Casi d'uso di integrazione e autorizzazioni richieste - AWS Security Hub CSPM
Ospitato dal partner: risultati inviati dall'account del partnerOspitato dal partner: risultati inviati dall'account del clienteCustomer hosted: risultati inviati dall'account del cliente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Casi d'uso di integrazione e autorizzazioni richieste

AWS Security Hub CSPMconsente AWS ai clienti di ricevere i risultati dai partner APN. I prodotti del partner possono funzionare all'interno o all'esterno dell'AWSaccount del cliente. La configurazione delle autorizzazioni nell'account del cliente varia in base al modello utilizzato dal prodotto partner.

In Security Hub CSPM, il cliente controlla sempre quali partner possono inviare i risultati all'account del cliente. I clienti possono revocare le autorizzazioni di un partner in qualsiasi momento.

Per consentire a un partner di inviare i risultati di sicurezza al proprio account, il cliente sottoscrive innanzitutto il prodotto partner in Security Hub CSPM. La fase di sottoscrizione è necessaria per tutti i casi d'uso descritti di seguito. Per i dettagli su come i clienti gestiscono le integrazioni dei prodotti, consulta Gestire le integrazioni dei prodotti nella Guida per l'AWS Security Hubutente.

Dopo che un cliente si abbona a un prodotto partner, Security Hub CSPM crea automaticamente una politica delle risorse gestite. La politica concede al prodotto partner l'autorizzazione a utilizzare l'operazione BatchImportFindingsAPI per inviare i risultati al Security Hub CSPM per l'account del cliente.

Ecco i casi più comuni di prodotti partner che si integrano con Security Hub CSPM. Le informazioni includono le autorizzazioni aggiuntive richieste per ogni caso d'uso.

Ospitato dal partner: risultati inviati dall'account del partner

Questo caso d'uso riguarda i partner che ospitano un prodotto AWS sul proprio account. Per inviare i risultati di sicurezza relativi a un AWS cliente, il partner richiama l'operazione BatchImportFindingsAPI dall'account del prodotto del partner.

In questo caso d'uso, l'account cliente necessita solo delle autorizzazioni stabilite quando il cliente si abbona al prodotto partner.

Nell'account partner, il principale IAM che chiama l'operazione BatchImportFindingsAPI deve disporre di una policy IAM che consenta al principale di effettuare chiamate. BatchImportFindings

Consentire a un prodotto partner di inviare i risultati al cliente in Security Hub CSPM è un processo in due fasi:

  1. Il cliente crea un abbonamento a un prodotto partner in Security Hub CSPM.

  2. Security Hub CSPM genera la corretta politica delle risorse gestite con la conferma del cliente.

Per inviare i risultati di sicurezza relativi all'account del cliente, il prodotto partner utilizza le proprie credenziali per richiamare l'BatchImportFindingsoperazione API.

Ecco un esempio di policy IAM che concede al principale dell'account partner le necessarie autorizzazioni CSPM di Security Hub.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:*:product-subscription/company-name/product-name"
        }
    ]
}

Ospitato dal partner: risultati inviati dall'account del cliente

Questo caso d'uso riguarda i partner che ospitano un prodotto nel proprio AWS account, ma utilizzano un ruolo interaccount per accedere all'account del cliente. Richiamano il funzionamento dell'BatchImportFindingsAPI dall'account del cliente.

In questo caso d'uso, per richiamare l'operazione BatchImportFindingsAPI, l'account partner assume un ruolo IAM gestito dal cliente nell'account del cliente.

Questa chiamata viene effettuata dall'account del cliente. Pertanto, la politica delle risorse gestite deve consentire l'utilizzo dell'ARN del prodotto per l'account del prodotto partner nella chiamata. La politica delle risorse gestite CSPM di Security Hub concede l'autorizzazione per l'account del prodotto partner e l'ARN del prodotto partner. L'ARN del prodotto è l'identificatore univoco del partner come fornitore. Poiché la chiamata non proviene dall'account del prodotto partner, il cliente deve concedere esplicitamente l'autorizzazione al prodotto partner per inviare i risultati a Security Hub CSPM.

La migliore pratica per i ruoli interaccount tra account partner e account cliente consiste nell'utilizzare un identificatore esterno fornito dal partner. Questo identificatore esterno fa parte della definizione della politica tra account diversi nell'account del cliente. Il partner deve fornire l'identificatore quando assume il ruolo. Un identificatore esterno fornisce un ulteriore livello di sicurezza quando si concede l'accesso all'AWSaccount a un partner. L'identificatore univoco garantisce che il partner utilizzi l'account cliente corretto.

L'abilitazione di un prodotto partner a inviare i risultati al cliente in Security Hub CSPM con un ruolo multiaccount avviene in quattro fasi:

  1. Il cliente, o il partner che utilizza ruoli interaccount che lavorano per conto del cliente, avvia l'abbonamento a un prodotto in Security Hub CSPM.

  2. Security Hub CSPM genera la corretta politica delle risorse gestite con la conferma del cliente.

  3. Il cliente configura il ruolo tra account diversi manualmente o utilizzando. CloudFormation Per informazioni sui ruoli tra account diversi, consulta Fornire l'accesso agli AWS account di proprietà di terze parti nella IAM User Guide.

  4. Il prodotto archivia in modo sicuro il ruolo del cliente e l'ID esterno.

Successivamente, il prodotto invia i risultati al Security Hub CSPM:

  1. Il prodotto chiama il AWS Security Token Service (AWS STS) per assumere il ruolo di cliente.

  2. Il prodotto richiama l'operazione BatchImportFindingsAPI su Security Hub CSPM con le credenziali temporanee del ruolo assunto.

Ecco un esempio di policy IAM che concede le necessarie autorizzazioni CSPM di Security Hub al ruolo cross-account del partner.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-1:111122223333:product-subscription/company-name/product-name"
        }
    ]
}

La Resource sezione della policy identifica l'abbonamento specifico del prodotto. Ciò garantisce che il partner possa inviare solo i risultati relativi al prodotto partner a cui il cliente è abbonato.

Customer hosted: risultati inviati dall'account del cliente

Questo caso d'uso riguarda i partner che dispongono di un prodotto distribuito nell'AWSaccount del cliente. L'BatchImportFindingsAPI viene richiamata dalla soluzione in esecuzione nell'account del cliente.

In questo caso d'uso, al prodotto partner devono essere concesse autorizzazioni aggiuntive per chiamare l'BatchImportFindingsAPI. Il modo in cui viene concessa questa autorizzazione varia in base alla soluzione del partner e a come è configurata nell'account del cliente.

Un esempio di questo approccio è un prodotto partner che viene eseguito su un' EC2 istanza nell'account del cliente. A questa EC2 istanza deve essere associato un ruolo di EC2 istanza che consenta a tale istanza di richiamare l'operazione BatchImportFindingsAPI. Ciò consente all' EC2 istanza di inviare i risultati di sicurezza all'account del cliente.

Questo caso d'uso è funzionalmente equivalente a uno scenario in cui un cliente carica nel proprio account i risultati di un prodotto di sua proprietà.

Il cliente consente al prodotto partner di inviare i risultati dall'account del cliente al cliente in Security Hub CSPM:

  1. Il cliente implementa manualmente il prodotto partner nel proprio AWS account utilizzando o un altro CloudFormation strumento di implementazione.

  2. Il cliente definisce la politica IAM necessaria per il prodotto partner da utilizzare quando invia i risultati a Security Hub CSPM.

  3. Il cliente allega la policy ai componenti necessari del prodotto partner, come un' EC2 istanza, un contenitore o una funzione Lambda.

Ora il prodotto può inviare i risultati al Security Hub CSPM:

  1. Il prodotto partner utilizza l'AWSSDK o AWS CLI per chiamare l'operazione BatchImportFindingsAPI in Security Hub CSPM. Effettua la chiamata dal componente dell'account del cliente a cui è allegata la politica.

  2. Durante la chiamata API, vengono generate le credenziali temporanee necessarie per consentire l'esito positivo della BatchImportFindingschiamata.

Ecco un esempio di policy IAM che concede le necessarie autorizzazioni CSPM Security Hub al prodotto partner nell'account cliente.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "securityhub:BatchImportFindings",
            "Resource": "arn:aws:securityhub:us-west-2:111122223333:product-subscription/company-name/product-name"
        }
    ]
}