Otomatiskan remediasi untuk temuan standar AWS Security Hub - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatPraktik terbaikEpikSumber daya terkaitLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otomatiskan remediasi untuk temuan standar AWS Security Hub

Chandini Penmetsa dan Aromal Raj Jayarajan, Amazon Web Services

Ringkasan

Dengan AWS Security Hub, Anda dapat mengaktifkan pemeriksaan untuk praktik terbaik standar seperti berikut ini:

  • AWS Praktik Terbaik Keamanan Dasar

  • Tolok Ukur AWS Yayasan CIS

  • Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS)

Masing-masing standar ini memiliki kontrol yang telah ditentukan. Security Hub memeriksa kontrol yang diberikan Akun AWS dan melaporkan temuan.

AWS Security Hub mengirimkan semua temuan ke Amazon secara EventBridge default. Pola ini memberikan kontrol keamanan yang menerapkan EventBridge aturan untuk mengidentifikasi temuan standar Praktik Terbaik Keamanan AWS Dasar. Aturan ini mengidentifikasi temuan berikut untuk penskalaan otomatis, virtual private cloud (VPCs), Amazon Elastic Block Store (Amazon EBS), dan Amazon Relational Database Service (Amazon RDS) dari standar Praktik Terbaik Keamanan Dasar: AWS

  • [AutoScaling.1] Grup Auto Scaling yang terkait dengan penyeimbang beban harus menggunakan pemeriksaan kesehatan penyeimbang beban

  • [EC2.2] Grup keamanan default VPC tidak boleh mengizinkan lalu lintas masuk dan keluar

  • [EC2.6] Pencatatan aliran VPC harus diaktifkan di semua VPCs

  • [EC2.7] Enkripsi default EBS harus diaktifkan

  • [RDS.1] Snapshot RDS harus bersifat pribadi

  • [RDS.6] Pemantauan yang ditingkatkan harus dikonfigurasi untuk instans dan cluster RDS DB

  • [RDS.7] Cluster RDS harus mengaktifkan perlindungan penghapusan

EventBridge Aturan meneruskan temuan ini ke suatu AWS Lambda fungsi, yang memulihkan temuan tersebut. Fungsi Lambda kemudian mengirimkan notifikasi dengan informasi remediasi ke topik Simple Notification Service Amazon (Amazon SNS).

Prasyarat dan batasan

Prasyarat

  • Aktif Akun AWS

  • Alamat email tempat Anda ingin menerima pemberitahuan remediasi

  • Security Hub dan AWS Config diaktifkan di Wilayah AWS tempat Anda ingin menerapkan kontrol

  • Bucket Amazon Simple Storage Service (Amazon S3) di Wilayah yang sama dengan kontrol untuk mengunggah kode AWS Lambda

Batasan

  • Kontrol keamanan ini secara otomatis memulihkan temuan baru yang dilaporkan setelah penerapan kontrol keamanan. Untuk memulihkan temuan yang ada, pilih temuan secara manual di konsol Security Hub. Kemudian, di bawah Tindakan, pilih tindakan AFSBPRemedykustom yang dibuat sebagai bagian dari penerapan oleh AWS CloudFormation.

  • Kontrol keamanan ini bersifat regional dan harus digunakan di tempat Wilayah AWS yang ingin Anda pantau.

  • Untuk solusi EC2 .6, untuk mengaktifkan VPC Flow Logs, grup log CloudWatch Amazon Logs akan dibuat /VpcFlowLogs/vpc_id dengan format. Jika grup log ada dengan nama yang sama, grup log yang ada akan digunakan.

  • Untuk solusi EC2 .7, untuk mengaktifkan enkripsi default Amazon EBS, kunci default AWS Key Management Service (AWS KMS) digunakan. Perubahan ini mencegah penggunaan instance tertentu yang tidak mendukung enkripsi.

Arsitektur

Tumpukan teknologi target

  • Fungsi Lambda

  • Topik Amazon SNS

  • EventBridge aturan

  • AWS Identity and Access Management Peran (IAM) untuk fungsi Lambda, Log Aliran VPC, dan Amazon RDS Enhanced Monitoring

Arsitektur target

Alur kerja untuk mengotomatiskan remediasi untuk temuan AWS Security Hub.

Otomatisasi dan skala

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS CloudFormation StackSetsuntuk menyebarkan template ini di beberapa akun yang Anda ingin ini untuk memantau.

Alat

  • AWS CloudFormationadalah layanan yang membantu Anda memodelkan dan mengatur AWS sumber daya dengan menggunakan infrastruktur sebagai kode.

  • Amazon EventBridge memberikan aliran data real-time dari aplikasi Anda sendiri, aplikasi perangkat lunak sebagai layanan (SaaS), Layanan AWS dan, merutekan data tersebut ke target seperti fungsi Lambda.

  • AWS Lambdamendukung menjalankan kode tanpa menyediakan atau mengelola server.

  • Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek yang sangat skalabel yang dapat Anda gunakan untuk berbagai solusi penyimpanan, termasuk situs web, aplikasi seluler, cadangan, dan danau data.

  • Amazon Simple Notification Service (Amazon SNS) mengkoordinasikan dan mengelola pengiriman atau pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan ke suatu topik menerima pesan yang sama.

Praktik terbaik

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Tentukan bucket Amazon S3.

Di konsol Amazon S3, pilih atau buat bucket Amazon S3 dengan nama unik yang tidak mengandung garis miring terdepan. Nama bucket Amazon S3 unik secara global, dan namespace dibagikan oleh semua orang. Akun AWS Bucket Amazon S3 Anda harus berada di Wilayah yang sama dengan temuan Security Hub yang sedang dievaluasi.

Arsitek Cloud

Unggah kode Lambda ke bucket Amazon S3.

Unggah file kode Lambda .zip yang disediakan di bagian “Lampiran” ke bucket Amazon S3 yang ditentukan.

Arsitek Cloud

Menyebarkan AWS CloudFormation template.

Terapkan AWS CloudFormation template yang disediakan sebagai lampiran ke pola ini. Dalam epik berikutnya, berikan nilai untuk parameter.

Arsitek Cloud
TugasDeskripsiKeterampilan yang dibutuhkan

Berikan nama bucket Amazon S3.

Masukkan nama bucket Amazon S3 yang Anda buat di epik pertama.

Arsitek Cloud

Berikan awalan Amazon S3.

Berikan lokasi file kode Lambda .zip di bucket Amazon S3 Anda, tanpa garis miring (misalnya,). <directory>/<file-name>.zip

Arsitek Cloud

Berikan ARN topik Amazon SNS.

Jika Anda ingin menggunakan topik Amazon SNS yang ada untuk pemberitahuan remediasi, berikan Nama Sumber Daya Amazon (ARN) dari topik Amazon SNS. Jika Anda ingin menggunakan topik Amazon SNS baru, pertahankan nilainya sebagai None (nilai default).

Arsitek Cloud

Berikan alamat email.

Berikan alamat email tempat Anda ingin menerima pemberitahuan remediasi (hanya diperlukan saat Anda AWS CloudFormation ingin membuat topik Amazon SNS).

Arsitek Cloud

Tentukan tingkat logging.

Tentukan tingkat logging dan frekuensi untuk fungsi Lambda Anda. Infomenunjuk pesan informasi rinci tentang kemajuan aplikasi. Errormenunjuk peristiwa kesalahan yang masih memungkinkan aplikasi untuk terus berjalan. Warningmenunjuk situasi yang berpotensi berbahaya.

Arsitek Cloud

Berikan ARN peran IAM untuk VPC Flow Logs.

Berikan ARN peran IAM yang akan digunakan untuk VPC Flow Logs. Jika Anda masukNone, AWS CloudFormation buat peran IAM dan gunakan itu.

Arsitek Cloud

Berikan ARN peran IAM untuk Amazon RDS Enhanced Monitoring.

Berikan ARN peran IAM yang akan digunakan untuk Amazon RDS Enhanced Monitoring. Jika Anda masukNone, AWS CloudFormation buat peran IAM dan gunakan itu.

Arsitek Cloud
TugasDeskripsiKeterampilan yang dibutuhkan

Konfirmasikan langganan Amazon SNS.

Ketika template berhasil digunakan, jika topik Amazon SNS baru dibuat, pesan langganan akan dikirim ke alamat email yang Anda berikan. Untuk menerima pemberitahuan remediasi, Anda harus mengonfirmasi pesan email langganan ini.

Arsitek Cloud

Sumber daya terkait

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip