As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitoramento de segurança para AWS CloudHSM
Por padrão, AWS CloudHSM coleta seus registros de auditoria do HSM e os envia para a Amazon CloudWatch Logs em seu nome. Eventos relacionados à segurança também estão incluídos nesses dados de registro. Recomendamos que você monitore os registros em busca de eventos relacionados à segurança, como a criação ou exclusão de determinados tipos de usuários ou falhas de login.
Você não pode criar um alarme diretamente no fluxo de log. Primeiro, você deve configurar um filtro métrico de CloudWatch registros e, em seguida, criar um alarme no filtro métrico.
A seção descreve como configurar filtros CloudWatch métricos e alarmes para os seguintes eventos relacionados à segurança em: AWS CloudHSM
Esta seção também descreve como configurar uma EventBridge regra da Amazon para os seguintes eventos relacionados à segurança em: AWS CloudHSM
Criação de oficiais de criptografia (recomendado)
Um oficial de AWS CloudHSM criptografia (CO) pode realizar operações de gerenciamento de usuários. Por exemplo, eles podem criar e excluir usuários e alterar as senhas dos usuários. Portanto, é importante rastrear e monitorar a criação de novos para que você COs possa detectar quaisquer riscos de segurança, como acesso não autorizado ou permissões com privilégios excessivos.
A tabela a seguir mostra os valores de configuração do filtro métrico. Para obter instruções sobre como configurar um filtro métrico, consulte Criar um filtro métrico para um grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Padrão |
|
| Nome do grupo de logs | <Nome do grupo de registros do cluster> AWS CloudHSM |
| Nome da métrica |
|
| namespace de métrica | <Your custom namespace> |
| Valor da métrica |
|
A tabela a seguir mostra os valores de configuração do alarme. Para obter instruções sobre como configurar esse alarme, consulte Criar um CloudWatch alarme com base em um filtro métrico de grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Estatística |
|
| Tipo de limite |
|
| Sempre que a duração for |
|
| Than |
|
Criação de usuários criptográficos (recomendado)
Um usuário AWS CloudHSM criptográfico (UC) pode realizar operações criptográficas e de gerenciamento de chaves no HSM. Portanto, é importante rastrear e monitorar a criação de novos para que você CUs possa detectar quaisquer riscos de segurança, como o uso não autorizado de chaves de criptografia ou permissões com privilégios excessivos.
A tabela a seguir mostra os valores de configuração do filtro métrico. Para obter instruções sobre como configurar um filtro métrico, consulte Criar um filtro métrico para um grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Padrão |
|
| Nome do grupo de logs | <Nome do grupo de registros do cluster> AWS CloudHSM |
| Nome da métrica |
|
| namespace de métrica | <Your custom namespace> |
| Valor da métrica |
|
A tabela a seguir mostra os valores de configuração do alarme. Para obter instruções sobre como configurar esse alarme, consulte Criar um CloudWatch alarme com base em um filtro métrico de grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Estatística |
|
| Tipo de limite |
|
| Sempre que a duração for |
|
| Than |
|
Exclusão de agentes ou usuários de criptomoedas (recomendado)
Semelhante ao rastreamento da criação de COs e CUs, é importante rastrear a exclusão desses tipos de usuário. O rastreamento da exclusão de usuários pode ajudar você a detectar problemas de acesso e identificar possíveis violações de segurança.
A tabela a seguir mostra os valores de configuração do filtro métrico. Para obter instruções sobre como configurar um filtro métrico, consulte Criar um filtro métrico para um grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Padrão |
|
| Nome do grupo de logs | <Nome do grupo de registros do cluster> AWS CloudHSM |
| Nome da métrica |
|
| namespace de métrica | <Your custom namespace> |
| Valor da métrica |
|
A tabela a seguir mostra os valores de configuração do alarme. Para obter instruções sobre como configurar esse alarme, consulte Criar um CloudWatch alarme com base em um filtro métrico de grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Estatística |
|
| Tipo de limite |
|
| Sempre que a duração for |
|
| Than |
|
Entrada de nomes de usuário incorretos (recomendado)
Recomendamos que você monitore as tentativas de login com um nome de usuário incorreto. Isso pode indicar que alguém está tentando obter acesso não autorizado. Para ajudar a evitar a fadiga do alerta, o alarme é acionado se um usuário digitar o nome de usuário errado duas ou mais vezes. Você pode configurar esse valor conforme necessário para sua organização e suas políticas.
A tabela a seguir mostra os valores de configuração do filtro métrico. Para obter instruções sobre como configurar um filtro métrico, consulte Criar um filtro métrico para um grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Padrão |
|
| Nome do grupo de logs | <Nome do grupo de registros do cluster> AWS CloudHSM |
| Nome da métrica |
|
| namespace de métrica | <Your custom namespace> |
| Valor da métrica |
|
A tabela a seguir mostra os valores de configuração do alarme. Para obter instruções sobre como configurar esse alarme, consulte Criar um CloudWatch alarme com base em um filtro métrico de grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Estatística |
|
| Tipo de limite |
|
| Sempre que a duração for |
|
| Than |
|
Entrada de senhas incorretas (recomendado)
Recomendamos que você monitore as tentativas de login com uma senha incorreta. Isso pode indicar que alguém está tentando obter acesso não autorizado. Para ajudar a evitar o cansaço do alerta, o alarme é acionado se um usuário digitar a senha errada duas ou mais vezes. Você pode configurar esse valor conforme necessário para sua organização e suas políticas.
A tabela a seguir mostra os valores de configuração do filtro métrico. Para obter instruções sobre como configurar um filtro métrico, consulte Criar um filtro métrico para um grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Padrão |
|
| Nome do grupo de logs | <Nome do grupo de registros do cluster> AWS CloudHSM |
| Nome da métrica |
|
| namespace de métrica | <Your custom namespace> |
| Valor da métrica |
|
A tabela a seguir mostra os valores de configuração do alarme. Para obter instruções sobre como configurar esse alarme, consulte Criar um CloudWatch alarme com base em um filtro métrico de grupo de CloudWatch registros na documentação de registros.
| Propriedade | Valor |
|---|---|
| Namespace | <Custom namespace you created for the metric filter> |
| Estatística |
|
| Tipo de limite |
|
| Sempre que a duração for |
|
| Than |
|
Chamadas de API relacionadas à segurança (recomendado)
O monitoramento das chamadas de DeleteHsmCopyBackupToRegion, e ModifyCluster da API AWS CloudHSM pode fornecer uma supervisão crítica das operações de alto impacto. Essas chamadas de API podem alterar a postura de segurança e o estado operacional da AWS CloudHSM infraestrutura.
Ao implementar alertas quase em tempo real para essas chamadas de API, você pode detectar e responder prontamente a alterações potencialmente não autorizadas ou acidentais nos clusters. HSMs Os alarmes fornecem notificações sobre ações que podem afetar a disponibilidade da chave criptográfica, as transferências de dados entre regiões ou as configurações de cluster. A vigilância é essencial para manter a integridade e a disponibilidade de operações criptográficas confidenciais. Os alarmes ajudam você a manter a conformidade com as políticas de segurança e facilitam a resposta rápida a incidentes. Em última análise, essa abordagem de monitoramento direcionado aprimora a governança geral da segurança de seus AWS CloudHSM recursos, pois fornece às partes interessadas informações oportunas sobre mudanças críticas que podem exigir atenção ou revisão imediatas.
AWS CloudHSM é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura todas as chamadas de API AWS CloudHSM como eventos. Na Amazon EventBridge, você pode criar uma regra que monitora CloudTrail os eventos associados aoDeleteHsm,CopyBackupToRegion, e as chamadas de ModifyCluster API para AWS CloudHSM. Você pode configurar um alvo que receberá alertas quando o evento ocorrer. Recomendamos que você configure um tópico do Amazon Simple Notification Service (Amazon SNS) porque ele permite alertas quase em tempo real quando essas operações críticas são realizadas.
Ao criar uma EventBridge regra, você pode personalizar o texto que é passado para o destino da regra. O transformador de entrada extrai campos específicos do evento e os formata em uma mensagem concisa e informativa. O alerta resultante fornece contexto imediato sobre o evento, incluindo a Conta da AWS chamada específica da API, a hora do evento e a identidade do usuário que realizou a ação. Região da AWS
Para criar a EventBridge regra
-
Siga as instruções em Definir a regra para inserir um nome e uma descrição personalizados para sua regra.
-
Siga as instruções em Criar o padrão do evento. Escolha Padrão personalizado (editor JSON) e, em seguida, insira o seguinte padrão de evento:
{ "source": ["aws.cloudhsm"], "detail-type": ["AWS API Call via CloudTrail"], "detail": { "eventSource": ["cloudhsm.amazonaws.com"], "eventName": ["DeleteHsm", "CopyBackupToRegion", "ModifyCluster"] } } -
Siga as instruções em Selecionar alvos e observe o seguinte:
-
Escolha o tópico do Amazon SNS que receberá eventos que correspondam ao padrão especificado.
-
Em Configurações adicionais, para Configurar entrada de destino, escolha Transformador de entrada.
-
Escolha Configurar o transformador de entrada.
-
Em Caminho de entrada, insira o seguinte:
{ "account": "$.account", "region": "$.region", "eventName": "$.detail.eventName", "eventTime": "$.detail.eventTime", "userIdentity": "$.detail.userIdentity.arn" } -
Em Modelo, insira o seguinte:
{ "account": <account>, "region": <region>, "message": "Critical AWS CloudHSM operation detected: <eventName> was performed at <eventTime> by <userIdentity>" }
-
-
Siga as instruções em Configurar tags e revisar a regra para concluir a criação da regra.