Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait

Matikan kontrol standar keamanan di semua akun anggota Security Hub di lingkungan multi-akun

Michael Fuellbier dan Ahmed Bakry, Amazon Web Services

Ringkasan

penting

AWS Security Hub sekarang mendukung konfigurasi pusat untuk standar keamanan dan kontrol, di seluruh akun. Fitur baru ini membahas banyak skenario yang dicakup oleh solusi dalam pola Panduan AWS Preskriptif ini. Sebelum Anda menerapkan solusi dalam pola ini, lihat Konfigurasi pusat di Security Hub.

Di Amazon Web Services (AWS) Cloud, kontrol AWS Security Hub standar, seperti CIS AWS Foundations Benchmark atau AWS Foundational Security Best Practices, hanya dapat dimatikan (dinonaktifkan) secara manual dari dalam satu. Akun AWS Di lingkungan multi-akun, Anda tidak dapat mematikan kontrol di beberapa akun anggota Security Hub dengan “satu klik” (yaitu, satu panggilan API). Pola ini menunjukkan cara menggunakan satu klik untuk menonaktifkan kontrol standar Security Hub di semua akun anggota Security Hub yang dikelola oleh akun administrator Security Hub Anda.

Prasyarat dan batasan

Prasyarat

Lingkungan multi-akun yang terdiri dari akun administrator Security Hub yang mengelola beberapa akun anggota
AWS Command Line Interface (AWS CLI) versi 2, diinstal
AWS Serverless Application Model Antarmuka Baris Perintah (AWS SAM CLI), diinstal

Batasan

Pola ini hanya berfungsi di lingkungan multi-akun di mana satu akun administrator Security Hub mengelola beberapa akun anggota.
Inisiasi acara menyebabkan beberapa pemanggilan paralel jika Anda mengubah banyak kontrol dalam jangka waktu yang sangat singkat. Hal ini dapat menyebabkan pelambatan API dan menyebabkan pemanggilan gagal. Misalnya, skenario ini dapat terjadi jika Anda secara terprogram mengubah banyak kontrol dengan menggunakan Security Hub Controls CLI.

Arsitektur

Diagram berikut menunjukkan contoh AWS Step Functions alur kerja yang menonaktifkan kontrol standar Security Hub di beberapa akun anggota Security Hub (seperti yang dilihat dari akun administrator Security Hub).

Diagram mencakup alur kerja berikut:

EventBridge Aturan Amazon dimulai pada jadwal harian dan memanggil mesin negara. Anda dapat mengubah waktu aturan dengan memperbarui Schedule parameter di AWS CloudFormation template Anda.
EventBridge Aturan dimulai setiap kali kontrol diaktifkan atau dinonaktifkan di akun administrator Security Hub.
Mesin status Step Functions menyebarkan status kontrol standar keamanan (yaitu kontrol yang diaktifkan atau dinonaktifkan) dari akun administrator Security Hub ke akun anggota.
Peran lintas akun AWS Identity and Access Management (IAM) digunakan di setiap akun anggota dan diasumsikan oleh mesin negara. Mesin negara mengaktifkan atau menonaktifkan kontrol di setiap akun anggota.
Tabel Amazon DynamoDB berisi pengecualian dan informasi tentang kontrol mana yang akan diaktifkan atau dimatikan di akun tertentu. Informasi ini mengesampingkan konfigurasi yang diambil dari akun administrator Security Hub untuk akun anggota yang ditentukan.

catatan

Tujuan dari EventBridge aturan terjadwal adalah untuk memastikan bahwa akun anggota Security Hub yang baru ditambahkan memiliki status kontrol yang sama dengan akun yang ada.

Alat

Layanan AWS

Amazon DynamoDB adalah layanan database NoSQL yang dikelola sepenuhnya yang menyediakan kinerja yang cepat, dapat diprediksi, dan terukur.
Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS
AWS Command Line Interface (AWS CLI) adalah alat sumber terbuka yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda.
AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
AWS Serverless Application Model (AWS SAM) adalah kerangka kerja sumber terbuka yang membantu Anda membangun aplikasi tanpa server di. AWS Cloud
AWS Security Hubmemberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
AWS Step Functionsadalah layanan orkestrasi tanpa server yang membantu Anda menggabungkan AWS Lambda fungsi dan lainnya Layanan AWS untuk membangun aplikasi bisnis yang penting.

Repositori kode

Kode untuk pola ini tersedia di repositori GitHub AWS Security Hub Cross-Account Controls Disabler. Repositori kode berisi file dan folder berikut:

UpdateMembers/template.yaml - File ini berisi komponen yang digunakan di akun administrator Security Hub, termasuk mesin status Step Functions dan aturannya. EventBridge
member-iam-role/template.yaml - File ini berisi kode untuk menyebarkan peran IAM lintas akun di akun anggota.
StateMachine.json - File ini mendefinisikan alur kerja mesin negara.
GetMembers/index.py - File ini berisi kode untuk mesin GetMembersnegara. Skrip mengambil status kontrol standar keamanan di semua akun anggota Security Hub yang ada.
UpdateMember/index.py - File ini berisi skrip yang memperbarui status kontrol di setiap akun anggota.
CheckResult/index.py - File ini berisi skrip yang memeriksa status pemanggilan alur kerja (diterima atau gagal).

Epik

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Identifikasi ID akun akun administrator Security Hub.	Siapkan akun administrator Security Hub, lalu catat ID akun akun administrator.	Arsitek awan
Terapkan CloudFormation template yang menyertakan peran IAM lintas akun di akun anggota.	Untuk menerapkan template member-iam-role/template.yaml di semua akun anggota yang dikelola oleh akun administrator Security Hub, jalankan perintah berikut: `aws cloudformation deploy \ --template-file member-iam-role/template.yaml \ --capabilities CAPABILITY_NAMED_IAM \ --stack-name <your-stack-name> \ --parameter-overrides SecurityHubAdminAccountId=<account-ID>` `SecurityHubAdminAccountId`Parameter harus cocok dengan ID akun administrator Security Hub yang Anda catat sebelumnya.	AWS DevOps

Identifikasi ID akun akun administrator Security Hub.

Siapkan akun administrator Security Hub, lalu catat ID akun akun administrator.

Arsitek awan

Terapkan CloudFormation template yang menyertakan peran IAM lintas akun di akun anggota.

Untuk menerapkan template member-iam-role/template.yaml di semua akun anggota yang dikelola oleh akun administrator Security Hub, jalankan perintah berikut:


aws cloudformation deploy \
   --template-file member-iam-role/template.yaml \
   --capabilities CAPABILITY_NAMED_IAM \
   --stack-name <your-stack-name> \
   --parameter-overrides SecurityHubAdminAccountId=<account-ID>

SecurityHubAdminAccountIdParameter harus cocok dengan ID akun administrator Security Hub yang Anda catat sebelumnya.

AWS DevOps

Tugas Deskripsi Keterampilan yang dibutuhkan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Package CloudFormation template yang menyertakan mesin negara dengan AWS SAM.	Untuk mengemas UpdateMemberstemplate /template.yaml di akun administrator Security Hub, jalankan perintah berikut: `sam package \ --template-file UpdateMembers/template.yaml \ --output-template-file UpdateMembers/template-out.yaml \ --s3-bucket <amzn-s3-demo-bucket>` catatan Bucket Amazon Simple Storage Service (Amazon S3) harus Wilayah AWS sama dengan tempat Anda menerapkan template. CloudFormation	AWS DevOps
Menerapkan CloudFormation template paket di akun administrator Security Hub.	Untuk menerapkan CloudFormation template di akun administrator Security Hub, jalankan perintah berikut: `aws cloudformation deploy \ --template-file UpdateMembers/template-out.yaml \ --capabilities CAPABILITY_IAM \ --stack-name <stack-name>` Dalam member-iam-roletemplate /template.yaml, parameter harus cocok dengan `MemberIAMRolePath` parameter dan harus cocok. `IAMRolePath` `MemberIAMRoleName` `IAMRoleName` catatan Karena Security Hub adalah layanan regional, Anda harus menerapkan template satu per satu di masing-masing Wilayah AWS. Pastikan untuk mengemas solusi terlebih dahulu ke dalam bucket Amazon S3 di setiap Wilayah.	AWS DevOps

Package CloudFormation template yang menyertakan mesin negara dengan AWS SAM.

Untuk mengemas UpdateMemberstemplate /template.yaml di akun administrator Security Hub, jalankan perintah berikut:


sam package \
   --template-file UpdateMembers/template.yaml \
   --output-template-file UpdateMembers/template-out.yaml \
   --s3-bucket <amzn-s3-demo-bucket>

catatan

Bucket Amazon Simple Storage Service (Amazon S3) harus Wilayah AWS sama dengan tempat Anda menerapkan template. CloudFormation

AWS DevOps

Menerapkan CloudFormation template paket di akun administrator Security Hub.

Untuk menerapkan CloudFormation template di akun administrator Security Hub, jalankan perintah berikut:


aws cloudformation deploy \
   --template-file UpdateMembers/template-out.yaml \
   --capabilities CAPABILITY_IAM \
   --stack-name <stack-name>

Dalam member-iam-roletemplate /template.yaml, parameter harus cocok dengan MemberIAMRolePath parameter dan harus cocok. IAMRolePath MemberIAMRoleName IAMRoleName

catatan

Karena Security Hub adalah layanan regional, Anda harus menerapkan template satu per satu di masing-masing Wilayah AWS. Pastikan untuk mengemas solusi terlebih dahulu ke dalam bucket Amazon S3 di setiap Wilayah.

AWS DevOps

Sumber daya terkait

Menunjuk akun administrator Security Hub (dokumentasi Security Hub)
Menangani Kesalahan, Mencoba Ulang, dan menambahkan Peringatan ke Eksekusi Mesin AWS Step Functions Negara (posting blog)AWS

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Merampingkan manajemen EC2 kepatuhan Amazon dengan agen Amazon Bedrock dan AWS Config

Perbarui kredensyal dari IAM Identity Center menggunakan PowerShell