Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Lampiran

Otomatiskan pemindaian keamanan untuk beban kerja lintas akun menggunakan Amazon Inspector dan AWS Security Hub

Ramya Pulipaka dan Mikesh Khanal, Amazon Web Services

Ringkasan

Pola ini menjelaskan cara memindai kerentanan secara otomatis dalam beban kerja lintas akun di Amazon Web Services ()AWS Cloud.

Pola ini membantu membuat jadwal pemindaian berbasis host dari instans Amazon Elastic Compute Cloud (Amazon EC2) yang dikelompokkan berdasarkan tag atau untuk pemindaian Amazon Inspector berbasis jaringan. AWS CloudFormation Tumpukan menyebarkan semua AWS sumber daya dan layanan yang diperlukan untuk Anda Akun AWS.

Temuan Amazon Inspector diekspor ke AWS Security Hub dan memberikan wawasan tentang kerentanan di seluruh akun Anda, cloud pribadi virtual () Wilayah AWS VPCs, dan instans Amazon. EC2 Anda dapat menerima temuan ini melalui email atau Anda dapat membuat topik Amazon Simple Notification Service (Amazon SNS) yang menggunakan titik akhir HTTP untuk mengirim temuan ke alat tiket, informasi keamanan dan perangkat lunak manajemen peristiwa (SIEM), atau solusi keamanan pihak ketiga lainnya.

Prasyarat dan batasan

Prasyarat

Aktif Akun AWS yang menampung beban kerja lintas akun, termasuk akun audit pusat.
Alamat email yang ada untuk menerima pemberitahuan email dari Amazon SNS.
Titik akhir HTTP yang ada yang digunakan oleh alat tiket, perangkat lunak SIEM, atau solusi keamanan pihak ketiga lainnya.
Security Hub, diaktifkan dan dikonfigurasi. Anda dapat menggunakan pola ini tanpa Security Hub, tetapi sebaiknya gunakan Security Hub karena wawasan yang dihasilkannya. Untuk informasi selengkapnya, lihat Menyiapkan Security Hub di dokumentasi Security Hub.
Agen Amazon Inspector harus diinstal pada setiap EC2 instance yang ingin Anda pindai. Anda dapat menginstal agen Amazon Inspector di beberapa EC2 instans dengan menggunakan AWS Systems Manager Run Command.

Keterampilan

Pengalaman menggunakan self-managed dan service-managed izin untuk set tumpukan di CloudFormation. Jika Anda ingin menggunakan self-managed izin untuk menyebarkan instance tumpukan ke akun tertentu di Wilayah tertentu, Anda harus membuat peran yang diperlukan AWS Identity and Access Management (IAM). Jika Anda ingin menggunakan service-managed izin untuk menyebarkan instance tumpukan ke akun yang dikelola oleh AWS Organizations di Wilayah tertentu, Anda tidak perlu membuat peran IAM yang diperlukan. Untuk informasi selengkapnya, lihat Membuat kumpulan tumpukan dalam CloudFormation dokumentasi.

Batasan

Jika tidak ada tag yang diterapkan ke EC2 instans Amazon di akun, Amazon Inspector memindai semua instance di akun tersebut.
Kumpulan CloudFormation tumpukan dan onboard-audit-account.yaml file (terlampir) harus digunakan di Wilayah yang sama.
Pendekatan pola ini dapat diskalakan di bawah kuota publikasi 30.000 transaksi per detik (TPS) untuk topik Amazon SNS di Wilayah AS Timur (Virginia N.us-east-1), meskipun batasan bervariasi menurut Wilayah. Untuk menskalakan lebih efektif dan menghindari kehilangan data, sebaiknya gunakan Amazon Simple Queue Service (Amazon SQS) di depan topik Amazon SNS.

Arsitektur

Diagram berikut mengilustrasikan alur kerja untuk memindai instans Amazon EC2 secara otomatis.

Akun AWS untuk menjalankan pemindaian, dan akun audit terpisah untuk mengirim pemberitahuan.

Alur kerja terdiri dari langkah-langkah berikut:

EventBridge Aturan Amazon menggunakan ekspresi cron untuk memulai sendiri pada jadwal tertentu dan memulai Amazon Inspector.
Amazon Inspector memindai EC2 instans Amazon yang ditandai di akun.
Amazon Inspector mengirimkan temuan ke Security Hub, yang menghasilkan wawasan untuk alur kerja, prioritas, dan remediasi.
Amazon Inspector juga mengirimkan status penilaian ke topik Amazon SNS di akun audit. AWS Lambda Fungsi dipanggil jika findings reported acara dipublikasikan ke topik Amazon SNS.
Fungsi Lambda mengambil, memformat, dan mengirimkan temuan ke topik Amazon SNS lain di akun audit.
Temuan dikirim ke alamat email yang berlangganan topik Amazon SNS. Rincian lengkap dan rekomendasi dikirim dalam format JSON ke titik akhir HTTP berlangganan.

Alat

AWS CloudFormationmembantu Anda memodelkan dan mengatur AWS sumber daya sehingga Anda dapat menghabiskan lebih sedikit waktu untuk mengelola sumber daya tersebut dan lebih banyak waktu untuk berfokus pada aplikasi Anda.
AWS CloudFormation StackSetsmemperluas fungsionalitas tumpukan dengan memungkinkan Anda membuat, memperbarui, atau menghapus tumpukan di beberapa akun dan Wilayah dengan satu operasi.
AWS Control Towermenciptakan lapisan abstraksi atau orkestrasi yang menggabungkan dan mengintegrasikan kemampuan beberapa lainnya, termasuk. Layanan AWS AWS Organizations
Amazon EventBridge adalah layanan bus acara tanpa server yang memudahkan untuk menghubungkan aplikasi Anda dengan data dari berbagai sumber.
AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa menyediakan atau mengelola server.
AWS Security Hubmemberi Anda pandangan komprehensif tentang status keamanan Anda di AWS dan membantu Anda memeriksa lingkungan Anda berdasarkan standar industri keamanan dan praktik terbaik.
Amazon Simple Notification Service (Amazon SNS) adalah layanan terkelola yang menyediakan pengiriman pesan dari penerbit ke pelanggan.

Epik

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Menyebarkan CloudFormation template di akun audit.	Unduh dan simpan `onboard-audit-account.yaml` file (terlampir) ke jalur lokal di komputer Anda. Masuk ke AWS Management Console akun audit Anda, buka CloudFormation konsol, lalu pilih Buat tumpukan. Pilih Siapkan templat di bagian Prasyarat, lalu pilih Template siap. Pilih Sumber template di Tentukan templat bagian, lalu pilih Template sudah siap. Unggah `onboard-audit-account.yaml` file dan kemudian konfigurasikan opsi yang tersisa sesuai dengan kebutuhan Anda. Pastikan Anda mengonfigurasi parameter input berikut: `DestinationEmailAddress`— Masukkan alamat email untuk menerima temuan. `HTTPEndpoint`— Menyediakan titik akhir HTTP untuk tiket atau alat SIEM Anda. catatan Anda juga dapat menerapkan CloudFormation template dengan menggunakan AWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya tentang ini, lihat Membuat tumpukan dalam CloudFormation dokumentasi.	Pengembang, insinyur keamanan
Konfirmasikan langganan Amazon SNS.	Buka kotak masuk email Anda dan pilih Konfirmasi langganan di email yang Anda terima dari Amazon SNS. Ini membuka jendela browser web dan menampilkan konfirmasi berlangganan.	Pengembang, insinyur keamanan

Menyebarkan CloudFormation template di akun audit.

Unduh dan simpan onboard-audit-account.yaml file (terlampir) ke jalur lokal di komputer Anda.

Masuk ke AWS Management Console akun audit Anda, buka CloudFormation konsol, lalu pilih Buat tumpukan.

Pilih Siapkan templat di bagian Prasyarat, lalu pilih Template siap. Pilih Sumber template di Tentukan templat bagian, lalu pilih Template sudah siap. Unggah onboard-audit-account.yaml file dan kemudian konfigurasikan opsi yang tersisa sesuai dengan kebutuhan Anda.

Pastikan Anda mengonfigurasi parameter input berikut:

DestinationEmailAddress— Masukkan alamat email untuk menerima temuan.
HTTPEndpoint— Menyediakan titik akhir HTTP untuk tiket atau alat SIEM Anda.

catatan

Anda juga dapat menerapkan CloudFormation template dengan menggunakan AWS Command Line Interface (AWS CLI). Untuk informasi selengkapnya tentang ini, lihat Membuat tumpukan dalam CloudFormation dokumentasi.

Pengembang, insinyur keamanan

Konfirmasikan langganan Amazon SNS.

Buka kotak masuk email Anda dan pilih Konfirmasi langganan di email yang Anda terima dari Amazon SNS. Ini membuka jendela browser web dan menampilkan konfirmasi berlangganan.

Pengembang, insinyur keamanan

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat set tumpukan di akun audit.	Unduh `vulnerability-management-program.yaml` file (terlampir) ke jalur lokal di komputer Anda. Di CloudFormation konsol, pilih Lihat stacksets lalu pilih Buat. StackSet Pilih Template siap, pilih Upload file template, dan kemudian upload `vulnerability-management-program.yaml`file. Jika Anda ingin menggunakan `self-managed` izin, ikuti petunjuk dari Buat kumpulan tumpukan dengan izin yang dikelola sendiri dalam dokumentasi. CloudFormation Ini menciptakan kumpulan tumpukan di akun individual. Jika Anda ingin menggunakan `service-managed` izin, ikuti petunjuk dari Buat kumpulan tumpukan dengan izin yang dikelola layanan dalam dokumentasi. CloudFormation Ini membuat kumpulan tumpukan di seluruh organisasi Anda atau unit organisasi tertentu (OUs). Pastikan bahwa parameter input berikut dikonfigurasi untuk set tumpukan Anda: `AssessmentSchedule`— Jadwal untuk EventBridge menggunakan ekspresi cron. `Duration`— Durasi penilaian Amazon Inspector berjalan dalam hitungan detik. `CentralSNSTopicArn`— Nama Sumber Daya Amazon (ARN) untuk topik SNS Amazon pusat. `Tagkey`— Kunci tag yang terkait dengan grup sumber daya. `Tagvalue`— Nilai tag yang terkait dengan grup sumber daya. Jika Anda ingin memindai EC2 instans Amazon di akun audit, Anda harus menjalankan `vulnerability-management-program.yaml` file sebagai CloudFormation tumpukan di akun audit.	Pengembang, insinyur keamanan
Validasi solusinya.	Periksa apakah Anda menerima temuan melalui email atau titik akhir HTTP pada jadwal yang Anda tentukan untuk Amazon Inspector.	Pengembang, insinyur keamanan

Buat set tumpukan di akun audit.

Unduh vulnerability-management-program.yaml file (terlampir) ke jalur lokal di komputer Anda.

Di CloudFormation konsol, pilih Lihat stacksets lalu pilih Buat. StackSet Pilih Template siap, pilih Upload file template, dan kemudian upload vulnerability-management-program.yamlfile.

Jika Anda ingin menggunakan self-managed izin, ikuti petunjuk dari Buat kumpulan tumpukan dengan izin yang dikelola sendiri dalam dokumentasi. CloudFormation Ini menciptakan kumpulan tumpukan di akun individual.

Jika Anda ingin menggunakan service-managed izin, ikuti petunjuk dari Buat kumpulan tumpukan dengan izin yang dikelola layanan dalam dokumentasi. CloudFormation Ini membuat kumpulan tumpukan di seluruh organisasi Anda atau unit organisasi tertentu (OUs).

Pastikan bahwa parameter input berikut dikonfigurasi untuk set tumpukan Anda:

AssessmentSchedule— Jadwal untuk EventBridge menggunakan ekspresi cron.
Duration— Durasi penilaian Amazon Inspector berjalan dalam hitungan detik.
CentralSNSTopicArn— Nama Sumber Daya Amazon (ARN) untuk topik SNS Amazon pusat.
Tagkey— Kunci tag yang terkait dengan grup sumber daya.
Tagvalue— Nilai tag yang terkait dengan grup sumber daya.

Jika Anda ingin memindai EC2 instans Amazon di akun audit, Anda harus menjalankan vulnerability-management-program.yaml file sebagai CloudFormation tumpukan di akun audit.

Pengembang, insinyur keamanan

Validasi solusinya.

Periksa apakah Anda menerima temuan melalui email atau titik akhir HTTP pada jadwal yang Anda tentukan untuk Amazon Inspector.

Pengembang, insinyur keamanan

Sumber daya terkait

Skala pengujian kerentanan keamanan Anda dengan Amazon Inspector AWS (posting blog)
Secara otomatis memulihkan temuan keamanan Amazon InspectorAWS (posting blog)
Cara menyederhanakan pengaturan penilaian keamanan dengan menggunakan Amazon EC2, AWS Systems Manager, dan Amazon Inspector AWS (posting blog)

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengotomatiskan remediasi untuk temuan standar Security Hub

Secara otomatis mengaudit akses dari alamat IP publik