View a markdown version of this page

Información general de la arquitectura - Respuesta de seguridad automatizada en AWS
Diagrama de arquitectura

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general de la arquitectura

En esta sección se proporciona un diagrama de arquitectura de implementación de referencia para los componentes implementados con esta solución.

Diagrama de arquitectura

Al implementar esta solución con los parámetros predeterminados, se crea el siguiente entorno en la nube de AWS.

Respuesta de seguridad automatizada en la arquitectura de AWS

diagrama de arquitectura de la respuesta de seguridad automatizada en AWS
nota

Los CloudFormation recursos de AWS se crean a partir de componentes del AWS Cloud Development Kit (AWS CDK).

El flujo de alto nivel de los componentes de la solución implementados con la CloudFormation plantilla de AWS es el siguiente:

  1. Detectar: AWS Security Hub ofrece a los clientes una visión completa del estado de seguridad de AWS. Les ayuda a medir su entorno en función de los estándares y las mejores prácticas del sector de la seguridad. Funciona mediante la recopilación de eventos y datos de otros servicios de AWS, como AWS Config, Amazon Guard Duty y AWS Firewall Manager. Estos eventos y datos se analizan en función de los estándares de seguridad, como CIS AWS Foundations Benchmark. Las excepciones se afirman como hallazgos en la consola de AWS Security Hub. Los nuevos hallazgos se envían como EventBridge eventos de Amazon.

  2. Escuche: AWS Security Hub emite EventBridge eventos por cada hallazgo creado o modificado por el servicio. La respuesta de seguridad automatizada en AWS (ASR) implementa dos EventBridge reglas que detectan los eventos generados por AWS Security Hub:

    • EventBridge Regla de acción personalizada: escucha los eventos de acciones personalizadas emitidos por el CSPM de AWS Security Hub cuando un usuario activa la acción personalizada «Remediar con ASR». El evento se reenvía al Orchestrator para su corrección.

    • EventBridge Regla de hallazgos: escucha todos los eventos de búsqueda, creación o actualización emitidos por AWS Security Hub y AWS Security Hub CSPM. Estos eventos se reenvían a la cola SQS del preprocesador para su posterior procesamiento.

  3. Iniciar: puede iniciar las correcciones manualmente o configurarlas para que se ejecuten automáticamente. Para ejecutar una corrección manualmente, puede utilizar la interfaz de usuario web implementada por la solución o la función de acciones personalizadas de AWS Security Hub CSPM. Tras realizar pruebas exhaustivas en un entorno que no fuera de producción, también puede activar las correcciones automatizadas. Puede activar las automatizaciones para las correcciones individuales; no es necesario activar las iniciaciones automáticas en todas las correcciones. Para configurar las correcciones para que se ejecuten automáticamente, consulte la página Habilitar las correcciones totalmente automatizadas.

  4. Corrección previa: en la cuenta de administrador, AWS Step Functions procesa el evento de corrección y lo prepara para su programación.

  5. Programación: la solución invoca la función de programación de AWS Lambda para colocar el evento de corrección en la tabla de estados de Amazon DynamoDB.

  6. Orchestrate: en la cuenta de administrador, Step Functions utiliza funciones multicuentas de AWS Identity and Access Management (IAM). Step Functions invoca la corrección en la cuenta del miembro que contiene el recurso que produjo la comprobación de seguridad.

  7. Corregir: un documento de automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el hallazgo en el recurso de destino, como deshabilitar el acceso público de Lambda.

    Si lo desea, puede activar la función de registro de acciones en las pilas de miembros con el parámetro Log. EnableCloudTrailFor ASRAction Esta función captura las acciones que realiza la solución en tus cuentas de miembros y las muestra en el CloudWatch panel de Amazon de la solución.

  8. (Opcional) Cree un ticket: si utiliza el TicketGenFunctionNameparámetro para habilitar la emisión de tickets en la pila de administración, la solución invoca la función Lambda generadora de tickets proporcionada. Esta función Lambda crea un ticket en su servicio de venta de entradas una vez que la corrección se haya ejecutado correctamente en la cuenta del miembro. Proporcionamos paquetes para la integración con Jira y. ServiceNow

  9. Notificar y registrar: el manual registra los resultados en un grupo de CloudWatch registros, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza los resultados del Security Hub. La solución mantiene un registro de auditoría de las acciones en las notas de los resultados.