Récapitulatif Conditions préalables et limitations Architecture Outils Épopées Ressources connexes Pièces jointes

Automatisez les analyses de sécurité pour les charges de travail entre comptes à l'aide d'Amazon Inspector et AWS Security Hub

Créée par Ramya Pulipaka (AWS) et Mikesh Khanal (AWS)

Récapitulatif

Ce modèle décrit comment détecter automatiquement les vulnérabilités dans les charges de travail entre comptes sur le cloud Amazon Web Services (AWS).

Le modèle permet de créer un calendrier pour les scans basés sur l'hôte des instances Amazon Elastic Compute Cloud EC2 (Amazon) groupées par balises ou pour les scans Amazon Inspector basés sur le réseau. Une AWS CloudFormation pile déploie toutes les AWS ressources et tous les services nécessaires dans votre Comptes AWS environnement.

Les résultats d'Amazon Inspector sont exportés vers AWS Security Hub et fournissent des informations sur les vulnérabilités de vos comptes Régions AWS, de vos clouds privés virtuels (VPCs) et de vos EC2 instances Amazon. Vous pouvez recevoir ces résultats par e-mail ou créer une rubrique Amazon Simple Notification Service (Amazon SNS) qui utilise un point de terminaison HTTP pour envoyer les résultats aux outils de billetterie, aux logiciels de gestion des informations et des événements de sécurité (SIEM) ou à d'autres solutions de sécurité tierces.

Conditions préalables et limitations

Prérequis

Active Comptes AWS qui héberge des charges de travail entre comptes, y compris un compte d'audit central.
Adresse e-mail existante pour recevoir les notifications par e-mail d'Amazon SNS.
Point de terminaison HTTP existant utilisé par les outils de billetterie, les logiciels SIEM ou d'autres solutions de sécurité tierces.
Security Hub, activé et configuré. Vous pouvez utiliser ce modèle sans Security Hub, mais nous vous recommandons d'utiliser Security Hub en raison des informations qu'il génère. Pour plus d'informations, consultez la section Configuration de Security Hub dans la documentation du Security Hub.
Un agent Amazon Inspector doit être installé sur chaque EC2 instance que vous souhaitez scanner. Vous pouvez installer l'agent Amazon Inspector sur plusieurs EC2 instances à l'aide d'AWS Systems Manager Run Command.

Compétences

Expérience d'utilisation self-managed et service-managed autorisations pour les stack sets in CloudFormation. Si vous souhaitez utiliser self-managed les autorisations pour déployer des instances de stack sur des comptes spécifiques dans des régions spécifiques, vous devez créer les rôles AWS Identity and Access Management (IAM) requis. Si vous souhaitez utiliser service-managed des autorisations pour déployer des instances de stack sur des comptes gérés par AWS Organizations des régions spécifiques, vous n'avez pas besoin de créer les rôles IAM requis. Pour plus d'informations, consultez la section Création d'un ensemble de piles dans la CloudFormation documentation.

Limites

Si aucune balise n'est appliquée aux EC2 instances Amazon d'un compte, Amazon Inspector analyse toutes les instances de ce compte.
Les ensembles de CloudFormation piles et le onboard-audit-account.yaml fichier (joint) doivent être déployés dans la même région.
L'approche de ce modèle peut évoluer en deçà du quota de publication de 30 000 transactions par seconde (TPS) pour un sujet Amazon SNS dans la région USA Est (Virginie du Nord) us-east-1 (), bien que les limites varient d'une région à l'autre. Pour évoluer plus efficacement et éviter les pertes de données, nous vous recommandons d'utiliser Amazon Simple Queue Service (Amazon SQS) avant la rubrique Amazon SNS.

Architecture

Le schéma suivant illustre le flux de travail permettant de scanner automatiquement EC2 les instances Amazon.

Un compte AWS pour exécuter des scans et un compte d'audit distinct pour envoyer des notifications.

Le flux de travail se compose des étapes suivantes :

Une EventBridge règle Amazon utilise une expression cron pour s'auto-initier selon un calendrier spécifique et lance Amazon Inspector.
Amazon Inspector analyse les EC2 instances Amazon étiquetées dans le compte.
Amazon Inspector envoie les résultats à Security Hub, qui génère des informations pour le flux de travail, la priorisation et les mesures correctives.
Amazon Inspector envoie également le statut de l'évaluation à une rubrique Amazon SNS du compte d'audit. Une AWS Lambda fonction est invoquée si un findings reported événement est publié dans la rubrique Amazon SNS.
La fonction Lambda récupère, formate et envoie les résultats à une autre rubrique Amazon SNS du compte d'audit.
Les résultats sont envoyés aux adresses e-mail abonnées à la rubrique Amazon SNS. Les informations complètes et les recommandations sont envoyées au format JSON au point de terminaison HTTP abonné.

Outils

AWS CloudFormationvous aide à modéliser et à configurer vos AWS ressources afin que vous puissiez passer moins de temps à gérer ces ressources et plus de temps à vous concentrer sur vos applications.
AWS CloudFormation StackSetsétend les fonctionnalités des piles en vous permettant de créer, de mettre à jour ou de supprimer des piles sur plusieurs comptes et régions en une seule opération.
AWS Control Towercrée une couche d'abstraction ou d'orchestration qui combine et intègre les fonctionnalités de plusieurs autres Services AWS, notamment AWS Organizations.
Amazon EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources.
AWS Lambdaest un service de calcul qui vous permet d'exécuter du code sans provisionner ni gérer de serveurs.
AWS Security Hubvous fournit une vue complète de votre état de sécurité dans AWS et vous aide à vérifier que votre environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques.
Amazon Simple Notification Service (Amazon SNS) est un service géré qui fournit des messages aux abonnés par les éditeurs.

Épopées

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Déployez le CloudFormation modèle dans le compte d'audit.	Téléchargez et enregistrez le `onboard-audit-account.yaml` fichier (joint) sur un chemin local sur votre ordinateur. Connectez-vous à votre compte d'audit, ouvrez la CloudFormation console, puis choisissez Create stack. AWS Management Console Choisissez Préparer le modèle dans la section Conditions préalables, puis sélectionnez Le modèle est prêt. Choisissez la source du modèle dans la section Spécifier le modèle, puis choisissez Le modèle est prêt. Téléchargez le `onboard-audit-account.yaml` fichier, puis configurez les options restantes en fonction de vos besoins. Assurez-vous de configurer les paramètres d'entrée suivants : `DestinationEmailAddress`— Entrez une adresse e-mail pour recevoir les résultats. `HTTPEndpoint`— Fournissez un point de terminaison HTTP pour vos outils de billetterie ou de SIEM. Note Vous pouvez également déployer le CloudFormation modèle en utilisant AWS Command Line Interface (AWS CLI). Pour plus d'informations à ce sujet, consultez la section Création d'une pile dans la CloudFormation documentation.	Développeur, ingénieur en sécurité
Confirmez l'abonnement Amazon SNS.	Ouvrez votre boîte e-mail et choisissez Confirmer l'abonnement dans l'e-mail que vous recevez d'Amazon SNS. Cela ouvre une fenêtre de navigateur Web et affiche la confirmation de l'abonnement.	Développeur, ingénieur en sécurité

Déployez le CloudFormation modèle dans le compte d'audit.

Téléchargez et enregistrez le onboard-audit-account.yaml fichier (joint) sur un chemin local sur votre ordinateur.

Connectez-vous à votre compte d'audit, ouvrez la CloudFormation console, puis choisissez Create stack. AWS Management Console

Choisissez Préparer le modèle dans la section Conditions préalables, puis sélectionnez Le modèle est prêt. Choisissez la source du modèle dans la section Spécifier le modèle, puis choisissez Le modèle est prêt. Téléchargez le onboard-audit-account.yaml fichier, puis configurez les options restantes en fonction de vos besoins.

Assurez-vous de configurer les paramètres d'entrée suivants :

DestinationEmailAddress— Entrez une adresse e-mail pour recevoir les résultats.
HTTPEndpoint— Fournissez un point de terminaison HTTP pour vos outils de billetterie ou de SIEM.

Note

Vous pouvez également déployer le CloudFormation modèle en utilisant AWS Command Line Interface (AWS CLI). Pour plus d'informations à ce sujet, consultez la section Création d'une pile dans la CloudFormation documentation.

Développeur, ingénieur en sécurité

Confirmez l'abonnement Amazon SNS.

Ouvrez votre boîte e-mail et choisissez Confirmer l'abonnement dans l'e-mail que vous recevez d'Amazon SNS. Cela ouvre une fenêtre de navigateur Web et affiche la confirmation de l'abonnement.

Développeur, ingénieur en sécurité

Tâche Description Compétences requises

Tâche	Description	Compétences requises
Créez des ensembles de piles dans le compte d'audit.	Téléchargez le `vulnerability-management-program.yaml` fichier (joint) sur un chemin local de votre ordinateur. Sur la CloudFormation console, choisissez Afficher les stacksets, puis Create. StackSet Choisissez Le modèle est prêt, choisissez Télécharger un fichier modèle, puis téléchargez le `vulnerability-management-program.yaml`fichier. Si vous souhaitez utiliser `self-managed` des autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations autogérées dans la CloudFormation documentation. Cela crée des ensembles de piles dans des comptes individuels. Si vous souhaitez utiliser des `service-managed` autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations gérées par les services dans la CloudFormation documentation. Cela crée des ensembles de piles dans l'ensemble de votre organisation ou dans des unités organisationnelles spécifiques (OUs). Assurez-vous que les paramètres d'entrée suivants sont configurés pour vos ensembles de piles : `AssessmentSchedule`— Le calendrier d' EventBridge utilisation des expressions cron. `Duration`— La durée de l'évaluation Amazon Inspector exécutée en secondes. `CentralSNSTopicArn`— Le nom de ressource Amazon (ARN) pour la rubrique principale d'Amazon SNS. `Tagkey`— La clé de balise associée au groupe de ressources. `Tagvalue`— La valeur de balise associée au groupe de ressources. Si vous souhaitez scanner des EC2 instances Amazon dans le compte d'audit, vous devez exécuter le `vulnerability-management-program.yaml` fichier sous forme de CloudFormation pile dans le compte d'audit.	Développeur, ingénieur en sécurité
Validez la solution.	Vérifiez que vous recevez les résultats par e-mail ou par point de terminaison HTTP selon le calendrier que vous avez spécifié pour Amazon Inspector.	Développeur, ingénieur en sécurité

Créez des ensembles de piles dans le compte d'audit.

Téléchargez le vulnerability-management-program.yaml fichier (joint) sur un chemin local de votre ordinateur.

Sur la CloudFormation console, choisissez Afficher les stacksets, puis Create. StackSet Choisissez Le modèle est prêt, choisissez Télécharger un fichier modèle, puis téléchargez le vulnerability-management-program.yamlfichier.

Si vous souhaitez utiliser self-managed des autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations autogérées dans la CloudFormation documentation. Cela crée des ensembles de piles dans des comptes individuels.

Si vous souhaitez utiliser des service-managed autorisations, suivez les instructions de la section Créer un ensemble de piles avec des autorisations gérées par les services dans la CloudFormation documentation. Cela crée des ensembles de piles dans l'ensemble de votre organisation ou dans des unités organisationnelles spécifiques (OUs).

Assurez-vous que les paramètres d'entrée suivants sont configurés pour vos ensembles de piles :

AssessmentSchedule— Le calendrier d' EventBridge utilisation des expressions cron.
Duration— La durée de l'évaluation Amazon Inspector exécutée en secondes.
CentralSNSTopicArn— Le nom de ressource Amazon (ARN) pour la rubrique principale d'Amazon SNS.
Tagkey— La clé de balise associée au groupe de ressources.
Tagvalue— La valeur de balise associée au groupe de ressources.

Si vous souhaitez scanner des EC2 instances Amazon dans le compte d'audit, vous devez exécuter le vulnerability-management-program.yaml fichier sous forme de CloudFormation pile dans le compte d'audit.

Développeur, ingénieur en sécurité

Validez la solution.

Vérifiez que vous recevez les résultats par e-mail ou par point de terminaison HTTP selon le calendrier que vous avez spécifié pour Amazon Inspector.

Développeur, ingénieur en sécurité

Ressources connexes

Élargissez vos tests de vulnérabilité en matière de sécurité avec Amazon Inspector (article de AWS blog)
Corriger automatiquement les résultats de sécurité d'Amazon Inspector (article de AWS blog)
Comment simplifier la configuration de l'évaluation de la sécurité à l'aide EC2 d' AWS Systems Manager Amazon et d'Amazon Inspector (article de AWS blog)

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Automatisez la correction des résultats standard du Security Hub

Audit automatique de l'accès depuis les adresses IP publiques