Resumen Requisitos previos y limitaciones Arquitectura Tools (Herramientas)Epics Recursos relacionados Información adicional

Habilita Amazon de GuardDuty forma condicional mediante plantillas AWS CloudFormation

Ram Kandaswamy, Amazon Web Services

Resumen

AWS CloudFormation, una herramienta de infraestructura como código (IaC), le ayuda a gestionar AWS los recursos mediante despliegues basados en plantillas. CloudFormation se suele utilizar para gestionar los recursos. AWS Usarlo para habilitar Servicios de AWS, como Amazon GuardDuty, puede presentar desafíos únicos. GuardDuty es un servicio de detección de amenazas que monitorea continuamente sus Cuentas de AWS actividades maliciosas y comportamientos no autorizados. A diferencia de los recursos típicos, que se pueden crear varias veces, GuardDuty es un servicio que debe habilitarse una vez por cuenta y Región de AWS. CloudFormation Las condiciones tradicionales solo admiten comparaciones de valores estáticos, lo que dificulta la comprobación del estado actual de servicios como GuardDuty. Si intentas activar la conexión a GuardDuty través CloudFormation de una cuenta que ya está activa, se produce un error en la implementación de la pila. Esto puede crear desafíos operativos para los DevOps equipos que administran entornos con varias cuentas.

Este patrón presenta una solución a este desafío. Utiliza recursos CloudFormation personalizados respaldados por AWS Lambdafunciones para realizar comprobaciones de estado dinámicas. La lógica condicional GuardDuty solo se activa si aún no está habilitada. Utiliza las salidas de la pila para registrar el GuardDuty estado para futuras referencias.

Si sigue este patrón, puede automatizar las GuardDuty implementaciones en toda su AWS infraestructura y, al mismo tiempo, mantener las operaciones de CloudFormation apilado limpias y predecibles. Este enfoque es particularmente valioso para las organizaciones que:

Administrar múltiples Cuentas de AWS mediante IaC
Implementación de servicios de seguridad a escala
Requiere despliegues de infraestructura idempotentes
Automatizar los despliegues de servicios de seguridad

Requisitos previos y limitaciones

Requisitos previos

¿Un activo Cuenta de AWS
Un rol AWS Identity and Access Management (IAM) que tiene permisos para crear, actualizar y eliminar pilas CloudFormation
AWS Command Line Interface (AWS CLI), instalado y configurado

Limitaciones

Si se GuardDuty ha desactivado manualmente para una Cuenta de AWS o Región de AWS, este patrón no se habilita GuardDuty para esa cuenta o región de destino.

Arquitectura

Pila de tecnología de destino

El patrón utiliza CloudFormation la infraestructura como código (IaC). Utiliza un recurso CloudFormation personalizado respaldado por una función Lambda para lograr la capacidad de habilitación dinámica de servicios.

Arquitectura de destino

El siguiente diagrama de arquitectura de alto nivel muestra el proceso de habilitación GuardDuty mediante la implementación de una plantilla: CloudFormation

Uso de una CloudFormation pila para habilitarla GuardDuty en una cuenta de AWS.

Se implementa una CloudFormation plantilla para crear una CloudFormation pila.
La pila crea un rol de IAM y una función de Lambda.
La función de Lambda asume el rol de IAM.
Si aún no GuardDuty está habilitada en el destino Cuenta de AWS, la función Lambda la habilita.

Automatización y escala

Puede usar la AWS CloudFormation StackSet función para extender esta solución a múltiples Cuentas de AWS y Regiones de AWS. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets él en la CloudFormation documentación.

Tools (Herramientas)

AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que te ayuda a interactuar Servicios de AWS mediante los comandos de tu shell de línea de comandos.
AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y administrarlos a lo largo de su ciclo de vida en Cuentas de AWS todas las regiones.
Amazon GuardDuty es un servicio de supervisión continua de la seguridad que analiza y procesa los registros para identificar actividades inesperadas y potencialmente no autorizadas en su AWS entorno.
AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.

Epics

Tarea	Descripción	Habilidades requeridas
Guarde el código en Amazon S3.	Copia el código de Python en la sección de información adicional de este patrón. Pegue el código en un editor de texto. Guarde el archivo como `index.py`. Cargue el archivo en un bucket de Amazon Simple Storage Service (Amazon S3). Para más instrucciones, consulte Cargar objetos en la documentación de Amazon S3.	AWS DevOps
Cree la CloudFormation plantilla.	Abra la consola de CloudFormation . En el panel de navegación izquierdo, elija Infrastructure Composer. Si no ve un lienzo en blanco, cree un proyecto nuevo. Arrastra y suelta una AWS Lambda función en el lienzo. En la vista de plantilla, compruebe que estén presentes una función Lambda y un grupo de registros. Modifique `Runtime` la función Lambda a la última versión de Python. Valide que la `Handler` propiedad tenga un valor de `index.lambda_handler.` Configure la `CodeUri` propiedad para que sea la ubicación de Amazon S3 en la que cargó el código Python. Un valor de ejemplo es `s3://amzn-s3-demo-bucket/key-name`. Añada una `Policies` propiedad para el recurso. Siga las prácticas recomendadas de seguridad para proporcionar permisos de acceso con privilegios mínimos que permitan CloudFormation GuardDuty realizar acciones. Por ejemplo, puede utilizar la política `AWSLambdaExecute` gestionada para los registros y una personalizada `iam:CreateServiceLinkedRole` para GuardDuty. Para añadir una definición de recurso personalizada al fragmento, navegue hasta la vista de plantilla. `CheckResourceExist: Type: 'Custom::LambdaCustomResource' Properties: ServiceToken: !GetAtt Function.Arn` Guarde la plantilla como. `sample.yaml`	AWS DevOps
Crea la CloudFormation pila.	En AWS CLI, ingresa el siguiente comando. Esto crea una nueva CloudFormation pila utilizando el `sample.yaml` archivo. Para obtener más información, consulte Crear una pila en la CloudFormation documentación. `aws cloudformation create-stack \ --stack-name guardduty-cf-stack \ --template-body file://sample.yaml` Confirme que el siguiente valor aparezca en el AWS CLI, lo que indica que la pila se ha creado correctamente. El tiempo necesario para crear la pila puede variar. `"StackStatus": "CREATE_COMPLETE",`	AWS DevOps
Valide que GuardDuty esté habilitado para Cuenta de AWS.	Inicie sesión en la GuardDuty consola Consola de administración de AWS y ábrala. Compruebe que el GuardDuty servicio esté activado.	Administrador de la nube, administrador de AWS
Configure cuentas o regiones adicionales.	Según sea necesario para su caso de uso, utilice la CloudFormation StackSet función para extender esta solución a múltiples Cuentas de AWS y Regiones de AWS. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets ella en la CloudFormation documentación.	Administrador de la nube, administrador de AWS

Recursos relacionados

Referencias

Tutoriales y videos

Simplificación de la administración de la infraestructura con AWS CloudFormation (Tutorial)
Usa Amazon GuardDuty y protege AWS Security Hub CSPM varias cuentas (AWS re:Invent 2020)
Mejores prácticas de creación AWS CloudFormation(re:Invent 2019)AWS
Detección de amenazas en AWS: una introducción a Amazon GuardDuty (AWS re:inForce 2019)

Información adicional

Código Python


import boto3
import os
import json
from botocore.exceptions import ClientError
import cfnresponse
guardduty=boto3.client('guardduty')
cfn=boto3.client('cloudformation')
def lambda_handler(event, context):
    print('Event: ', event)
    if 'RequestType' in event:    
      if event['RequestType'] in ["Create","Update"]:
          enabled=False
          try:  
            response=guardduty.list_detectors()
            if "DetectorIds" in response and len(response["DetectorIds"])>0:
              enabled="AlreadyEnabled"
            elif "DetectorIds" in response and len(response["DetectorIds"])==0:
              cfn_response=cfn.create_stack(
                StackName='guardduty-cfn-stack',
                TemplateBody='{ "AWSTemplateFormatVersion": "2010-09-09",    "Description": "Guard duty creation template",    "Resources": { "IRWorkshopGuardDutyDetector": {  "Type": "AWS::GuardDuty::Detector",    "Properties": {   "Enable": true  }   } } }'
                )
              enabled="True"
          except Exception as e:
              print("Exception: ",e)
          responseData = {}
          responseData['status'] = enabled
          cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, "CustomResourcePhysicalID" )
      elif event['RequestType'] == "Delete":
          cfn_response=cfn.delete_stack(
                  StackName='guardduty-cfn-stack')
          cfnresponse.send(event, context, cfnresponse.SUCCESS, {})

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Genere dinámicamente una política de IAM con IAM Access Analyzer

Habilitar el cifrado transparente de datos en Amazon RDS para SQL Server