Automatisieren Sie Sicherheitsscans für kontoübergreifende Workloads mit Amazon Inspector und AWS Security Hub - AWS Prescriptive Guidance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisieren Sie Sicherheitsscans für kontoübergreifende Workloads mit Amazon Inspector und AWS Security Hub

Erstellt von Ramya Pulipaka (AWS) und Mikesh Khanal (AWS)

Übersicht

Dieses Muster beschreibt, wie in kontoübergreifenden Workloads in der Amazon Web Services (AWS) Cloud automatisch nach Sicherheitslücken gesucht wird.

Das Muster hilft bei der Erstellung eines Zeitplans für hostbasierte Scans von Amazon Elastic Compute Cloud (Amazon EC2) -Instances, die nach Tags gruppiert sind, oder für netzwerkbasierte Amazon Inspector-Scans. Ein AWS CloudFormation Stack stellt alle erforderlichen AWS Ressourcen und Dienste für Sie bereit. AWS-Konten

Die Ergebnisse von Amazon Inspector werden in Ihre Konten, AWS-Regionen virtuellen privaten Clouds (VPCs) und EC2 Amazon-Instances exportiert und bieten Einblicke in Sicherheitslücken. AWS Security Hub Sie können diese Ergebnisse per E-Mail erhalten oder ein Amazon Simple Notification Service (Amazon SNS) -Thema erstellen, das einen HTTP-Endpunkt verwendet, um die Ergebnisse an Ticketing-Tools, SIEM-Software (Security Information and Event Management) oder andere Sicherheitslösungen von Drittanbietern zu senden.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Aktiv AWS-Konten , das kontenübergreifende Workloads hostet, einschließlich eines zentralen Audit-Kontos.

  • Eine bestehende E-Mail-Adresse für den Empfang von E-Mail-Benachrichtigungen von Amazon SNS.

  • Ein vorhandener HTTP-Endpunkt, der von Ticketing-Tools, SIEM-Software oder anderen Sicherheitslösungen von Drittanbietern verwendet wird.

  • Security Hub, aktiviert und konfiguriert. Sie können dieses Muster auch ohne Security Hub verwenden, wir empfehlen jedoch die Verwendung von Security Hub aufgrund der damit generierten Erkenntnisse. Weitere Informationen finden Sie unter Security Hub einrichten in der Security Hub Hub-Dokumentation.

  • Auf jeder EC2 Instance, die Sie scannen möchten, muss ein Amazon Inspector-Agent installiert sein. Sie können den Amazon Inspector-Agent mithilfe von AWS Systems Manager Run Command auf mehreren EC2 Instances installieren. 

Fähigkeiten

  • Erfahrung in der Nutzung self-managed und service-managed Berechtigungen für Stacksets in CloudFormation. Wenn Sie self-managed Berechtigungen verwenden möchten, um Stack-Instances für bestimmte Konten in bestimmten Regionen bereitzustellen, müssen Sie die erforderlichen Rollen AWS Identity and Access Management (IAM) erstellen. Wenn Sie service-managed Berechtigungen verwenden möchten, um Stack-Instances für Konten bereitzustellen, die AWS Organizations in bestimmten Regionen verwaltet werden, müssen Sie die erforderlichen IAM-Rollen nicht erstellen. Weitere Informationen finden Sie in der CloudFormation Dokumentation unter Erstellen eines Stack-Sets

Einschränkungen

  • Wenn in einem Konto keine Tags auf EC2 Amazon-Instances angewendet werden, scannt Amazon Inspector alle Instances in diesem Konto.

  • Die CloudFormation Stack-Sets und die onboard-audit-account.yaml Datei (angehängt) müssen in derselben Region bereitgestellt werden.

  • Der Ansatz dieses Musters kann unter die Veröffentlichungsquote von 30.000 Transaktionen pro Sekunde (TPS) für ein Amazon SNS SNS-Thema in der Region USA Ost (Nord-Virginia) () skaliert werden, obwohl die Grenzwerte je nach Region variieren. us-east-1 Um effektiver zu skalieren und Datenverlust zu vermeiden, empfehlen wir, Amazon Simple Queue Service (Amazon SQS) vor dem Amazon SNS SNS-Thema zu verwenden.

Architektur

Das folgende Diagramm veranschaulicht den Arbeitsablauf für das automatische Scannen von EC2 Amazon-Instances.

Ein AWS-Konto für die Ausführung von Scans und ein separates Audit-Konto für das Senden von Benachrichtigungen.

Der Workflow besteht aus folgenden Schritten:

  1. Eine EventBridge Amazon-Regel verwendet einen Cron-Ausdruck, um sich nach einem bestimmten Zeitplan selbst zu initiieren, und initiiert Amazon Inspector.   

  2. Amazon Inspector scannt die markierten EC2 Amazon-Instances im Konto. 

  3. Amazon Inspector sendet die Ergebnisse an Security Hub, der Erkenntnisse für Arbeitsabläufe, Priorisierung und Problembehebung generiert.

  4. Amazon Inspector sendet den Status der Bewertung auch an ein Amazon SNS SNS-Thema im Prüfkonto. Eine AWS Lambda Funktion wird aufgerufen, wenn ein findings reported Ereignis zum Amazon SNS SNS-Thema veröffentlicht wird. 

  5. Die Lambda-Funktion ruft die Ergebnisse ab, formatiert sie und sendet sie an ein anderes Amazon SNS SNS-Thema im Prüfkonto.

  6. Die Ergebnisse werden an die E-Mail-Adressen gesendet, die das Amazon SNS SNS-Thema abonniert haben. Die vollständigen Details und Empfehlungen werden im JSON-Format an den abonnierten HTTP-Endpunkt gesendet.

Tools

  • AWS CloudFormationhilft Ihnen dabei, Ihre AWS Ressourcen zu modellieren und einzurichten, sodass Sie weniger Zeit mit der Verwaltung dieser Ressourcen verbringen und sich mehr auf Ihre Anwendungen konzentrieren können.

  • AWS CloudFormation StackSetserweitert die Funktionalität von Stacks, indem es Ihnen ermöglicht, Stacks für mehrere Konten und Regionen mit einem einzigen Vorgang zu erstellen, zu aktualisieren oder zu löschen.

  • AWS Control Towererstellt eine Abstraktions- oder Orchestrierungsebene, die die Funktionen mehrerer anderer Ebenen kombiniert und integriert, darunter. AWS-Services AWS Organizations

  • Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden.

  • AWS Lambdaist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen.

  • AWS Security Hubbietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand der Sicherheitsstandards und Best Practices der Branche zu überprüfen.

  • Amazon Simple Notification Service (Amazon SNS) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten ermöglicht.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Stellen Sie die CloudFormation Vorlage im Auditkonto bereit.

Laden Sie die onboard-audit-account.yaml Datei (angehängt) herunter und speichern Sie sie in einem lokalen Pfad auf Ihrem Computer. 

Melden Sie sich AWS Management Console bei Ihrem Audit-Konto an, öffnen Sie die CloudFormation Konsole und wählen Sie dann Create Stack aus. 

Wählen Sie im Abschnitt Voraussetzungen die Option Vorlage vorbereiten aus und wählen Sie dann Vorlage ist bereit aus. Wählen Sie im Abschnitt „Vorlage angeben“ die Option „Vorlagenquelle“ und wählen Sie dann „Vorlage ist bereit“. Laden Sie die onboard-audit-account.yaml Datei hoch und konfigurieren Sie dann die verbleibenden Optionen entsprechend Ihren Anforderungen.  

Stellen Sie sicher, dass Sie die folgenden Eingabeparameter konfigurieren:

  • DestinationEmailAddress— Geben Sie eine E-Mail-Adresse ein, um die Ergebnisse zu erhalten.

  • HTTPEndpoint— Stellen Sie einen HTTP-Endpunkt für Ihre Ticketing- oder SIEM-Tools bereit.

Anmerkung

Sie können die CloudFormation Vorlage auch mithilfe von AWS Command Line Interface ()AWS CLI bereitstellen. Weitere Informationen dazu finden Sie in der CloudFormation Dokumentation unter Einen Stack erstellen.

Entwickler, Sicherheitsingenieur

Bestätigen Sie das Amazon SNS SNS-Abonnement.

Öffnen Sie Ihren E-Mail-Posteingang und wählen Sie in der E-Mail, die Sie von Amazon SNS erhalten, die Option Abonnement bestätigen aus. Dadurch wird ein Webbrowser-Fenster geöffnet und die Abonnementbestätigung angezeigt.

Entwickler, Sicherheitsingenieur
AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie Stack-Sets im Audit-Konto.

Laden Sie die vulnerability-management-program.yaml Datei (angehängt) in einen lokalen Pfad auf Ihrem Computer herunter.

Wählen Sie auf der CloudFormation KonsoleStacksets anzeigen“ und anschließend „Erstellen“. StackSet Wählen Sie „Vorlage ist bereit“, wählen Sie „Eine Vorlagendatei hochladen“ und laden Sie dann die vulnerability-management-program.yamlDatei hoch. 

Wenn Sie self-managed Berechtigungen verwenden möchten, folgen Sie den Anweisungen unter Erstellen eines Stack-Sets mit selbstverwalteten Berechtigungen in der CloudFormation Dokumentation. Dadurch werden Stack-Sets in einzelnen Konten erstellt. 

Wenn Sie service-managed Berechtigungen verwenden möchten, folgen Sie den Anweisungen unter Erstellen eines Stack-Sets mit vom Service verwalteten Berechtigungen in der CloudFormation Dokumentation. Dadurch werden Stacksets in Ihrer gesamten Organisation oder in bestimmten Organisationseinheiten (OUs) erstellt.

Stellen Sie sicher, dass die folgenden Eingabeparameter für Ihre Stack-Sets konfiguriert sind:

  • AssessmentSchedule— Der Zeitplan für die EventBridge Verwendung von Cron-Ausdrücken. 

  • Duration— Die Dauer des Amazon Inspector Inspector-Bewertungslaufs in Sekunden.

  • CentralSNSTopicArn— Der Amazon-Ressourcenname (ARN) für das zentrale Amazon SNS-Thema.

  • Tagkey— Der Tag-Schlüssel, der der Ressourcengruppe zugeordnet ist. 

  • Tagvalue— Der Tag-Wert, der der Ressourcengruppe zugeordnet ist. 

Wenn Sie EC2 Amazon-Instances im Audit-Konto scannen möchten, müssen Sie die vulnerability-management-program.yaml Datei als CloudFormation Stapel im Auditkonto ausführen.

Entwickler, Sicherheitsingenieur

Validieren Sie die Lösung.

Vergewissern Sie sich, dass Sie die Ergebnisse per E-Mail oder HTTP-Endpunkt gemäß dem Zeitplan erhalten, den Sie für Amazon Inspector festgelegt haben.

Entwickler, Sicherheitsingenieur

Zugehörige Ressourcen

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip