionalidade de administrador delegado onde ela estiver disponível.
Considerações sobre design
-
Se uma conta membro exigir acesso aos arquivos de CloudTrail log de sua própria conta, você poderá compartilhar seletivamente os arquivos de CloudTrail log da organização a partir do bucket central do S3. No entanto, se as contas membros precisarem de grupos de CloudWatch registros locais para CloudTrail os registros de suas contas ou quiserem configurar o gerenciamento de registros e os eventos de dados (somente leitura, somente gravação, eventos de gerenciamento, eventos de dados) de forma diferente da trilha da organização, elas poderão criar uma trilha local com os controles apropriados. As trilhas específicas da conta local têm um custo adicional.
Security Hub da AWS
AWSO Security Hub
O Security Hub se integra ao AWS Organizations para simplificar o gerenciamento da postura de segurança em todas as suas contas existentes e futuras em sua AWS organização. Você pode usar o recurso de configuração central do Security Hub a partir da conta de administrador delegado (nesse caso, o Security Tooling) para especificar como o serviço, os padrões de segurança e os controles de segurança do Security Hub são configurados nas contas e unidades organizacionais (OUs) da sua organização em todas as regiões. Você pode definir essas configurações em algumas etapas a partir de uma região primária, chamada de região de origem. Se você não usa a configuração central, deve configurar o Security Hub separadamente em cada conta e região. O administrador delegado pode designar contas e OUs como autogerenciadas, onde o membro pode definir as configurações separadamente em cada região, ou como gerenciadas centralmente, onde o administrador delegado pode configurar a conta do membro ou a OU em todas as regiões. Você pode designar todas as contas OUs em sua organização como gerenciadas centralmente, todas autogerenciadas ou uma combinação de ambas. Isso simplifica a aplicação de uma configuração consistente e, ao mesmo tempo, fornece a flexibilidade de modificá-la para cada UO e conta.
A conta de administrador delegado do Security Hub também pode visualizar descobertas, ver insights e detalhes de controle de todas as contas dos membros. Além disso, você pode designar uma região de agregação na conta do administrador delegado para centralizar suas descobertas em suas contas e regiões vinculadas. Suas descobertas são sincronizadas de forma contínua e bidirecional entre a região agregadora e todas as outras regiões.
O Security Hub suporta integrações com vários AWS serviços. Amazon GuardDuty, AWS Config, Amazon Macie, Access Analyzer AWSIAM, AWS Firewall Manager, Amazon Inspector AWS e Systems Manager Patch Manager podem alimentar as descobertas no Security Hub. O Security Hub processa as descobertas usando um formato padrão chamado AWSSecurity Finding Format (ASFF). O Security Hub correlaciona as descobertas em produtos integrados para priorizar as mais importantes. Você pode enriquecer os metadados das descobertas do Security Hub para ajudar a contextualizar, priorizar e agir melhor com base nas descobertas de segurança. Esse enriquecimento adiciona tags de recursos, uma nova tag de AWS aplicativo e informações do nome da conta a cada descoberta que é ingerida no Security Hub. Isso ajuda você a ajustar as descobertas das regras de automação, pesquisar ou filtrar descobertas e insights e avaliar o status da postura de segurança por aplicativo. Além disso, você pode usar regras de automação para atualizar automaticamente as descobertas. Conforme o Security Hub ingere as descobertas, ele pode aplicar uma variedade de ações de regras, como suprimir descobertas, alterar sua gravidade e adicionar notas às descobertas. Essas ações de regra entram em vigor quando as descobertas correspondem aos critérios especificados, como o recurso ou IDs a conta à qual a descoberta está associada ou seu título. Você pode usar as regras de automação para atualizar os campos de busca selecionados noASFF. As regras se aplicam tanto às descobertas novas quanto às atualizadas.
Durante a investigação de um evento de segurança, você pode navegar do Security Hub até o Amazon Detective para investigar uma descoberta da Amazon GuardDuty . O Security Hub recomenda alinhar as contas de administrador delegado para serviços como Detective (onde elas existam) para uma integração mais suave. Por exemplo, se você não alinhar as contas de administrador entre o Detective e o Security Hub, a navegação das descobertas para o Detective não funcionará. Para obter uma lista abrangente, consulte Visão geral das integrações de AWS serviços com o Security Hub na documentação do Security Hub.
Você pode usar o Security Hub com o recurso Network Access Analyzer
Além de seus recursos de monitoramento, o Security Hub oferece suporte à integração com EventBridge a Amazon para automatizar a correção de descobertas específicas. Você pode definir ações personalizadas a serem tomadas quando uma descoberta for recebida. Por exemplo, é possível configurar ações personalizadas para enviar as descobertas a um sistema de criação de tíquetes ou a um sistema automatizado de correção. Para discussões e exemplos adicionais, consulte as postagens do AWS blog Resposta e remediação automatizadas com o AWS Security Hub
O Security Hub usa regras de AWS Config vinculadas ao serviço para realizar a maioria das verificações de segurança dos controles. Para oferecer suporte a esses controles, o AWSConfig deve estar habilitado em todas as contas, incluindo a conta do administrador (ou administrador delegado) e as contas dos membros, em cada região em que o Security Hub AWS está ativado.
Considerações sobre design
-
Se um padrão de conformidade, como PCI -DSS, já estiver presente no Security Hub, o serviço totalmente gerenciado do Security Hub é a maneira mais fácil de operacionalizá-lo. No entanto, se você quiser montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacionais ou de otimização de custos, os pacotes de conformidade AWS Config oferecem um processo de personalização simplificado. (Para obter mais informações sobre AWS Config e pacotes de conformidade, consulte a seção Config.) AWS
-
Os casos de uso comuns do Security Hub incluem o seguinte:
-
Como um painel que fornece visibilidade aos proprietários de aplicativos sobre a postura de segurança e conformidade de seus recursos AWS
-
Como uma visão central das descobertas de segurança usadas por operações de segurança, agentes de resposta a incidentes e caçadores de ameaças para fazer a triagem e tomar medidas sobre as descobertas de AWS segurança e conformidade em todas as contas e regiões AWS
-
Para agregar e encaminhar as descobertas de segurança e conformidade de todas as AWS contas e regiões para um gerenciamento centralizado de informações e eventos de segurança (SIEM) ou outro sistema de orquestração de segurança
Para obter orientações adicionais sobre esses casos de uso, incluindo como configurá-los, consulte a postagem do blog Três padrões de uso recorrentes do Security Hub e como implantá-los.
-
Exemplo de implementação
A biblioteca AWS SRA de códigos
Amazon GuardDuty
GuardDutyA Amazon
Além de fornecer fontes de dados fundamentais, GuardDuty fornece recursos opcionais para identificar descobertas de segurança. Isso inclui EKS Proteção, Proteção, RDS Proteção S3, Proteção contra Malware e Proteção Lambda. Para novos detectores, esses recursos opcionais são ativados por padrão, exceto a EKS Proteção, que deve ser ativada manualmente.
-
Com o GuardDuty S3 Protection, GuardDuty monitora os eventos de dados do Amazon S3, CloudTrail além dos eventos de gerenciamento CloudTrail padrão. O monitoramento de eventos de dados permite GuardDuty monitorar API as operações em nível de objeto quanto a possíveis riscos de segurança dos dados em seus buckets do S3.
-
GuardDuty A Proteção contra Malware detecta a presença de malware em EC2 instâncias da Amazon ou cargas de trabalho de contêineres iniciando escaneamentos sem agente em volumes anexados do Amazon Elastic Block Store (Amazon). EBS
-
GuardDuty RDSA proteção foi projetada para traçar o perfil e monitorar a atividade de acesso aos bancos de dados Amazon Aurora sem afetar o desempenho do banco de dados.
-
GuardDuty EKSA proteção inclui monitoramento EKS de registros de auditoria e monitoramento EKS de tempo de execução. Com o EKS Audit Log Monitoring, GuardDuty monitora os registros de auditoria do Kubernetes dos EKS clusters da Amazon e os analisa em busca de atividades potencialmente maliciosas e suspeitas. EKSO Runtime Monitoring usa o agente de GuardDuty segurança (que é um EKS complemento da Amazon) para fornecer visibilidade em tempo de execução de cargas de EKS trabalho individuais da Amazon. O agente GuardDuty de segurança ajuda a identificar contêineres específicos em seus EKS clusters da Amazon que estão potencialmente comprometidos. Ele também pode detectar tentativas de escalar privilégios de um contêiner individual para o EC2 host subjacente da Amazon ou para o ambiente mais amploAWS.
GuardDuty está habilitado em todas as contas por meio do AWS Organizations, e todas as descobertas podem ser visualizadas e acionadas pelas equipes de segurança apropriadas na conta do administrador GuardDuty delegado (nesse caso, a conta do Security Tooling).
Quando o AWS Security Hub está ativado, GuardDuty as descobertas fluem automaticamente para o Security Hub. Quando o Amazon Detective está ativado, GuardDuty as descobertas são incluídas no processo de ingestão de registros do Detective. GuardDuty e Detective oferecem suporte a fluxos de trabalho de usuários de vários serviços, onde GuardDuty fornece links do console que redirecionam você de uma descoberta selecionada para uma página de Detetive que contém um conjunto selecionado de visualizações para investigar essa descoberta. Por exemplo, você também pode se integrar GuardDuty à Amazon EventBridge para automatizar as melhores práticas GuardDuty, como automatizar respostas a novas descobertas. GuardDuty
Exemplo de implementação
A biblioteca AWS SRA de códigos
AWSConfig
AWSO Config
Você pode avaliar as configurações dos seus AWS recursos usando as regras de AWSConfig. AWSO Config fornece uma biblioteca de regras personalizáveis e predefinidas chamadas regras gerenciadas, ou você pode escrever suas próprias regras personalizadas. Você pode executar as regras AWS do Config no modo proativo (antes da implantação dos recursos) ou no modo detetive (após a implantação dos recursos). Os recursos podem ser avaliados quando há alterações na configuração, em um cronograma periódico ou em ambos.
Um pacote de conformidade é uma coleção de regras do AWS Config e ações de correção que podem ser implantadas como uma única entidade em uma conta e região, ou em uma organização em Organizations. AWS Os pacotes de conformidade são criados por meio da criação de um YAML modelo que contém a lista de regras e ações de remediação gerenciadas ou personalizadas do AWS Config. Para começar a avaliar seu AWS ambiente, use um dos exemplos de modelos de pacote de conformidade.
AWSO Config se integra ao AWS Security Hub para enviar os resultados das avaliações de regras personalizadas e gerenciadas pelo AWS Config como descobertas para o Security Hub.
AWSAs regras de configuração podem ser usadas em conjunto com o AWS Systems Manager para remediar com eficácia os recursos não compatíveis. Você usa o AWS Systems Manager Explorer para coletar o status de conformidade das regras do AWS Config em suas AWS contas em todas as AWS regiões e, em seguida, usa os documentos (runbooks) do Systems Manager Automation para resolver suas regras de configuração não compatíveis. AWS Para obter detalhes sobre a implementação, consulte a postagem do blog Corrija regras de AWS configuração não compatíveis com runbooks do Systems AWS Manager Automation
O agregador AWS Config coleta dados de configuração e conformidade em várias contas, regiões e organizações em Organizations. AWS O painel do agregador exibe os dados de configuração dos recursos agregados. Os painéis de inventário e conformidade oferecem informações essenciais e atuais sobre suas configurações de AWS recursos e status de conformidade em todas AWS as contas, AWS regiões ou dentro de uma AWS organização. Eles permitem que você visualize e avalie seu inventário AWS de recursos sem precisar escrever consultas avançadas do AWS Config. Você pode obter informações essenciais, como um resumo da conformidade por recursos, as 10 principais contas que têm recursos não compatíveis, uma comparação de EC2 instâncias em execução e interrompidas por tipo e EBS volumes por tipo e tamanho de volume.
Se você usar o AWS Control Tower para gerenciar sua AWS organização, ele implantará um conjunto de regras de AWS Config como proteções de detetive (categorizadas como obrigatórias, altamente recomendadas ou eletivas). Essas grades de proteção ajudam você a governar seus recursos e monitorar a conformidade em todas as contas da sua organização. AWS Essas regras de AWS Config usarão automaticamente uma aws-control-tower
tag com um valor de. managed-by-control-tower
AWSConfig deve estar habilitado para cada conta membro na AWS organização e AWS região que contém os recursos que você deseja proteger. Você pode gerenciar centralmente (por exemplo, criar, atualizar e excluir) as regras do AWS Config em todas as contas da AWS sua organização. Na conta de administrador delegado do AWS Config, você pode implantar um conjunto comum de regras do AWS Config em todas as contas e especificar contas nas quais as regras do AWS Config não devem ser criadas. A conta de administrador delegado do AWS Config também pode agregar dados de configuração e conformidade de recursos de todas as contas dos membros para fornecer uma visão única. Use o APIs da conta de administrador delegado para impor a governança, garantindo que as regras subjacentes do AWS Config não possam ser modificadas pelas contas membros em sua organização. AWS
Considerações sobre design
-
AWSO Config transmite notificações de alteração de configuração e conformidade para a Amazon. EventBridge Isso significa que você pode usar os recursos de filtragem nativos EventBridge para filtrar eventos do AWS Config para poder rotear tipos específicos de notificações para destinos específicos. Por exemplo, você pode enviar notificações de conformidade para regras específicas ou tipos de recursos para endereços de e-mail específicos ou rotear notificações de alteração de configuração para uma ferramenta externa de gerenciamento de serviços de TI (ITSM) ou banco de dados de gerenciamento de configuração (CMDB). Para obter mais informações, consulte a postagem do blog AWSConfig best practices
. -
Além de usar a avaliação proativa de regras do AWS Config, você pode usar o AWS CloudFormation Guard, que é uma ferramenta de policy-as-code avaliação que verifica proativamente a conformidade da configuração de recursos. A interface de linha de comando do AWS CloudFormation Guard (CLI) fornece uma linguagem declarativa específica do domínio (DSL) que você pode usar para expressar políticas como código. Além disso, você pode usar AWS CLI comandos para validar dados JSON estruturados formatados ou formatados, como conjuntos YAML de CloudFormation alterações, arquivos de configuração JSON baseados no Terraform ou configurações do Kubernetes. Você pode executar as avaliações localmente usando o AWS CloudFormation Guard CLI
como parte do seu processo de criação ou executá-lo em seu pipeline de implantação . Se você tiver aplicativos AWSCloud Development Kit (AWSCDK) , poderá usar o cdk-nag para verificar proativamente as melhores práticas.
Exemplo de implementação
A biblioteca de AWS SRA códigos
Amazon Security Lake
O Amazon Security Lake
AWSSRArecomenda que você use a conta do Log Archive como a conta de administrador delegado do Security Lake. Para obter mais informações sobre como configurar a conta de administrador delegado, consulte Amazon Security Lake na seção Security OU — Log Archive account. As equipes de segurança que desejam acessar os dados do Security Lake ou precisam gravar registros não nativos nos buckets do Security Lake usando as funções personalizadas de extração, transformação e carregamento (ETL) devem operar na conta do Security Tooling.
O Security Lake pode coletar registros de diferentes provedores de nuvem, registros de soluções de terceiros ou outros registros personalizados. Recomendamos que você use a conta do Security Tooling para executar as ETL funções de converter os registros para o formato Open Cybersecurity Schema Framework (OCSF) e gerar um arquivo no formato Apache Parquet. O Security Lake cria a função entre contas com as permissões adequadas para a conta do Security Tooling e a fonte personalizada apoiada por AWS funções Lambda ou rastreadores AWS Glue, para gravar dados nos buckets S3 do Security Lake.
O administrador do Security Lake deve configurar as equipes de segurança que usam a conta do Security Tooling e exigir acesso aos registros que o Security Lake coleta como assinantes. O Security Lake oferece suporte a dois tipos de acesso de assinantes:
-
Acesso aos dados — Os assinantes podem acessar diretamente os objetos do Amazon S3 para o Security Lake. O Security Lake gerencia a infraestrutura e as permissões. Quando você configura a conta do Security Tooling como assinante de acesso a dados do Security Lake, a conta é notificada sobre novos objetos nos buckets do Security Lake por meio do Amazon Simple Queue Service (AmazonSQS), e o Security Lake cria as permissões para acessar esses novos objetos.
-
Acesso à consulta — Os assinantes podem consultar dados de origem das tabelas do AWS Lake Formation em seu bucket do S3 usando serviços como o Amazon Athena. O acesso entre contas é configurado automaticamente para acesso a consultas usando o AWS Lake Formation. Quando você configura a conta do Security Tooling como assinante de acesso a consultas do Security Lake, a conta recebe acesso somente de leitura aos registros na conta do Security Lake. Quando você usa esse tipo de assinante, as tabelas Athena e AWS Glue são compartilhadas da conta do Security Lake Log Archive com a conta do Security Tooling por meio do Resource Access AWS Manager (). AWS RAM Para habilitar esse recurso, você precisa atualizar as configurações de compartilhamento de dados entre contas para a versão 3.
Para obter mais informações sobre a criação de assinantes, consulte Gerenciamento de assinantes na documentação do Security Lake.
Para obter as melhores práticas para ingerir fontes personalizadas, consulte Coleta de dados de fontes personalizadas na documentação do Security Lake.
Você pode usar a Amazon QuickSight
Considerações sobre design
Se uma equipe de aplicativos precisar consultar os dados do Security Lake para atender a um requisito comercial, o administrador do Security Lake deverá configurar essa conta do aplicativo como assinante.
Amazon Macie
O Amazon Macie
O Macie está habilitado em todas as contas por meio de AWS Organizations. Os diretores que têm as permissões apropriadas na conta do administrador delegado (nesse caso, a conta do Security Tooling) podem ativar ou suspender o Macie em qualquer conta, criar trabalhos confidenciais de descoberta de dados para buckets pertencentes às contas dos membros e visualizar todas as descobertas de políticas de todas as contas dos membros. As descobertas de dados confidenciais só podem ser visualizadas pela conta que criou o trabalho de descobertas confidenciais. Para obter mais informações, consulte Gerenciamento de várias contas no Amazon Macie na documentação do Macie.
As descobertas do Macie fluem para o AWS Security Hub para análise e análise. O Macie também se integra EventBridge à Amazon para facilitar respostas automatizadas a descobertas, como alertas, feeds para informações de segurança e sistemas de gerenciamento de eventos (SIEM) e remediação automática.
Considerações sobre design
-
Se os objetos do S3 forem criptografados com uma AWS chave Key Management Service (AWSKMS) gerenciada por você, você poderá adicionar a função vinculada ao serviço Macie como usuário-chave dessa KMS chave para permitir que o Macie escaneie os dados.
-
O Macie é otimizado para escanear objetos no Amazon S3. Como resultado, qualquer tipo de objeto compatível com Macie que possa ser colocado no Amazon S3 (permanente ou temporariamente) pode ser escaneado em busca de dados confidenciais. Isso significa que dados de outras fontes — por exemplo, exportações periódicas de snapshots dos bancos de dados Amazon Relational Database Service (Amazon) RDS ou Amazon Aurora, tabelas exportadas do Amazon DynamoDB ou
arquivos de texto extraídos de aplicativos nativos ou de terceiros — podem ser movidos para o Amazon S3 e avaliados pelo Macie.
Exemplo de implementação
A biblioteca AWS SRA de códigos
AWSIAMAnalisador de acesso
À medida que você acelera sua jornada de adoção da AWS nuvem e continua inovando, é fundamental manter um controle rígido sobre o acesso refinado (permissões), conter a proliferação de acesso e garantir que as permissões sejam usadas de forma eficaz. O acesso excessivo e não utilizado apresenta desafios de segurança e torna mais difícil para as empresas aplicarem o princípio do menor privilégio. Esse princípio é um importante pilar da arquitetura de segurança que envolve o dimensionamento contínuo das IAM permissões para equilibrar os requisitos de segurança com os requisitos operacionais e de desenvolvimento de aplicativos. Esse esforço envolve várias partes interessadas, incluindo equipes centrais de segurança e Cloud Center of Excellence (CCoE), bem como equipes de desenvolvimento descentralizadas.
AWSIAMO Access Analyzer fornece ferramentas para definir com eficiência permissões refinadas, verificar as permissões pretendidas e refinar as permissões removendo o acesso não utilizado para ajudá-lo a atender aos padrões de segurança da sua empresa. Ele oferece visibilidade das descobertas de acesso externo e não utilizado por meio de painéis e do AWSSecurity Hub. Além disso, ele oferece suporte à Amazon EventBridge para fluxos de trabalho personalizados de notificação e remediação baseados em eventos.
O recurso de descobertas externas do IAM Access Analyzer ajuda você a identificar os recursos em sua AWS organização e contas, como buckets IAM ou funções do Amazon S3, que são compartilhados com uma entidade externa. A AWS organização ou conta que você escolher é conhecida como zona de confiança. O analisador usa raciocínio automatizado
IAMAs descobertas do Access Analyzer também ajudam a identificar o acesso não utilizado concedido em suas AWS organizações e contas, incluindo:
-
Funções não usadas — IAM Funções que não têm atividade de acesso dentro da janela de uso especificada.
-
IAMUsuários, credenciais e chaves de acesso não utilizados — Credenciais que pertencem aos IAM usuários e são usadas para acessar AWS serviços e recursos.
-
IAMPolíticas e permissões não utilizadas — permissões em nível de serviço e de ação que não foram usadas por uma função em uma janela de uso especificada. IAMO Access Analyzer usa políticas baseadas em identidade que são anexadas às funções para determinar os serviços e ações que essas funções podem acessar. O analisador fornece uma análise das permissões não utilizadas para todas as permissões de nível de serviço.
Você pode usar as descobertas geradas pelo IAM Access Analyzer para obter visibilidade e corrigir qualquer acesso não intencional ou não utilizado com base nas políticas e padrões de segurança da sua organização. Após a correção, essas descobertas são marcadas como resolvidas na próxima vez em que o analisador for executado. Se a descoberta for intencional, você poderá marcá-la como arquivada no IAM Access Analyzer e priorizar outras descobertas que apresentem um maior risco de segurança. Além disso, você pode configurar regras de arquivamento para arquivar automaticamente descobertas específicas. Por exemplo, é possível criar uma regra de arquivamento para arquivar automaticamente qualquer descoberta de um bucket do Amazon S3 específico ao qual você concede acesso regularmente.
Como construtor, você pode usar o IAM Access Analyzer para realizar verificações automatizadas IAM de políticas no início de seu desenvolvimento e implantação (CI/CD) process to adhere to your corporate security standards. You can integrate IAM Access Analyzer custom policy checks and policy reviews with AWS CloudFormation to automate policy reviews as a part of your development team’s CI/CDpipelines). Isso inclui:
-
IAMvalidação de políticas — O IAM Access Analyzer valida suas políticas em relação à gramática IAM política e AWS às melhores práticas. Você pode ver as descobertas das verificações de validação de políticas, incluindo avisos de segurança, erros, avisos gerais e sugestões para sua política. Mais de 100 verificações de validação de políticas estão atualmente disponíveis e podem ser automatizadas usando a interface de linha de AWS comando (AWSCLI) APIs e.
-
IAMverificações de políticas personalizadas — As verificações de políticas personalizadas do IAM Access Analyzer validam suas políticas em relação aos padrões de segurança especificados. As verificações de políticas personalizadas usam raciocínio automatizado para fornecer um nível mais alto de garantia sobre o cumprimento dos padrões de segurança corporativos. Os tipos de verificações de políticas personalizadas incluem:
-
Compare com uma política de referência: ao editar uma política, você pode compará-la com uma política de referência, como uma versão existente da política, para verificar se a atualização concede novo acesso. Ele CheckNoNewAccessAPIcompara duas políticas (uma política atualizada e uma política de referência) para determinar se a política atualizada introduz um novo acesso à política de referência e retorna uma resposta positiva ou negativa.
-
Compare uma lista de IAM ações: você pode usar o CheckAccessNotGrantedAPIpara garantir que uma política não conceda acesso a uma lista de ações críticas definidas em seu padrão de segurança. Isso API usa uma política e uma lista de até 100 IAM ações para verificar se a política permite pelo menos uma das ações e retorna uma resposta positiva ou reprovada.
-
As equipes de segurança e outros autores IAM de políticas podem usar o IAM Access Analyzer para criar políticas que estejam em conformidade com a gramática e os padrões de segurança das IAM políticas. A criação manual de políticas do tamanho certo pode ser propensa a erros e demorada. O recurso de geração de políticas do IAM Access Analyzer auxilia na criação de IAM políticas baseadas na atividade de acesso do diretor. IAMO Access Analyzer analisa AWS CloudTrail os registros dos serviços suportados e gera um modelo de política que contém as permissões que foram usadas pelo diretor no intervalo de datas especificado. Em seguida, você pode usar esse modelo para criar uma política com permissões refinadas que conceda somente as permissões necessárias.
-
Você deve ter uma CloudTrail trilha ativada para que sua conta gere uma política com base na atividade de acesso.
-
IAMO Access Analyzer não identifica atividades em nível de ação para eventos de dados, como eventos de dados do Amazon S3, nas políticas geradas.
-
A
iam:PassRole
ação não é monitorada CloudTrail e não está incluída nas políticas geradas.
O Access Analyzer é implantado na conta do Security Tooling por meio da funcionalidade de administrador delegado no Organizations. AWS O administrador delegado tem permissões para criar e gerenciar analisadores com a AWS organização como zona de confiança.
Considerações sobre design
-
Para obter descobertas do escopo da conta (onde a conta serve como limite confiável), você cria um analisador do escopo da conta em cada conta membro. Isso pode ser feito como parte do pipeline da conta. As descobertas do escopo da conta fluem para o Security Hub no nível da conta do membro. De lá, eles fluem para a conta de administrador delegado do Security Hub (Security Tooling).
Exemplos de implementação
-
A biblioteca AWS SRA de códigos
fornece um exemplo de implementação do IAMAccess Analyzer . Ele demonstra como configurar um analisador em nível de organização em uma conta de administrador delegado e um analisador em nível de conta em cada conta. -
Para obter informações sobre como você pode integrar verificações de políticas personalizadas aos fluxos de trabalho do construtor, consulte a postagem do AWS blog Apresentando as verificações de políticas personalizadas do IAM Access Analyzer
.
AWS Firewall Manager
AWSO Firewall Manager
O Firewall Manager é particularmente útil quando você deseja proteger toda a AWS organização em vez de um pequeno número de contas e recursos específicos, ou se você adiciona frequentemente novos recursos que deseja proteger. O Firewall Manager usa políticas de segurança para permitir que você defina um conjunto de configurações, incluindo regras, proteções e ações relevantes que devem ser implantadas e as contas e os recursos (indicados por tags) a serem incluídos ou excluídos. Você pode criar configurações granulares e flexíveis e, ao mesmo tempo, escalar o controle para um grande número de contas e. VPCs Essas políticas aplicam de forma automática e consistente as regras que você configura, mesmo quando novas contas e recursos são criados. O Firewall Manager é ativado em todas as contas por meio do AWS Organizations, e a configuração e o gerenciamento são realizados pelas equipes de segurança apropriadas na conta de administrador delegado do Firewall Manager (nesse caso, a conta do Security Tooling).
Você deve habilitar o AWS Config para cada AWS região que contém os recursos que você deseja proteger. Se você não quiser habilitar o AWS Config para todos os recursos, deverá habilitá-lo para recursos associados ao tipo de política do Firewall Manager que você usa. Quando você usa o AWS Security Hub e o Firewall Manager, o Firewall Manager envia automaticamente suas descobertas para o Security Hub. O Firewall Manager cria descobertas para recursos que estão fora de conformidade e para ataques que ele detecta, e envia as descobertas para o Security Hub. Ao configurar uma política do Firewall Manager para AWSWAF, você pode ativar centralmente o registro em listas de controle de acesso à web (webACLs) para todas as contas dentro do escopo e centralizar os registros em uma única conta.
Considerações sobre design
-
Os gerentes de contas de membros individuais na AWS organização podem configurar controles adicionais (como AWS WAF regras e grupos de VPC segurança da Amazon) nos serviços gerenciados do Firewall Manager de acordo com suas necessidades específicas.
Exemplo de implementação
A biblioteca AWS SRA de códigos
Amazon EventBridge
EventBridgeA Amazon
Considerações sobre design
-
EventBridge é capaz de rotear eventos para vários alvos diferentes. Um padrão valioso para automatizar ações de segurança é conectar eventos específicos a respondedores individuais do AWS Lambda, que tomam as medidas apropriadas. Por exemplo, em determinadas circunstâncias, talvez você queira usar para EventBridge rotear uma descoberta pública de bucket do S3 para um respondente Lambda que corrige a política do bucket e remove as permissões públicas. Esses respondentes podem ser integrados aos seus manuais e manuais investigativos para coordenar as atividades de resposta.
-
Uma prática recomendada para uma equipe de operações de segurança bem-sucedida é integrar o fluxo de eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de tíquetes, um sistema de bug/problema ou outro sistema de gerenciamento de informações e eventos de segurança ()SIEM. Isso elimina o fluxo de trabalho de e-mails e relatórios estáticos e ajuda você a rotear, escalar e gerenciar eventos ou descobertas. As habilidades de roteamento flexível do EventBridge são um poderoso facilitador dessa integração.
Amazon Detective
O Amazon Detective
O Detective se integra ao Amazon Security Lake para permitir que analistas de segurança consultem e recuperem registros armazenados no Security Lake. Você pode usar essa integração para obter informações adicionais dos AWS CloudTrail registros e dos registros de VPC fluxo da Amazon que são armazenados no Security Lake enquanto conduz investigações de segurança no Detective.
Detective também ingere descobertas detectadas pela Amazon GuardDuty, incluindo ameaças detectadas pelo GuardDuty Runtime Monitoring. Quando uma conta ativa o Detective, ela se torna a conta de administrador do gráfico de comportamento. Antes de tentar ativar o Detective, certifique-se de que sua conta esteja cadastrada há GuardDuty pelo menos 48 horas. Se você não atender a esse requisito, não poderá habilitar o Detective.
Detective agrupa automaticamente várias descobertas relacionadas a um único evento de comprometimento de segurança em grupos de busca. Os agentes de ameaças geralmente realizam uma sequência de ações que levam a várias descobertas de segurança distribuídas ao longo do tempo e dos recursos. Portanto, encontrar grupos deve ser o ponto de partida para investigações que envolvam várias entidades e descobertas. Detective também fornece resumos de busca de grupos usando IA generativa que analisa automaticamente a localização de grupos e fornece informações em linguagem natural para ajudá-lo a acelerar as investigações de segurança.
Detective se integra com Organizations. AWS A conta de Gerenciamento da Organização delega uma conta de membro como a conta de administrador do Detective. No AWSSRA, essa é a conta do Security Tooling. A conta de administrador de Detective tem a capacidade de habilitar automaticamente todas as contas de membros atuais da organização como contas de membros de detetive e também adicionar novas contas de membros à medida que elas são adicionadas à organização. AWS As contas de administrador Detective também podem convidar contas de membros que atualmente não residem na AWS organização, mas estão na mesma região, a contribuir com seus dados para o gráfico de comportamento da conta principal. Quando uma conta de membro aceita o convite e é ativada, o Detective começa a ingerir e extrair os dados da conta do membro nesse gráfico de comportamento.
Considerações sobre design
-
Você pode navegar até Detective encontrando perfis nos consoles GuardDuty e AWS Security Hub. Esses links podem ajudar a agilizar o processo de investigação. Sua conta deve ser a conta administrativa do Detective e do serviço do qual você está migrando (ou do Security GuardDuty Hub). Se as contas principais forem as mesmas para os serviços, os links de integração funcionarão perfeitamente.
AWS Audit Manager
AWSO Audit Manager
Com o Audit Manager, você pode auditar com base em estruturas pré-criadas, como o benchmark Center for Internet Security (CIS), o CIS AWS Foundations Benchmark, System and Organization Controls SOC 2 (2) e o Payment Card Industry Data Security Standard (PCIDSS). Ele também permite criar suas próprias estruturas com controles padrão ou personalizados com base em seus requisitos específicos para auditorias internas.
O Audit Manager coleta quatro tipos de evidências. Três tipos de evidência são automatizados: evidência de verificação de conformidade do AWS Config and AWS Security Hub, evidência de eventos de gerenciamento e evidência de AWS CloudTrail configuração de AWS service-to-service API chamadas. Para evidências que não podem ser automatizadas, o Audit Manager permite que você faça upload de evidências manuais.
nota
O Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com padrões e regulamentos de conformidade específicos. No entanto, ele não avalia sua conformidade. Portanto, as evidências coletadas por meio do Audit Manager podem não incluir detalhes de seus processos operacionais que são necessários para auditorias. O Audit Manager não substitui o advogado ou os especialistas em conformidade. Recomendamos que você contrate os serviços de um avaliador terceirizado certificado pelas estruturas de conformidade com as quais você é avaliado.
As avaliações do Audit Manager podem ser executadas em várias contas em suas AWS organizações. O Audit Manager coleta e consolida evidências em uma conta de administrador delegado no Organizations. AWS Essa funcionalidade de auditoria é usada principalmente pelas equipes de conformidade e auditoria interna e requer apenas acesso de leitura às suas AWS contas.
Considerações sobre design
-
O Audit Manager complementa outros serviços AWS de segurança, como o Security Hub e o AWS Config, para ajudar a implementar uma estrutura de gerenciamento de riscos. O Audit Manager fornece funcionalidade independente de garantia de risco, enquanto o Security Hub ajuda você a supervisionar seus riscos e os pacotes de conformidade do AWS Config auxiliam no gerenciamento de seus riscos. Profissionais de auditoria que estão familiarizados com o Modelo de Três Linhas
desenvolvido pelo Institute of Internal Auditors (IIA) devem observar que essa combinação de AWS serviços ajuda você a cobrir as três linhas de defesa. Para obter mais informações, consulte a série de blogs em duas partes no blog AWS Cloud Operations & Migrations. -
Para que o Audit Manager colete evidências do Security Hub, a conta de administrador delegado para ambos os serviços precisa ser a mesma AWS conta. Por esse motivo, no AWSSRA, a conta do Security Tooling é o administrador delegado do Audit Manager.
AWSArtifato
AWSO artefato
AWSO Artifact não é compatível com o recurso de administração delegada. Em vez disso, você pode restringir esse recurso apenas às IAM funções na conta do Security Tooling que pertençam às suas equipes de auditoria e conformidade, para que elas possam baixar, revisar e fornecer esses relatórios aos auditores externos conforme necessário. Além disso, você pode restringir IAM funções específicas para ter acesso somente a relatórios específicos do AWS Artifact por meio IAM de políticas. Para exemplos de IAM políticas, consulte a documentação do AWSArtifact.
Considerações sobre design
-
Se você optar por ter uma AWS conta dedicada para as equipes de auditoria e conformidade, poderá hospedar o AWS Artifact em uma conta de auditoria de segurança, que é separada da conta do Security Tooling. AWSOs relatórios de artefatos fornecem evidências que demonstram que uma organização está seguindo um processo documentado ou atendendo a um requisito específico. Os artefatos de auditoria são coletados e arquivados em todo o ciclo de vida do desenvolvimento do sistema e podem ser usados como evidência em auditorias e avaliações internas ou externas.
AWS KMS
AWSO Key Management Service
O AWS SRA recomenda um modelo de gerenciamento de chaves distribuído no qual as KMS chaves residam localmente na conta em que são usadas, e você permite que os responsáveis pela infraestrutura e pelas cargas de trabalho em uma conta específica gerenciem suas próprias chaves. Recomendamos que você evite usar uma única chave em uma conta para todas as funções criptográficas. As chaves podem ser criadas com base nos requisitos de função e proteção de dados e para aplicar o princípio do menor privilégio. Esse modelo oferece às suas equipes de carga de trabalho mais controle, flexibilidade e agilidade sobre o uso de chaves de criptografia. Também ajuda a evitar API limites, limita o escopo do impacto a uma única AWS conta e simplifica relatórios, auditorias e outras tarefas relacionadas à conformidade. Em alguns casos, as permissões de criptografia seriam mantidas separadas das permissões de descriptografia, e os administradores gerenciariam as funções do ciclo de vida, mas não conseguiriam criptografar ou descriptografar dados com as chaves que gerenciam. Em um modelo descentralizado, é importante implantar e aplicar grades de proteção para que as chaves descentralizadas sejam gerenciadas da mesma forma e o uso das KMS chaves seja auditado de acordo com as melhores práticas e políticas estabelecidas. Para obter mais informações, consulte as melhores práticas de segurança para o AWS Key Management Service na AWS KMS documentação.
Uma opção alternativa de implantação é centralizar a responsabilidade do gerenciamento de KMS chaves em uma única conta e, ao mesmo tempo, delegar a capacidade de usar chaves na conta do aplicativo pelos recursos do aplicativo usando uma combinação de chaves e IAM políticas. Essa abordagem é segura e fácil de gerenciar, mas você pode encontrar obstáculos devido aos limites de AWS KMS limitação, aos limites do serviço da conta e à inundação da equipe de segurança com tarefas operacionais de gerenciamento de chaves.
O AWS SRA combina os modelos centralizado e distribuído. Na conta do Security Tooling, AWS KMS é usado para gerenciar a criptografia de serviços de segurança centralizados, como a trilha da AWS CloudTrail organização que é gerenciada pela AWS organização. A seção Conta do aplicativo, mais adiante neste guia, descreve os KMS principais padrões usados para proteger recursos específicos da carga de trabalho.
CA privada da AWS
AWS Private Certificate Authority(CA privada da AWS) é um serviço gerenciado de CA privada que ajuda você a gerenciar com segurança o ciclo de vida de seus TLS certificados de entidade final privada para instânciasEC2, contêineres, dispositivos de IoT e recursos locais. Ele permite TLS comunicações criptografadas para aplicativos em execução. Com CA privada da AWS, você pode criar sua própria hierarquia de CA (uma CA raiz, por meio de subordinadaCAs, até certificados de entidade final) e emitir certificados com ela para autenticar usuários internos, computadores, aplicativos, serviços, servidores e outros dispositivos e assinar códigos de computador. Os certificados emitidos por uma CA privada são confiáveis somente na sua AWS organização, não na Internet.
Uma infraestrutura de chave pública (PKI) ou equipe de segurança pode ser responsável pelo gerenciamento de toda a PKI infraestrutura. Isso inclui o gerenciamento e a criação da CA privada. No entanto, deve haver uma provisão que permita que as equipes de carga de trabalho atendam por conta própria aos requisitos de certificado. AWSSRARepresenta uma hierarquia centralizada de CA na qual a CA raiz está hospedada na conta do Security Tooling. Isso permite que as equipes de segurança apliquem um controle de segurança rigoroso, porque a CA raiz é a base de tudo. PKI No entanto, a criação de certificados privados da CA privada é delegada às equipes de desenvolvimento de aplicativos compartilhando a CA com uma conta de aplicativo usando o AWS Resource Access Manager (AWSRAM). AWSRAMgerencia as permissões necessárias para o compartilhamento entre contas. Isso elimina a necessidade de uma CA privada em todas as contas e fornece uma forma mais econômica de implantação. Para obter mais informações sobre o fluxo de trabalho e a implementação, consulte a postagem do blog Como usar AWS RAM para compartilhar sua CA privada da AWS conta cruzada
nota
ACMtambém ajuda você a provisionar, gerenciar e implantar TLS certificados públicos para uso com AWS serviços. Para oferecer suporte a essa funcionalidade, precisa ACM residir na AWS conta que usaria o certificado público. Isso será discutido posteriormente neste guia, na seção Conta do aplicativo.
Considerações sobre design
-
Com CA privada da AWS, você pode criar uma hierarquia de autoridades de certificação com até cinco níveis. Você também pode criar várias hierarquias, cada uma com sua própria raiz. A CA privada da AWS hierarquia deve seguir o PKI design da sua organização. No entanto, lembre-se de que o aumento da hierarquia da CA aumenta o número de certificados no caminho de certificação, o que, por sua vez, aumenta o tempo de validação de um certificado de entidade final. Uma hierarquia de CA bem definida fornece benefícios que incluem controle de segurança granular apropriado para cada CA, delegação de CA subordinada a um aplicativo diferente, o que leva à divisão de tarefas administrativas, uso de CA com confiança revogável limitada, a capacidade de definir diferentes períodos de validade e a capacidade de impor limites de caminho. Idealmente, sua raiz e seu subordinado CAs estão em AWS contas separadas. Para obter mais informações sobre como planejar uma hierarquia de CA usando CA privada da AWS, consulte a CA privada da AWS documentação e a postagem do blog Como proteger uma CA privada da AWS hierarquia de escala corporativa para o setor automotivo e
de manufatura. -
CA privada da AWS pode se integrar à sua hierarquia de CA existente, o que permite que você use a capacidade de automação e AWS integração nativa do ACM em conjunto com a raiz de confiança existente que você usa atualmente. Você pode criar uma CA subordinada CA privada da AWS apoiada por uma CA principal no local. Para obter mais informações sobre a implementação, consulte Instalando um certificado de CA subordinado assinado por uma CA externa principal na CA privada da AWS documentação.
Amazon Inspector
O Amazon Inspector
O Amazon Inspector avalia continuamente seu ambiente durante todo o ciclo de vida de seus recursos, examinando automaticamente os recursos sempre que você fizer alterações neles. Os eventos que iniciam a nova análise de um recurso incluem a instalação de um novo pacote em uma EC2 instância, a instalação de um patch e a publicação de um novo relatório de vulnerabilidades e exposições comuns (CVE) que afeta o recurso. O Amazon Inspector oferece suporte às avaliações de benchmark do Center of Internet Security (CIS) para sistemas operacionais em instâncias. EC2
O Amazon Inspector se integra com ferramentas de desenvolvedor, como Jenkins, e TeamCity para avaliações de imagens de contêineres. Você pode avaliar suas imagens de contêiner em busca de vulnerabilidades de software em sua integração e entrega CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD tool’s dashboard, so you can perform automated actions in response to critical security issues such as blocked builds or image pushes to container registries. If you have an active AWS account, you can install the Amazon Inspector plugin from your CI/CD tool marketplace and add an Amazon Inspector scan in your build pipeline without needing to activate the Amazon Inspector service. This feature works with CI/CD tools hosted anywhere—on AWS, on premises, or in hybrid clouds—so you can consistently use a single solution across all your development pipelines. When Amazon Inspector is activated, it automatically discovers all your EC2 instances, container images in Amazon ECR and CI/CD contínuas (ferramentas e funções AWS Lambda) em grande escala e monitorá-las continuamente em busca de vulnerabilidades conhecidas.
As descobertas de acessibilidade de rede do Amazon Inspector avaliam a acessibilidade de EC2 suas instâncias de ou para bordas, como gateways VPC de internetVPC, conexões de peering ou redes privadas virtuais VPNs () por meio de um gateway virtual. Essas regras ajudam a automatizar o monitoramento de suas AWS redes e a identificar onde o acesso à rede às suas EC2 instâncias pode estar mal configurado por meio de grupos de segurança mal gerenciados, listas de controle de acesso (ACLs), gateways de internet e assim por diante. Para obter mais informações, consulte a documentação do Amazon Inspector.
Quando o Amazon Inspector identifica vulnerabilidades ou caminhos de rede abertos, ele produz uma descoberta que você pode investigar. A descoberta inclui detalhes abrangentes sobre a vulnerabilidade, incluindo uma pontuação de risco, o recurso afetado e recomendações de remediação. A pontuação de risco é adaptada especificamente ao seu ambiente e é calculada correlacionando up-to-date CVE informações com fatores temporais e ambientais, como informações de acessibilidade e explorabilidade da rede, para fornecer uma descoberta contextual.
Para verificar vulnerabilidades, as EC2 instâncias devem ser gerenciadas no AWS Systems Manager usando o AWS Systems Manager Agent (SSMAgente). Nenhum agente é necessário para a acessibilidade de EC2 instâncias na rede ou para a verificação de vulnerabilidades de imagens de contêineres nas funções Amazon ou ECR Lambda.
O Amazon Inspector é integrado ao AWS Organizations e oferece suporte à administração delegada. No AWSSRA, a conta do Security Tooling é transformada em conta de administrador delegado para o Amazon Inspector. A conta de administrador delegado do Amazon Inspector pode gerenciar descobertas, dados e determinadas configurações para membros da organização. AWS Isso inclui visualizar os detalhes das descobertas agregadas de todas as contas dos membros, ativar ou desativar as verificações das contas dos membros e revisar os recursos escaneados dentro da organização. AWS
Considerações sobre design
-
O Amazon Inspector se integra automaticamente com o AWS Security Hub quando ambos os serviços estão habilitados. Você pode usar essa integração para enviar todas as descobertas do Amazon Inspector para o Security Hub, que então incluirá essas descobertas na análise da sua postura de segurança.
-
O Amazon Inspector exporta automaticamente eventos para descobertas, alterações na cobertura de recursos e escaneamentos iniciais de recursos individuais para a Amazon e EventBridge, opcionalmente, para um bucket do Amazon Simple Storage Service (Amazon S3). Para exportar descobertas ativas para um bucket do S3, você precisa de uma AWS KMS chave que o Amazon Inspector possa usar para criptografar descobertas e de um bucket do S3 com permissões que permitam ao Amazon Inspector carregar objetos. EventBridge a integração permite monitorar e processar descobertas quase em tempo real como parte de seus fluxos de trabalho existentes de segurança e conformidade. EventBridge os eventos são publicados na conta de administrador delegado do Amazon Inspector, além da conta membro da qual eles se originaram.
Exemplo de implementação
A biblioteca AWS SRA de códigos
Implantação de serviços de segurança comuns em todas as contas AWS
A seção Aplicar serviços de segurança em sua AWS organização, anterior nesta referência, destacou os serviços de segurança que protegem uma AWS conta e observou que muitos desses serviços também podem ser configurados e gerenciados dentro do AWS Organizations. Alguns desses serviços devem ser implantados em todas as contas, e você os verá no AWSSRA. Isso permite um conjunto consistente de grades de proteção e fornece monitoramento, gerenciamento e governança centralizados em toda a organização. AWS
Security Hub GuardDuty, AWS Config, Access Analyzer e trilhas AWS CloudTrail da organização aparecem em todas as contas. Os três primeiros oferecem suporte ao recurso de administrador delegado discutido anteriormente na seção Conta de gerenciamento, acesso confiável e administradores delegados. CloudTrail atualmente usa um mecanismo de agregação diferente.
O repositório de AWS SRA GitHub código
Considerações sobre design
-
Configurações específicas da conta podem exigir serviços de segurança adicionais. Por exemplo, contas que gerenciam buckets do S3 (as contas Application e Log Archive) também devem incluir o Amazon Macie e considerar a ativação CloudTrail do registro de eventos de dados do S3 nesses serviços de segurança comuns. (O Macie oferece suporte à administração delegada com configuração e monitoramento centralizados.) Outro exemplo é o Amazon Inspector, que é aplicável somente para contas que hospedam EC2 instâncias ou imagens da AmazonECR.
-
Além dos serviços descritos anteriormente nesta seção, AWS SRA inclui dois serviços focados em segurança, Amazon Detective e Audit AWS Manager, que oferecem suporte à integração de AWS Organizations e à funcionalidade de administrador delegado. No entanto, eles não estão incluídos como parte dos serviços recomendados para a definição de base da conta, porque vimos que esses serviços são melhor usados nos seguintes cenários:
-
Você tem uma equipe dedicada ou um grupo de recursos que executam essas funções. O Detective é melhor utilizado pelas equipes de analistas de segurança e o Audit Manager é útil para suas equipes internas de auditoria ou conformidade.
-
Você quer se concentrar em um conjunto básico de ferramentas, como GuardDuty o Security Hub, no início do projeto e, em seguida, desenvolvê-las usando serviços que fornecem recursos adicionais.
-