As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Automatize a remediação para descobertas padrão AWS Security Hub
Criado por Chandini Penmetsa (AWS) e Aromal Raj Jayarajan (AWS)
Resumo
Com AWS Security Hub, você pode habilitar verificações de melhores práticas padrão, como as seguintes:
AWS Melhores práticas básicas de segurança
Referência do CIS AWS Foundations
Padrão de segurança de dados do setor de cartão de pagamento (PCI DSS – Payment Card Industry Data Security Standard)
Cada um desses padrões tem controles predefinidos. O Security Hub verifica o controle em um dado Conta da AWS e relata as descobertas.
AWS Security Hub envia todas as descobertas para a Amazon EventBridge por padrão. Esse padrão fornece um controle de segurança que implanta uma EventBridge regra para identificar as descobertas padrão das Melhores AWS Práticas de Segurança Fundamental. A regra identifica as seguintes descobertas para escalabilidade automática, nuvens privadas virtuais (VPCs), Amazon Elastic Block Store (Amazon EBS) e Amazon Relational Database Service (Amazon RDS) do padrão Foundational Security Best Practices: AWS
[AutoScaling.1] Grupos de Auto Scaling associados a um balanceador de carga devem usar verificações de integridade do balanceador de carga
[EC2.2] O grupo de segurança padrão da VPC não deve permitir tráfego de entrada e saída
[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
[RDS.1] Os snapshots do RDS devem ser privados
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias e clusters de banco de dados do RDS
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
A EventBridge regra encaminha essas descobertas para uma AWS Lambda função, que corrige a descoberta. A função do Lambda então envia uma notificação com informações de remediação para um tópico do Amazon Simple Notification Service (Amazon SNS).
Pré-requisitos e limitações
Pré-requisitos
Um ativo Conta da AWS
Um endereço de e-mail no qual você deseja receber a notificação de remediação
Security Hub e AWS Config habilitado no Região da AWS local em que você pretende implantar o controle
Um bucket do Amazon Simple Storage Service (Amazon S3) na mesma região do controle para carregar o código AWS Lambda
Limitações
Esse controle de segurança corrige automaticamente as novas descobertas relatadas após a implantação do controle de segurança. Para corrigir as descobertas existentes, selecione as descobertas manualmente no console do Security Hub. Em seguida, em Ações, selecione a ação AFSBPRemedypersonalizada que foi criada como parte da implantação por AWS CloudFormation.
Esse controle de segurança é regional e deve ser implantado no local Regiões da AWS que você pretende monitorar.
Para a solução EC2 6.6, para habilitar os VPC Flow Logs, um grupo de logs do CloudWatch Amazon Logs será criado
/VpcFlowLogs/vpc_idcom o formato. Se existir um grupo de logs com o mesmo nome, o grupo de logs existente será usado.Para a solução EC2 7.7, para habilitar a criptografia padrão do Amazon EBS, a chave default AWS Key Management Service (AWS KMS) é usada. Essa alteração impede o uso de determinadas instâncias que não são compatíveis com a criptografia.
Arquitetura
Pilha de tecnologias de destino
Função do Lambda
Tópico do Amazon SNS
EventBridge regra
AWS Identity and Access Management Funções (IAM) para a função Lambda, VPC Flow Logs e Amazon RDS Enhanced Monitoring
Arquitetura de destino
Automação e escala
Se você estiver usando AWS Organizations, você pode usar AWS CloudFormation StackSetspara implantar esse modelo em várias contas que você deseja monitorar.
Ferramentas
AWS CloudFormationé um serviço que ajuda você a modelar e configurar AWS recursos usando a infraestrutura como código.
EventBridgeA Amazon fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos de software como serviço (SaaS) e Serviços da AWS roteia esses dados para destinos como funções Lambda.
AWS Lambdasuporta a execução de código sem provisionar ou gerenciar servidores.
O Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos altamente escalável que você pode usar para uma ampla variedade de soluções de armazenamento, incluindo sites, aplicativos móveis, backups e data lakes.
O Amazon Simple Notification Service (Amazon SNS) coordena e gerencia a entrega ou o envio de mensagens entre editores e clientes, incluindo servidores web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.
Práticas recomendadas
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Defina o bucket do Amazon S3. | No console do Amazon S3, escolha ou crie um bucket do Amazon S3 com um nome exclusivo que não contenha barras iniciais. O nome de um bucket do Amazon S3 é globalmente exclusivo e o namespace é compartilhado por todos. Contas da AWS Seu bucket do Amazon S3 deve estar na mesma região das descobertas do Security Hub que estão sendo avaliadas. | Arquiteto de nuvem |
Faça o upload do código Lambda para o bucket do Amazon S3. | Faça o upload do arquivo.zip do código Lambda fornecido na seção “Anexos” para o bucket definido do Amazon S3. | Arquiteto de nuvem |
Implante o AWS CloudFormation modelo. | Implante o AWS CloudFormation modelo fornecido como anexo a esse padrão. No próximo épico, forneça os valores para os parâmetros. | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Forneça o nome do bucket do Amazon S3. | Insira o nome do bucket do Amazon S3 que você criou no primeiro épico. | Arquiteto de nuvem |
Forneça o prefixo do Amazon S3. | Forneça a localização do arquivo.zip do código Lambda em seu bucket do Amazon S3, sem barras iniciais (por exemplo,). | Arquiteto de nuvem |
Forneça o ARN do tópico do Amazon SNS. | Se você quiser usar um tópico existente do Amazon SNS para notificações de remediação, forneça o Amazon Resource Name (ARN) do tópico do Amazon SNS. Se você quiser usar um novo tópico do Amazon SNS, mantenha o valor como | Arquiteto de nuvem |
Forneça um endereço de e-mail. | Forneça um endereço de e-mail no qual você deseja receber as notificações de remediação (necessárias somente quando você AWS CloudFormation deseja criar o tópico do Amazon SNS). | Arquiteto de nuvem |
Defina o nível de registro em log. | Defina o nível de registro em log e a frequência da sua função do Lambda. | Arquiteto de nuvem |
Forneça o ARN da função do IAM para os registros de fluxo da VPC. | Forneça o ARN da função do IAM a ser usada nos registros de fluxo da VPC. Se você entrar | Arquiteto de nuvem |
Forneça o ARN da função do IAM para o monitoramento aprimorado do Amazon RDS. | Forneça o ARN da função do IAM a ser usada para o monitoramento aprimorado do Amazon RDS. Se você entrar | Arquiteto de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Confirmar a assinatura do Amazon SNS. | Quando o modelo é implantado com sucesso, se um novo tópico do Amazon SNS foi criado, uma mensagem de assinatura é enviada para o endereço de e-mail que você forneceu. Para receber notificações de remediação, você deve confirmar essa mensagem de assinatura de e-mail. | Arquiteto de nuvem |
Recursos relacionados
Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip
