View a markdown version of this page

Panoramica dell'architettura - Risposta di sicurezza automatizzata su AWS
Diagramma architetturale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica dell'architettura

Questa sezione fornisce un diagramma dell'architettura di implementazione di riferimento per i componenti distribuiti con questa soluzione.

Diagramma architetturale

La distribuzione di questa soluzione con i parametri predefiniti crea il seguente ambiente nel cloud AWS.

Security Response automatizzato sull'architettura AWS

diagramma di risposta di sicurezza automatizzata sul diagramma dell'architettura aws
Nota

Le CloudFormation risorse AWS vengono create a partire da costrutti di AWS Cloud Development Kit (AWS CDK).

Il flusso di alto livello per i componenti della soluzione distribuiti con il CloudFormation modello AWS è il seguente:

  1. Detect: AWS Security Hub offre ai clienti una visione completa del loro stato di sicurezza AWS. Li aiuta a misurare il loro ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon Guard Duty e AWS Firewall Manager. Questi eventi e dati vengono analizzati rispetto a standard di sicurezza, come CIS AWS Foundations Benchmark. Le eccezioni vengono dichiarate come risultati nella console AWS Security Hub. Le nuove scoperte vengono inviate come EventBridge eventi Amazon.

  2. Ascolta: EventBridge gli eventi vengono emessi da AWS Security Hub per ogni risultato creato o modificato dal servizio. Automated Security Response on AWS (ASR) implementa due EventBridge regole che ascoltano la ricerca di eventi generati da AWS Security Hub:

    • EventBridge Regola d'azione personalizzata: ascolta gli eventi di azioni personalizzate emessi da AWS Security Hub CSPM quando l'azione personalizzata «Remediate with ASR» viene attivata da un utente. L'evento viene inoltrato all'Orchestrator per la correzione.

    • EventBridge Regola dei risultati: ascolta tutti gli eventi di creazione o aggiornamento dei risultati emessi da AWS Security Hub e AWS Security Hub CSPM. Questi eventi vengono inoltrati alla coda SQS del preprocessore per un'ulteriore elaborazione.

  3. Avvia: è possibile avviare le riparazioni manualmente o configurarle per l'esecuzione automatica. Per eseguire una riparazione manualmente, puoi utilizzare l'interfaccia utente Web distribuita dalla soluzione o la funzionalità di azioni personalizzate in AWS Security Hub CSPM. Dopo test accurati in un ambiente non di produzione, puoi anche attivare riparazioni automatiche. È possibile attivare le automazioni per le singole riparazioni: non è necessario attivare gli avviamenti automatici per tutte le riparazioni. Per configurare le riparazioni in modo che vengano eseguite automaticamente, consulta la pagina Abilita le riparazioni completamente automatizzate.

  4. Pre-riparazione: nell'account amministratore, AWS Step Functions elabora l'evento di riparazione e lo prepara per la pianificazione.

  5. Pianificazione: la soluzione richiama la funzione di pianificazione di AWS Lambda per inserire l'evento di riparazione nella tabella di stato di Amazon DynamoDB.

  6. Orchestrate: nell'account amministratore, Step Functions utilizza ruoli AWS Identity and Access Management (IAM) multiaccount. Step Functions richiama la correzione nell'account membro contenente la risorsa che ha prodotto il risultato di sicurezza.

  7. Correzione: un documento AWS Systems Manager Automation nell'account membro esegue l'azione necessaria per correggere il risultato sulla risorsa di destinazione, come disabilitare l'accesso pubblico Lambda.

    Facoltativamente, puoi abilitare la funzionalità Action Log negli stack dei membri con il parametro Log. EnableCloudTrailFor ASRAction Questa funzionalità acquisisce le azioni intraprese dalla soluzione nei tuoi account Membro e le visualizza nella CloudWatch dashboard Amazon della soluzione.

  8. (Facoltativo) Crea un ticket: se utilizzi il TicketGenFunctionNameparametro per abilitare il ticketing nello stack di amministrazione, la soluzione richiama la funzione Lambda del generatore di ticket fornita. Questa funzione Lambda crea un ticket nel servizio di biglietteria dopo che la riparazione è stata eseguita correttamente nell'account del membro. Forniamo stack per l'integrazione con Jira e. ServiceNow

  9. Notifica e registra: il playbook registra i risultati in un gruppo di CloudWatch log, invia una notifica a un argomento di Amazon Simple Notification Service (Amazon SNS) e aggiorna i risultati del Security Hub. La soluzione mantiene una traccia di controllo delle azioni nelle note dei risultati.