UO de segurança | Conta do Security Tooling - AWS Orientação prescritiva
Administrador delegado para serviços de segurançaAcesso root centralizadoAWS CloudTrailAWS Security Hub CSPMAWS Security HubAmazon GuardDutyAWS ConfigAmazon Security LakeAmazon MacieIAM Access AnalyzerAWS Firewall ManagerAmazon EventBridgeAmazon DetectiveAWS Audit ManagerAWS ArtifactAWS KMSAWS Private CAAmazon InspectorAWS Security Incident ResponseImplantando serviços de segurança comuns em todos Contas da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

UO de segurança | Conta do Security Tooling

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

O diagrama a seguir ilustra os serviços AWS de segurança que estão configurados na conta do Security Tooling.

Serviços de segurança para a conta do Security Tooling.

A conta do Security Tooling é dedicada a operar serviços de segurança Contas da AWS, monitorar e automatizar alertas e respostas de segurança. Os objetivos de segurança incluem o seguinte:

  • Forneça uma conta dedicada com acesso controlado para gerenciar o acesso às barreiras de segurança, ao monitoramento e à resposta.

  • Mantenha a infraestrutura de segurança centralizada apropriada para monitorar os dados das operações de segurança e manter a rastreabilidade. Detecção, investigação e resposta são partes essenciais do ciclo de vida da segurança e podem ser usadas para apoiar um processo de qualidade, uma obrigação legal ou de conformidade e para esforços de identificação e resposta a ameaças.

  • Apoie ainda mais a estratégia defense-in-depth da organização mantendo outra camada de controle sobre a configuração e as operações de segurança apropriadas, como chaves de criptografia e configurações de grupos de segurança. Essa é uma conta na qual os operadores de segurança trabalham. As funções somente de leitura/auditoria para visualizar informações de AWS toda a organização são típicas, enquanto as write/modify funções são limitadas em número, rigorosamente controladas, monitoradas e registradas.

Considerações sobre design

  • AWS Control Tower nomeia a conta na OU de segurança como Conta de Auditoria por padrão. Você pode renomear a conta durante a AWS Control Tower configuração.

  • Talvez seja apropriado ter mais de uma conta do Security Tooling. Por exemplo, o monitoramento e a resposta a eventos de segurança geralmente são atribuídos a uma equipe dedicada. A segurança da rede pode garantir sua própria conta e funções em colaboração com a infraestrutura de nuvem ou a equipe de rede. Essas divisões mantêm o objetivo de separar os enclaves de segurança centralizados e enfatizam ainda mais a separação de tarefas, privilégios mínimos e a simplicidade potencial das atribuições da equipe. Se você estiver usando AWS Control Tower, isso restringe a criação de adicionais na Contas da AWS OU de segurança.

Administrador delegado para serviços de segurança

A conta do Security Tooling serve como conta de administrador para serviços de segurança que são gerenciados em uma administrator/member estrutura em todo o. Contas da AWS Conforme mencionado anteriormente, isso é feito por meio da funcionalidade de administrador AWS Organizations delegado. Os serviços no AWS SRA que atualmente oferecem suporte ao administrador delegado incluem o gerenciamento centralizado de acesso root pelo IAM,, AWS Firewall Manager Amazon AWS Config, IAM Access Analyzer GuardDuty, Amazon Macie,,, Amazon Detective AWS Security Hub,, AWS Security Hub CSPM Amazon Inspector, AWS Audit Manager, e. AWS CloudTrail AWS Systems Manager Sua equipe de segurança gerencia os recursos de segurança desses serviços e monitora quaisquer eventos ou descobertas específicos de segurança.

AWS IAM Identity Center oferece suporte à administração delegada a uma conta de membro. AWS A SRA usa a conta do Shared Services como a conta de administrador delegado para o IAM Identity Center, conforme explicado posteriormente na seção IAM Identity Center da conta do Shared Services.

Acesso root centralizado

A conta do Security Tooling é a conta de administrador delegado para o gerenciamento centralizado da capacidade de acesso raiz do IAM. Esse recurso deve ser ativado no nível da organização, permitindo o gerenciamento de credenciais e a ação raiz privilegiada nas contas dos membros. Os administradores delegados precisam receber sts:AssumeRoot permissões explícitas para poderem realizar ações raiz privilegiadas em nome das contas dos membros. Essa permissão está disponível somente depois que a ação raiz privilegiada em uma conta de membro é ativada no Gerenciamento da organização ou na conta de administrador delegado. Com essa permissão, os usuários podem realizar tarefas privilegiadas de usuário root nas contas dos membros, centralmente a partir da conta do Security Tooling. Depois de iniciar uma sessão privilegiada, você pode excluir uma política de bucket do S3 mal configurada, excluir uma política de fila SQS mal configurada, excluir as credenciais do usuário raiz de uma conta membro e reativar as credenciais do usuário raiz para uma conta membro. Você pode realizar essas ações no console, usando o AWS Command Line Interface (AWS CLI) ou por meio de APIs.

AWS CloudTrail

AWS CloudTrailé um serviço que oferece suporte à governança, conformidade e auditoria das atividades em seu Conta da AWS. Com CloudTrail, você pode registrar, monitorar continuamente e reter as atividades da conta relacionadas às ações em toda a sua AWS infraestrutura. CloudTrail está integrado com AWS Organizations, e essa integração pode ser usada para criar uma única trilha que registra todos os eventos de todas as contas na AWS organização. Elas são chamadas de trilhas da organização. Você pode criar e gerenciar uma trilha da organização somente de dentro da conta de gerenciamento da organização ou de uma conta de administrador delegado. Quando você cria uma trilha da organização, uma trilha com o nome que você especifica é criada em todas as Conta da AWS que pertencem à sua AWS organização. A trilha registra a atividade de todas as contas, incluindo a conta de gerenciamento, na AWS organização e armazena os registros em um único bucket do S3. Devido à sensibilidade desse bucket do S3, você deve protegê-lo seguindo as melhores práticas descritas na seção Amazon S3 como armazenamento de log central, mais adiante neste guia. Todas as contas da AWS organização podem ver a trilha da organização em sua lista de trilhas. No entanto, os membros Contas da AWS têm acesso somente para visualização a essa trilha. Por padrão, quando você cria uma trilha da organização no CloudTrail console, a trilha é uma trilha multirregional. Para obter mais práticas recomendadas de segurança, consulte a CloudTraildocumentação.

No AWS SRA, a conta do Security Tooling é a conta de administrador delegado para gerenciamento. CloudTrail O bucket do S3 correspondente para armazenar os registros de trilhas da organização é criado na conta do Log Archive. Isso serve para separar o gerenciamento e o uso dos privilégios de CloudTrail log. Para obter informações sobre como criar ou atualizar um bucket do S3 para armazenar arquivos de log para uma trilha organizacional, consulte a CloudTrail documentação. Como prática recomendada de segurança, adicione a chave de aws:SourceArn condição da trilha da organização à política de recursos do bucket do S3 (e a quaisquer outros recursos, como chaves KMS ou tópicos do SNS). Isso garante que o bucket do S3 aceite somente dados associados à trilha específica. A trilha é configurada com a validação do arquivo de log para validação da integridade do arquivo de log. Os arquivos de log e resumo são criptografados usando o SSE-KMS. A trilha da organização também é integrada a um grupo de CloudWatch registros no Logs para enviar eventos para retenção de longo prazo.

nota

Você pode criar e gerenciar trilhas organizacionais a partir das contas de gerenciamento e de administrador delegado. No entanto, como prática recomendada, você deve limitar o acesso à conta de gerenciamento e usar a funcionalidade de administrador delegado onde ela estiver disponível.

Considerações sobre design

  • CloudTrail não registra eventos de dados por padrão, porque geralmente são atividades de alto volume. No entanto, você deve capturar eventos de dados para AWS recursos críticos específicos, como buckets S3, funções Lambda, eventos de log externos AWS que são enviados para o CloudTrail lago e tópicos do SNS. Para fazer isso, configure a trilha da sua organização para incluir eventos de dados ARNs de recursos específicos, especificando cada recurso individual.

  • Se uma conta membro exigir acesso aos arquivos de CloudTrail log de sua própria conta, você poderá compartilhar seletivamente os arquivos de CloudTrail log da organização a partir do bucket central do S3. No entanto, se as contas membros exigirem grupos de CloudWatch registros locais da Amazon para CloudTrail os registros de suas contas ou quiserem configurar o gerenciamento de registros e os eventos de dados (somente leitura, somente gravação, eventos de gerenciamento, eventos de dados) de forma diferente da trilha da organização, elas poderão criar uma trilha local com os controles apropriados. As trilhas específicas da conta local têm um custo adicional.

AWS Security Hub CSPM

AWS Security Hub O Cloud Security Posture Management (AWS Security Hub CSPM), anteriormente conhecido como AWS Security Hub, fornece uma visão abrangente de sua postura de segurança AWS e ajuda você a verificar seu ambiente em relação aos padrões e melhores práticas do setor de segurança. O Security Hub CSPM coleta dados de segurança de vários serviços AWS integrados, produtos de terceiros compatíveis e outros produtos de segurança personalizados que você possa usar. O Security Hub facilita a análise das tendências de segurança e a identificação dos problemas de segurança de maior prioridade. Além das fontes ingeridas, o Security Hub CSPM gera suas próprias descobertas, que são representadas por controles de segurança mapeados para um ou mais padrões de segurança. Esses padrões incluem AWS Foundational Security Best Practices (FSBP), Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 e v1.4.0, National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, Payment Card Industry Data Security Standard (PCI DSS) e padrões gerenciados por serviços. Para obter uma lista dos padrões de segurança atuais e detalhes sobre controles de segurança específicos, consulte a referência de padrões para o CSPM do Security Hub na documentação do CSPM do Security Hub.

O Security Hub CSPM se integra AWS Organizations para simplificar o gerenciamento da postura de segurança em todas as suas contas existentes e futuras em sua organização. AWS Você pode usar o recurso de configuração central do Security Hub CSPM da conta do administrador delegado (nesse caso, o Security Tooling) para especificar como o serviço CSPM, os padrões de segurança e os controles de segurança do Security Hub são configurados nas contas e unidades organizacionais () da sua organização em todas as regiões. OUs  Você pode definir essas configurações em algumas etapas a partir de uma região primária, chamada de região de origem. Se você não usa a configuração central, deve configurar o CSPM do Security Hub separadamente em cada conta e região. O administrador delegado pode designar contas e OUs como autogerenciadas, onde o membro pode definir as configurações separadamente em cada região, ou como gerenciadas centralmente, onde o administrador delegado pode configurar a conta do membro ou a OU em todas as regiões. Você pode designar todas as contas e OUs em sua organização como gerenciadas centralmente, todas autogerenciadas ou uma combinação de ambas. Isso simplifica a aplicação de uma configuração consistente e, ao mesmo tempo, fornece a flexibilidade de modificá-la para cada UO e conta. 

A conta de administrador delegado do Security Hub CSPM também pode visualizar descobertas, ver insights e detalhes de controle de todas as contas dos membros. Além disso, você pode designar uma região de agregação na conta do administrador delegado para centralizar suas descobertas em suas contas e regiões vinculadas. Suas descobertas são sincronizadas de forma contínua e bidirecional entre a região agregadora e todas as outras regiões.

O Security Hub CSPM suporta integrações com vários. Serviços da AWS A Amazon GuardDuty AWS Config, o Amazon Macie, o IAM Access Analyzer, o Amazon AWS Firewall Manager Inspector, o Amazon Route 53 Resolver DNS Firewall e o AWS Systems Manager Patch Manager podem alimentar as descobertas para o CSPM do Security Hub. O Security Hub CSPM processa as descobertas usando um formato padrão chamado AWS Security Finding Format (ASFF). O Security Hub CSPM correlaciona as descobertas em produtos integrados para priorizar os mais importantes. Você pode enriquecer os metadados das descobertas do CSPM do Security Hub para ajudar a contextualizar, priorizar e agir melhor com base nas descobertas de segurança. Esse enriquecimento adiciona tags de recursos, uma nova tag de AWS aplicativo e informações do nome da conta a cada descoberta que é ingerida no CSPM do Security Hub. Isso ajuda você a ajustar as descobertas das regras de automação, pesquisar ou filtrar descobertas e insights e avaliar o status da postura de segurança por aplicativo. Além disso, você pode usar regras de automação para atualizar automaticamente as descobertas. À medida que o Security Hub CSPM ingere as descobertas, ele pode aplicar uma variedade de ações de regras, como suprimir descobertas, alterar sua gravidade e adicionar notas às descobertas. Essas ações de regra entram em vigor quando as descobertas correspondem aos critérios especificados, como o recurso ou IDs a conta à qual a descoberta está associada ou seu título. Você pode usar regras de automação para atualizar campos de busca selecionados no ASFF. As regras se aplicam tanto às descobertas novas quanto às atualizadas.

Durante a investigação de um evento de segurança, você pode navegar do Security Hub CSPM até o Amazon Detective para investigar uma descoberta. GuardDuty O Security Hub CSPM recomenda alinhar as contas de administrador delegado para serviços como Detective (onde elas existem) para uma integração mais suave. Por exemplo, se você não alinhar as contas de administrador entre o Detective e o CSPM do Security Hub, a navegação das descobertas para o Detective não funcionará. Para obter uma lista abrangente, consulte Visão geral das AWS service (Serviço da AWS) integrações com o CSPM do Security Hub na documentação do CSPM do Security Hub.

Você pode usar o Security Hub CSPM com o recurso Network Access Analyzer da Amazon VPC para ajudar a monitorar continuamente a conformidade da sua configuração de rede. AWS Isso ajudará você a bloquear o acesso indesejado à rede e a impedir que seus recursos essenciais tenham acesso externo. Para obter mais detalhes sobre arquitetura e implementação, consulte a postagem do AWS blog Verificação contínua da conformidade da rede usando o Amazon VPC Network Access Analyzer e. AWS Security Hub CSPM

Além de seus recursos de monitoramento, o Security Hub CSPM oferece suporte à integração com EventBridge a Amazon para automatizar a correção de descobertas específicas. Você pode definir ações personalizadas a serem tomadas quando uma descoberta for recebida. Por exemplo, é possível configurar ações personalizadas para enviar as descobertas a um sistema de criação de tíquetes ou a um sistema automatizado de correção. Para discussões e exemplos adicionais, consulte as postagens do AWS blog Resposta e remediação automatizadas com AWS Security Hub CSPM e Como implantar a AWS solução para resposta e remediação automatizadas do Security Hub CSPM.

O Security Hub CSPM usa serviços vinculados Regras do AWS Config para realizar a maioria de suas verificações de segurança para controles. Para oferecer suporte a esses controles, AWS Config devem estar habilitados em todas as contas, incluindo a conta do administrador (ou administrador delegado) e as contas dos membros, em cada uma em que o CSPM do Security Região da AWS Hub esteja habilitado.

Considerações sobre design

  • Se um padrão de conformidade, como o PCI-DSS, já estiver presente no CSPM do Security Hub, o serviço CSPM do Security Hub totalmente gerenciado é a maneira mais fácil de operacionalizá-lo. No entanto, se você quiser montar seu próprio padrão de conformidade ou segurança, que pode incluir verificações de segurança, operacionais ou de otimização de custos, os pacotes de AWS Config conformidade oferecem um processo de personalização simplificado. (Para obter mais informações AWS Config e pacotes de conformidade, consulte a AWS Configseção.)

  • Os casos de uso comuns do Security Hub CSPM incluem o seguinte:

    • Como um painel que fornece visibilidade aos proprietários de aplicativos sobre a postura de segurança e conformidade de seus recursos AWS

    • Como uma visão central das descobertas de segurança usadas por operações de segurança, agentes de resposta a incidentes e caçadores de ameaças para fazer a triagem e tomar medidas sobre as descobertas de AWS segurança e conformidade em todas as regiões Contas da AWS

    • Para agregar e encaminhar descobertas de segurança e conformidade de todas Contas da AWS as regiões para um gerenciamento centralizado de informações e eventos de segurança (SIEM) ou outro sistema de orquestração de segurança

    Para obter orientações adicionais sobre esses casos de uso, incluindo como configurá-los, consulte a postagem do blog Três padrões de uso recorrentes do CSPM do Security Hub e como implantá-los.

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do CSPM do Security Hub. Inclui ativação automática do serviço, administração delegada a uma conta membro (Security Tooling) e configuração para habilitar o CSPM do Security Hub para todas as contas existentes e futuras na organização. AWS

AWS Security Hub

AWS Security Hubé uma solução unificada de segurança em nuvem que prioriza suas ameaças críticas à segurança e ajuda você a responder em grande escala. O Security Hub detecta problemas de segurança quase em tempo real correlacionando e enriquecendo automaticamente sinais de segurança de várias fontes, como gerenciamento de postura (AWS Security Hub CSPM), gerenciamento de vulnerabilidades (Amazon Inspector), dados confidenciais (Amazon Macie) e detecção de ameaças (Amazon). GuardDuty Isso permite que as equipes de segurança priorizem os riscos ativos em seus ambientes de nuvem por meio de análises automatizadas e insights contextuais. O Security Hub fornece uma representação visual do possível caminho de ataque que os invasores podem explorar para obter acesso aos recursos associados a uma descoberta de exposição. Isso transforma sinais de segurança complexos em insights acionáveis, para que você possa tomar decisões informadas sobre sua segurança rapidamente.

O Security Hub foi estrategicamente redesenhado para simplificar a habilitação dos componentes do serviço de segurança associado para chegar a um resultado de segurança. Ao correlacionar as descobertas de segurança em uma matriz de ameaças em diferentes sinais de segurança quase em tempo real, você pode priorizar primeiro os riscos mais críticos. As descobertas são correlacionadas para detectar a exposição associada aos AWS recursos. As exposições representam fraquezas mais amplas nos controles de segurança, configurações incorretas ou outras áreas que poderiam ser exploradas por ameaças ativas. Por exemplo, uma exposição pode ser uma EC2 instância acessível pela Internet e com vulnerabilidades de software com alta probabilidade de exploração.

O Security Hub e o Security Hub CSPM são serviços complementares. O Security Hub CSPM fornece uma visão abrangente de sua postura de segurança e ajuda você a avaliar seu ambiente de nuvem em relação aos padrões e melhores práticas do setor de segurança. O Security Hub fornece uma experiência unificada que ajuda você a priorizar e responder a problemas críticos de segurança. As descobertas do CSPM do Security Hub são encaminhadas automaticamente para o Security Hub, onde são correlacionadas com as descobertas de outros serviços de segurança, como o Amazon Inspector, para gerar exposições. Isso ajuda você a identificar os riscos mais críticos em seu ambiente. 

O Security Hub também fornece um resumo dos recursos em seu AWS ambiente por tipo e descobertas associadas. Os recursos são priorizados por exposições e sequências de ataque. Ao escolher um tipo de recurso, você pode revisar todos os recursos associados a esse tipo de recurso.

Para uma experiência ideal, recomendamos habilitar o Security Hub e o Security Hub CSPM, bem como habilitar esses outros serviços de segurança: Amazon GuardDuty, AmazonInspector e Amazon Macie. Você pode ver se esses serviços e recursos estão uniformemente ativados em todas as contas dos membros da sua organização usando as descobertas da Cobertura do Security Hub.

No AWS SRA, a conta do Security Tooling atua como administrador delegado do Security Hub, do Security Hub CSPM e de outros serviços de segurança. AWS Na conta do Security Tooling, você pode ver todos os recursos associados às contas dos membros. Você também pode ver todos os recursos em sua casa Região da AWS no link Regiões da AWS.

Nota de implementação

A ativação do Security Hub requer três etapas, incluindo procedimentos que levam em consideração se você já habilitou o CSPM do Security Hub. O Security Hub é nativamente integrado ao AWS Organizations, o que simplifica o processo de configuração e implementação, além de centralizar e agregar todas as descobertas em um único local. De acordo com as melhores práticas do AWS SRA, use a conta do Security Tooling como a conta de administrador delegado para gerenciar e configurar o Security Hub. Use as configurações do Security Hub para habilitar todas as regiões e contas automaticamente, incluindo futuras regiões e contas. OUs Você também deve configurar a agregação entre regiões para agregar descobertas, recursos e tendências de várias Regiões da AWS em uma única região de origem. Durante a configuração, você também pode ativar qualquer integração nativa, como o Jira Cloud ou. ServiceNow

Considerações sobre design

  • As descobertas do Security Hub são formatadas no Open Cybersecurity Schema Framework (OCSF). O Security Hub gera descobertas no OCSF e recebe descobertas no OCSF do Security Hub CSPM e outros. Serviços da AWS Essas descobertas do OCSF podem ser enviadas EventBridge pela Amazon para automações ou armazenadas em uma conta central de agregação de registros para realizar análise e retenção de registros de segurança.

  • A conta de gerenciamento da AWS organização não pode se designar como administrador delegado no Security Hub. Isso se alinha à prática recomendada da AWS SRA de designar a conta do Security Tooling como administrador delegado. Observe também:

    • A conta de administrador designada para o Security Hub CSPM se torna automaticamente o administrador designado para o Security Hub.

    • A remoção da administração delegada por meio do Security Hub também remove a administração delegada do CSPM do Security Hub. Da mesma forma, remover a administração delegada por meio do CSPM do Security Hub também a remove do Security Hub.

  • O Security Hub inclui recursos que modificam e agem automaticamente com base nas descobertas com base em suas especificações. O Security Hub oferece suporte aos seguintes tipos de automações:

    • Regras de automação, que atualizam automaticamente as descobertas, suprimem as descobertas e enviam as descobertas para ferramentas de emissão de tíquetes quase em tempo real, com base em critérios definidos.

    • Resposta e remediação automatizadas, que criam EventBridge regras personalizadas que definem ações automáticas a serem tomadas em relação a descobertas e insights específicos.

  • O Security Hub pode configurar o Amazon Inspector em todas as contas e regiões membros por meio de políticas, e pode configurar GuardDuty o CSPM do Security Hub por meio da implantação. As políticas geram AWS Organizations políticas para contas e regiões. As implantações são ações únicas que permitem um recurso de segurança em contas e regiões selecionadas. As implantações não se aplicam às contas recém-ativadas. Como alternativa, você pode ativar automaticamente os recursos para novas contas de membros no GuardDuty Security Hub CSPM.

Amazon GuardDuty

GuardDutyA Amazon é um serviço de detecção de ameaças que monitora continuamente atividades maliciosas e comportamentos não autorizados para proteger você Contas da AWS e suas cargas de trabalho. Você deve sempre capturar e armazenar os registros apropriados para fins de monitoramento e auditoria, mas GuardDuty extrai fluxos independentes de dados diretamente dos registros de fluxo da AWS CloudTrail Amazon VPC e dos registros de DNS. AWS Você não precisa gerenciar as políticas de bucket do Amazon S3 nem modificar a forma como coleta e armazena seus registros. GuardDutyas permissões são gerenciadas como funções vinculadas a serviços que você pode revogar a qualquer momento desativando. GuardDuty Isso facilita a ativação do serviço sem configurações complexas e elimina o risco de que uma modificação da permissão do IAM ou uma alteração na política do bucket do S3 afete a operação do serviço.

Além de fornecer fontes de dados fundamentais, GuardDuty fornece recursos opcionais para identificar descobertas de segurança. Isso inclui proteção EKS, proteção RDS, proteção S3, proteção contra malware e proteção Lambda. Para novos detectores, esses recursos opcionais são ativados por padrão, exceto a Proteção EKS, que deve ser ativada manualmente.

  • Com o GuardDuty S3 Protection, GuardDuty monitora os eventos de dados do Amazon S3, CloudTrail além dos eventos de gerenciamento CloudTrail padrão. O monitoramento de eventos de dados permite GuardDuty monitorar as operações de API em nível de objeto quanto a possíveis riscos de segurança dos dados em seus buckets do S3.

  • GuardDuty A Proteção contra Malware detecta a presença de malware em EC2 instâncias da Amazon ou cargas de trabalho de contêineres iniciando escaneamentos sem agente em volumes anexados do Amazon Elastic Block Store (Amazon EBS). GuardDuty também detecta possíveis malwares em buckets do S3 examinando objetos recém-carregados ou novas versões de objetos existentes.

  • GuardDuty O RDS Protection foi projetado para traçar o perfil e monitorar a atividade de acesso aos bancos de dados Amazon Aurora sem afetar o desempenho do banco de dados.

  • GuardDuty O EKS Protection inclui o monitoramento do registro de auditoria e o monitoramento do tempo de execução do EKS. Com o EKS Audit Log Monitoring, GuardDuty monitora os registros de auditoria do Kubernetes dos clusters do Amazon EKS e os analisa em busca de atividades potencialmente maliciosas e suspeitas. O EKS Runtime Monitoring usa o agente de GuardDuty segurança (que é um complemento do Amazon EKS) para fornecer visibilidade em tempo de execução de cargas de trabalho individuais do Amazon EKS. O agente GuardDuty de segurança ajuda a identificar contêineres específicos em seus clusters do Amazon EKS que estão potencialmente comprometidos. Ele também pode detectar tentativas de escalar privilégios de um contêiner individual para o EC2 host subjacente da Amazon ou para o ambiente mais amplo AWS .

GuardDuty também fornece um recurso conhecido como Detecção Estendida de Ameaças, que detecta automaticamente ataques em vários estágios que abrangem fontes de dados, vários tipos de AWS recursos e tempo dentro de um. Conta da AWS GuardDutycorrelaciona esses eventos, chamados de sinais, para identificar cenários que se apresentam como ameaças potenciais ao seu AWS ambiente e, em seguida, gera uma descoberta da sequência de ataque. Isso abrange cenários de ameaças que envolvem comprometimento relacionado ao uso indevido de AWS credenciais e tentativas de comprometimento de dados em seu. Contas da AWS GuardDuty considera todos os tipos de descoberta de sequências de ataque como críticos. Esse recurso é ativado por padrão e não há custo adicional associado a ele.

No AWS SRA, GuardDuty é ativado em todas as contas por meio de AWS Organizations, e todas as descobertas podem ser visualizadas e acionadas pelas equipes de segurança apropriadas na conta do administrador GuardDuty delegado (neste caso, a conta do Security Tooling). GuardDuty as descobertas ativas são exportadas para um bucket central do S3 na conta do Log Archive, para que você possa reter as descobertas por mais de 90 dias. As descobertas são exportadas da conta do administrador delegado e também incluem todas as descobertas das contas de membros associadas na mesma região. As descobertas no bucket do S3 são criptografadas com uma chave gerenciada pelo AWS KMS cliente. A política de bucket do S3 e a política de chaves do KMS são configuradas para permitir somente GuardDuty o uso dos recursos.

Quando AWS Security Hub CSPM ativado, GuardDuty as descobertas fluem automaticamente para o Security Hub CSPM e o Security Hub. Quando o Amazon Detective está ativado, GuardDuty as descobertas são incluídas no processo de ingestão de registros do Detective. GuardDuty e o Detective oferecem suporte a fluxos de trabalho de usuários de vários serviços, onde GuardDuty fornece links do console que redirecionam você de uma descoberta selecionada para uma página de Detetive que contém um conjunto selecionado de visualizações para investigar essa descoberta. Por exemplo, você também pode se integrar GuardDuty à Amazon EventBridge para automatizar as melhores práticas GuardDuty, como automatizar respostas a novas descobertas. GuardDuty

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do GuardDuty. Inclui configuração criptografada do bucket S3, administração delegada e GuardDuty habilitação para todas as contas existentes e futuras na organização. AWS

AWS Config

AWS Configé um serviço que permite avaliar, auditar e avaliar as configurações dos AWS recursos suportados em seu Contas da AWS. AWS Config monitora e registra continuamente as configurações AWS dos recursos e avalia automaticamente as configurações gravadas em relação às configurações desejadas. Você também pode se integrar AWS Config a outros serviços para fazer o trabalho pesado em pipelines automatizados de auditoria e monitoramento. Por exemplo, AWS Config pode monitorar alterações em segredos individuais em AWS Secrets Manager.

Você pode avaliar as configurações de seus AWS recursos usando Regras do AWS Configo. AWS Config fornece uma biblioteca de regras personalizáveis e predefinidas chamadas regras gerenciadas, ou você pode criar suas próprias regras personalizadas. Você pode executar Regras do AWS Config no modo proativo (antes da implantação dos recursos) ou no modo detetive (após a implantação dos recursos). Os recursos podem ser avaliados quando há alterações na configuração, em um cronograma periódico ou em ambos. 

Um pacote de conformidade é um conjunto de AWS Config regras e ações de remediação que podem ser implantadas como uma única entidade em uma conta e região, ou em uma organização em. AWS Organizations Os pacotes de conformidade são criados por meio da criação de um modelo YAML que contém a lista de regras AWS Config gerenciadas ou personalizadas e ações de remediação. Para começar a avaliar seu AWS ambiente, use um dos exemplos de modelos de pacote de conformidade.

AWS Config se integra AWS Security Hub CSPM para enviar os resultados das avaliações de regras AWS Config gerenciadas e personalizadas como descobertas para o Security Hub CSPM.

Regras do AWS Config pode ser usado em conjunto com AWS Systems Manager a correção eficaz de recursos não compatíveis. Você usa o Systems Manager Explorer para coletar o status de conformidade das AWS Config regras em seu Contas da AWS cross Regiões da AWS e, em seguida, usa os documentos (runbooks) do Systems Manager Automation para resolver suas regras não compatíveis AWS Config . Para obter detalhes sobre a implementação, consulte a postagem do blog Corrija AWS Config regras não compatíveis com AWS Systems Manager runbooks de automação.

O AWS Config agregador coleta dados de configuração e conformidade em várias contas, regiões e organizações em. AWS Organizations O painel do agregador exibe os dados de configuração dos recursos agregados. Os painéis de inventário e conformidade oferecem informações essenciais e atuais sobre suas configurações de AWS recursos e status de conformidade em toda Contas da AWS Regiões da AWS, dentro ou fora de uma AWS organização. Eles permitem que você visualize e avalie seu inventário de AWS recursos sem precisar escrever consultas AWS Config avançadas. Você pode obter informações essenciais, como um resumo da conformidade por recursos, as 10 principais contas que têm recursos não compatíveis, uma comparação de EC2 instâncias em execução e interrompidas por tipo e volumes do EBS por tipo e tamanho de volume.

Se você usa AWS Control Tower para gerenciar sua AWS organização, ele implantará um conjunto de AWS Config regras como proteções de detetive (categorizadas como obrigatórias, altamente recomendadas ou eletivas). Essas grades de proteção ajudam você a governar seus recursos e monitorar a conformidade em todas as contas da sua organização. AWS Essas AWS Config regras usarão automaticamente uma aws-control-tower tag que tenha um valor demanaged-by-control-tower.

AWS Config deve estar habilitada para cada conta de membro na AWS organização e Região da AWS que contenha os recursos que você deseja proteger. Você pode gerenciar centralmente (por exemplo, criar, atualizar e excluir) AWS Config as regras em todas as contas da sua AWS organização. Na conta de administrador AWS Config delegado, você pode implantar um conjunto comum de AWS Config regras em todas as contas e especificar contas nas quais AWS Config as regras não devem ser criadas. A conta de administrador AWS Config delegado também pode agregar dados de configuração e conformidade de recursos de todas as contas dos membros para fornecer uma visão única. Use o APIs da conta de administrador delegado para impor a governança, garantindo que as AWS Config regras subjacentes não possam ser modificadas pelas contas dos membros em sua AWS organização. AWS Config é nativamente integrado para enviar descobertas AWS Security Hub CSPM, se o CSPM do Security Hub estiver ativado e existir pelo menos uma regra AWS Config gerenciada ou personalizada.

No AWS SRA, a conta do administrador AWS Config delegado é a conta do Security Tooling. O canal AWS Config de entrega é configurado para fornecer instantâneos de configuração de recursos em um bucket S3 centralizado na conta do Log Archive. Como a conta do Log Archive é o repositório central de registros, ela é usada para armazenar a configuração de recursos.

Considerações sobre design

  • AWS Config transmite notificações de alteração de configuração e conformidade para a Amazon EventBridge. Isso significa que você pode usar os recursos de filtragem nativos EventBridge para filtrar AWS Config eventos e rotear tipos específicos de notificações para alvos específicos. Por exemplo, você pode enviar notificações de conformidade de regras específicas ou tipos de recursos para endereços de e-mail específicos ou rotear notificações de alteração de configuração para uma ferramenta externa de gerenciamento de serviços de TI (ITSM) ou banco de dados de gerenciamento de configuração (CMDB). Para obter mais informações, consulte as AWS Config melhores práticas da publicação no blog.

  • Além de usar a avaliação AWS Config proativa de regras, você pode usar AWS CloudFormation Guard, que é uma ferramenta de policy-as-code avaliação que verifica proativamente a conformidade da configuração de recursos. A interface de linha de AWS CloudFormation Guard comando (CLI) fornece uma linguagem declarativa e específica de domínio (DSL) que você pode usar para expressar políticas como código. Além disso, você pode usar AWS CLI comandos para validar dados estruturados em formato JSON ou YAML, como conjuntos de CloudFormation alterações, arquivos de configuração do Terraform baseados em JSON ou configurações do Kubernetes. Você pode executar as avaliações localmente usando a AWS CloudFormation Guard CLI como parte do seu processo de criação ou executá-la em seu pipeline de implantação. Se você tiver AWS Cloud Development Kit (AWS CDK)aplicativos, poderá usar o cdk-nag para verificar proativamente as melhores práticas.

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação que implanta pacotes de AWS Config conformidade em todas as Contas da AWS regiões de uma organização. AWS O módulo AWS Config Agregador ajuda você a configurar um AWS Config agregador delegando a administração a uma conta de membro (Ferramentas de Segurança) na conta de Gerenciamento da Organização e, em seguida, configurando o AWS Config Agregador na conta de administrador delegado para todas as contas existentes e futuras na organização. AWS Você pode usar o módulo AWS Config Control Tower Management Account para ativar a conta de gerenciamento da AWS Config organização ― ele não está ativado pelo. AWS Control Tower

Amazon Security Lake

O Amazon Security Lake é um serviço de data lake de segurança totalmente gerenciado. Você pode usar o Security Lake para centralizar automaticamente os dados de segurança de AWS ambientes, fornecedores de software como serviço (SaaS), locais e fontes terceirizadas. O Security Lake ajuda você a criar uma fonte de dados normalizada que simplifica o uso de ferramentas de análise em relação aos dados de segurança, para que você possa obter uma compreensão mais completa de sua postura de segurança em toda a organização. O data lake é respaldado pelos buckets do Amazon Simple Storage Service (Amazon S3). Você é o proprietário dos seus dados. O Security Lake coleta automaticamente registros de Serviços da AWS, incluindo AWS CloudTrail, Amazon VPC, Amazon Route 53, Amazon S3, registros de auditoria AWS Lambda, descobertas e AWS Security Hub CSPM registros do Amazon EKS. AWS WAF

AWS A SRA recomenda que você use a conta do Log Archive como a conta de administrador delegado do Security Lake. Para obter mais informações sobre como configurar a conta de administrador delegado, consulte Amazon Security Lake na seção Security OU ‒ Log Archive account. As equipes de segurança que desejam acessar os dados do Security Lake ou precisam gravar registros não nativos nos buckets do Security Lake usando funções personalizadas de extração, transformação e carregamento (ETL) devem operar na conta do Security Tooling.

O Security Lake pode coletar registros de diferentes provedores de nuvem, registros de soluções de terceiros ou outros registros personalizados. Recomendamos que você use a conta do Security Tooling para executar as funções ETL para converter os registros para o formato Open Cybersecurity Schema Framework (OCSF) e gerar um arquivo no formato Apache Parquet. O Security Lake cria a função entre contas com as permissões adequadas para a conta do Security Tooling e a fonte personalizada apoiada por funções ou AWS Glue rastreadores Lambda, para gravar dados nos buckets S3 do Security Lake.

O administrador do Security Lake deve configurar as equipes de segurança que usam a conta do Security Tooling e exigir acesso aos registros que o Security Lake coleta como assinantes. O Security Lake oferece suporte a dois tipos de acesso de assinantes:

  • Acesso aos dados — Os assinantes podem acessar diretamente os objetos do Amazon S3 para o Security Lake. O Security Lake gerencia a infraestrutura e as permissões. Quando você configura a conta do Security Tooling como assinante de acesso a dados do Security Lake, a conta é notificada sobre novos objetos nos buckets do Security Lake por meio do Amazon Simple Queue Service (Amazon SQS), e o Security Lake cria as permissões para acessar esses novos objetos.

  • Acesso à consulta — Os assinantes podem consultar dados de origem de AWS Lake Formation tabelas em seu bucket do S3 usando serviços como o Amazon Athena. O acesso entre contas é configurado automaticamente para acesso a consultas usando o Lake Formation. Quando você configura a conta do Security Tooling como assinante de acesso a consultas do Security Lake, a conta recebe acesso somente de leitura aos registros na conta do Security Lake. Quando você usa esse tipo de assinante, o Athena AWS Glue e as tabelas são compartilhadas da conta do Security Lake Log Archive com a conta do Security Tooling por meio de (). AWS Resource Access Manager AWS RAM Para habilitar esse recurso, você precisa atualizar as configurações de compartilhamento de dados entre contas para a versão 3.

Para obter mais informações sobre a criação de assinantes, consulte Gerenciamento de assinantes na documentação do Security Lake.  

Para obter as melhores práticas para ingerir fontes personalizadas, consulte Coleta de dados de fontes personalizadas na documentação do Security Lake.

Você pode usar o Amazon Quick Sight, o Amazon OpenSearch Service e SageMaker o Amazon para configurar análises com base nos dados de segurança que você armazena no Security Lake.

Considerações sobre design

Se uma equipe de aplicativos precisar consultar os dados do Security Lake para atender a um requisito comercial, o administrador do Security Lake deverá configurar essa conta do aplicativo como assinante.

Amazon Macie

O Amazon Macie é um serviço totalmente gerenciado de segurança e privacidade de dados que usa aprendizado de máquina e correspondência de padrões para descobrir e ajudar a proteger seus dados confidenciais em. AWS Você precisa identificar o tipo e a classificação dos dados que sua carga de trabalho está processando para garantir que os controles apropriados sejam aplicados. Você pode usar o Macie para automatizar a descoberta e a emissão de relatórios de dados confidenciais de duas maneiras: realizando a descoberta automatizada de dados confidenciais e criando e executando trabalhos de descoberta de dados confidenciais. Com a descoberta automatizada de dados confidenciais, o Macie avalia seu inventário de buckets do S3 diariamente e usa técnicas de amostragem para identificar e selecionar objetos representativos do S3 de seus buckets. Em seguida, o Macie recupera e analisa os objetos selecionados, inspecionando-os em busca de dados confidenciais. Trabalhos confidenciais de descoberta de dados fornecem análises mais detalhadas e direcionadas. Com essa opção, você define a amplitude e a profundidade da análise, incluindo os compartimentos do S3 a serem analisados, a profundidade da amostragem e os critérios personalizados que derivam das propriedades dos objetos do S3. Se o Macie detectar um possível problema com a segurança ou a privacidade de um bucket, ele criará uma descoberta de política para você. A descoberta automatizada de dados é ativada por padrão para todos os novos clientes da Macie, e os clientes existentes da Macie podem habilitá-la com um clique.

O Macie está habilitado em todas as contas por meio de AWS Organizations. Os diretores que têm as permissões apropriadas na conta do administrador delegado (nesse caso, a conta do Security Tooling) podem ativar ou suspender o Macie em qualquer conta, criar trabalhos confidenciais de descoberta de dados para buckets pertencentes às contas dos membros e visualizar todas as descobertas de políticas de todas as contas dos membros. As descobertas de dados confidenciais só podem ser visualizadas pela conta que criou o trabalho de descobertas confidenciais. Para obter mais informações, consulte Gerenciando várias contas do Macie como uma organização na documentação do Macie.

As descobertas do Macie fluem AWS Security Hub CSPM para revisão e análise. O Macie também se integra EventBridge à Amazon para facilitar respostas automatizadas a descobertas, como alertas, feeds para sistemas de gerenciamento de eventos e informações de segurança (SIEM) e remediação automatizada.

Considerações sobre design
Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do Amazon Macie. Isso inclui delegar a administração a uma conta de membro e configurar o Macie dentro da conta de administrador delegado para todas as contas existentes e futuras na organização. AWS O Macie também está configurado para enviar as descobertas para um bucket central do S3 que é criptografado com uma chave gerenciada pelo cliente. AWS KMS

IAM Access Analyzer

À medida que você acelera sua jornada de Nuvem AWS adoção e continua inovando, é fundamental manter um controle rígido sobre o acesso refinado (permissões), conter a proliferação de acesso e garantir que as permissões sejam usadas de forma eficaz. O acesso excessivo e não utilizado apresenta desafios de segurança e torna mais difícil para as empresas aplicarem o princípio do menor privilégio. Esse princípio é um importante pilar da arquitetura de segurança que envolve o dimensionamento contínuo das permissões do IAM para equilibrar os requisitos de segurança com os requisitos operacionais e de desenvolvimento de aplicativos. Esse esforço envolve várias partes interessadas, incluindo equipes centrais de segurança e Cloud Center of Excellence (CCoE), bem como equipes de desenvolvimento descentralizadas.

AWS Identity and Access Management O Access Analyzer fornece ferramentas para definir com eficiência permissões refinadas, verificar as permissões pretendidas e refinar as permissões removendo o acesso não utilizado para ajudar você a atender aos padrões de segurança da sua empresa. Ele oferece visibilidade do acesso externo e interno aos AWS recursos e das descobertas de acesso não utilizadas por meio de painéis e. AWS Security Hub CSPM Além disso, ele oferece suporte à Amazon EventBridge para fluxos de trabalho personalizados de notificação e remediação baseados em eventos.

O recurso de descobertas do analisador de acesso externo do IAM Access Analyzer ajuda você a identificar os recursos em sua AWS organização e contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa. A AWS organização ou conta que você escolher é conhecida como zona de confiança. O analisador usa raciocínio automatizado para analisar todos os recursos suportados dentro da zona de confiança e gera descobertas para diretores que podem acessar os recursos de fora da zona de confiança. Essas descobertas ajudam a identificar recursos que são compartilhados com uma entidade externa e ajudam a visualizar como sua política afeta o acesso público e entre contas ao seu recurso antes de implantar as permissões do recurso. Isso está disponível sem custo adicional.

Da mesma forma, o recurso de localização do analisador de acesso interno do IAM Access Analyzer ajuda você a identificar os recursos em sua AWS organização e as contas que são compartilhadas com os diretores internamente em sua organização ou conta. Essa análise apóia o princípio do menor privilégio, garantindo que seus recursos especificados possam ser acessados somente pelos diretores pretendidos em sua organização. Esse é um recurso pago e requer configuração explícita de recursos para inspecionar. Use esse recurso criteriosamente para monitorar recursos confidenciais específicos que, por design, precisam ser bloqueados até mesmo internamente.

As descobertas do IAM Access Analyzer também ajudam você a identificar o acesso não utilizado concedido em suas AWS organizações e contas, incluindo: 

  • Funções do IAM não usadas — funções que não têm atividade de acesso dentro da janela de uso especificada.

  • Usuários, credenciais e chaves de acesso não utilizados do IAM — Credenciais que pertencem aos usuários do IAM e são usadas para acesso Serviços da AWS e recursos. 

  • Políticas e permissões do IAM não usadas — permissões em nível de serviço e de ação que não foram usadas por uma função em uma janela de uso especificada. O IAM Access Analyzer usa políticas baseadas em identidade que são anexadas às funções para determinar os serviços e ações que essas funções podem acessar. O analisador fornece uma análise das permissões não utilizadas para todas as permissões de nível de serviço.

Você pode usar as descobertas geradas pelo IAM Access Analyzer para obter visibilidade e corrigir qualquer acesso não intencional ou não utilizado com base nas políticas e padrões de segurança da sua organização. Após a correção, essas descobertas são marcadas como resolvidas na próxima vez em que o analisador for executado. Se a descoberta for intencional, você pode marcá-la como arquivada no IAM Access Analyzer e priorizar outras descobertas que apresentem um maior risco de segurança. Além disso, você pode configurar regras de arquivamento para arquivar automaticamente descobertas específicas. Por exemplo, é possível criar uma regra de arquivamento para arquivar automaticamente qualquer descoberta de um bucket do Amazon S3 específico ao qual você concede acesso regularmente. 

Como criador, você pode usar o IAM Access Analyzer para realizar verificações automatizadas de políticas do IAM no início do processo de desenvolvimento e implantação (CI/CD) para aderir aos padrões de segurança corporativos. Você pode integrar as verificações e análises de políticas personalizadas do IAM Access Analyzer AWS CloudFormation para automatizar as análises de políticas como parte dos pipelines da sua equipe de CI/CD desenvolvimento. Isso inclui: 

  • Validação de políticas do IAM — O IAM Access Analyzer valida suas políticas em relação à gramática e AWS às melhores práticas de políticas do IAM. Você pode ver as descobertas das verificações de validação de políticas, incluindo avisos de segurança, erros, avisos gerais e sugestões para sua política. Atualmente, mais de 100 verificações de validação de políticas estão disponíveis e podem ser automatizadas usando o AWS Command Line Interface (AWS CLI) APIs e.

  • Verificações de políticas personalizadas do IAM — As verificações de políticas personalizadas do IAM Access Analyzer validam suas políticas de acordo com os padrões de segurança especificados. As verificações de políticas personalizadas usam raciocínio automatizado para fornecer um nível mais alto de garantia sobre o cumprimento dos padrões de segurança corporativos. Os tipos de verificações de políticas personalizadas incluem: 

    • Compare com uma política de referência: ao editar uma política, você pode compará-la com uma política de referência, como uma versão existente da política, para verificar se a atualização concede novo acesso. A CheckNoNewAccessAPI compara duas políticas (uma política atualizada e uma política de referência) para determinar se a política atualizada introduz um novo acesso à política de referência e retorna uma resposta positiva ou negativa.

    • Compare uma lista de ações do IAM: você pode usar a CheckAccessNotGrantedAPI para garantir que uma política não conceda acesso a uma lista de ações críticas definidas em seu padrão de segurança. Essa API usa uma política e uma lista de até 100 ações do IAM para verificar se a política permite pelo menos uma das ações e retorna uma resposta positiva ou reprovada.

As equipes de segurança e outros autores de políticas do IAM podem usar o IAM Access Analyzer para criar políticas que estejam em conformidade com a gramática e os padrões de segurança das políticas do IAM. A criação manual de políticas do tamanho certo pode ser propensa a erros e demorada. O recurso de geração de políticas do IAM Access Analyzer ajuda na criação de políticas do IAM com base na atividade de acesso do principal. O IAM Access Analyzer analisa AWS CloudTrail os registros dos serviços compatíveis e gera um modelo de política que contém as permissões que foram usadas pelo diretor no intervalo de datas especificado. Em seguida, você pode usar esse modelo para criar uma política com permissões refinadas que conceda somente as permissões necessárias.

  • Você deve ter uma CloudTrail trilha ativada para que sua conta gere uma política com base na atividade de acesso.

  • O IAM Access Analyzer não identifica atividades em nível de ação para eventos de dados, como eventos de dados do Amazon S3, nas políticas geradas.

  • A iam:PassRole ação não é monitorada CloudTrail e não está incluída nas políticas geradas.

O IAM Access Analyzer é implantado na conta do Security Tooling por meio da funcionalidade de administrador delegado em. AWS Organizations O administrador delegado tem permissões para criar e gerenciar analisadores com a AWS organização como zona de confiança.

Considerações sobre design

Para obter descobertas do escopo da conta (onde a conta serve como limite confiável), você cria um analisador do escopo da conta em cada conta membro. Isso pode ser feito como parte do pipeline da conta. As descobertas do escopo da conta fluem para o CSPM do Security Hub no nível da conta do membro. De lá, eles fluem para a conta de administrador delegado do CSPM do Security Hub (Security Tooling).

Exemplos de implementação

AWS Firewall Manager

AWS Firewall Managerajuda a proteger sua rede simplificando suas tarefas de administração e manutenção para AWS WAF grupos AWS Network Firewall de segurança da Amazon VPC Amazon Route 53 Resolver e DNS Firewall em várias contas e recursos. AWS Shield Advanced Com o Firewall Manager, você configura suas regras de AWS WAF firewall, proteções Shield Advanced, grupos de segurança da Amazon VPC, firewalls do Network Firewall e associações de grupos de regras do DNS Firewall somente uma vez. O serviço aplica automaticamente as regras e as proteções em todas as contas e recursos, mesmo na adição de novos recursos.

O Firewall Manager é particularmente útil quando você deseja proteger toda a AWS organização em vez de um pequeno número de contas e recursos específicos, ou se você adiciona frequentemente novos recursos que deseja proteger. O Firewall Manager usa políticas de segurança para permitir que você defina um conjunto de configurações, incluindo regras, proteções e ações relevantes que devem ser implantadas e as contas e os recursos (indicados por tags) a serem incluídos ou excluídos. Você pode criar configurações granulares e flexíveis e, ao mesmo tempo, escalar o controle para um grande número de contas e. VPCs Essas políticas aplicam de forma automática e consistente as regras que você configura, mesmo quando novas contas e recursos são criados. O Firewall Manager é ativado em todas as contas por meio de AWS Organizations, e a configuração e o gerenciamento são realizados pelas equipes de segurança apropriadas na conta de administrador delegado do Firewall Manager (nesse caso, a conta do Security Tooling).

Você deve habilitar AWS Config para cada um Região da AWS que contenha os recursos que você deseja proteger. Se você não quiser habilitá-la AWS Config para todos os recursos, deverá habilitá-la para recursos associados ao tipo de política do Firewall Manager que você usa. Quando você usa o Firewall Manager AWS Security Hub CSPM e o Firewall Manager, o Firewall Manager envia automaticamente suas descobertas para o Security Hub CSPM. O Firewall Manager cria descobertas para recursos que estão fora de conformidade e para ataques que ele detecta, e envia as descobertas para o Security Hub CSPM. Ao configurar uma política do Firewall Manager para AWS WAF, você pode ativar centralmente o registro em listas de controle de acesso à web (web ACLs) para todas as contas dentro do escopo e centralizar os registros em uma única conta.

Com o Firewall Manager, você pode ter um ou vários administradores que podem gerenciar os recursos de firewall da sua organização. Ao atribuir vários administradores, você pode aplicar condições restritivas de escopo administrativo para definir os recursos (contas, regiões OUs, tipos de política) que cada administrador pode gerenciar. Isso lhe dá a flexibilidade de ter diferentes funções de administrador em sua organização e ajuda a manter a entidade principal do acesso de privilégio mínimo. O AWS SRA usa um administrador com escopo administrativo completo delegado à conta do Security Tooling.

Considerações sobre design

Os gerentes de contas de membros individuais na AWS organização podem configurar controles adicionais (como AWS WAF regras e grupos de segurança da Amazon VPC) nos serviços gerenciados do Firewall Manager de acordo com suas necessidades específicas.

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do Firewall Manager. Ele demonstra a administração delegada (ferramentas de segurança), implanta um grupo de segurança máximo permitido, configura uma política de grupo de segurança e configura várias políticas. AWS WAF

Amazon EventBridge

EventBridgeA Amazon é um serviço de barramento de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. É frequentemente usado na automação de segurança. Você pode configurar regras de roteamento para determinar para onde enviar seus dados para criar arquiteturas de aplicativos que reajam em tempo real a todas as suas fontes de dados. Você pode criar um barramento de eventos personalizado para receber eventos de seus aplicativos personalizados, além de usar o barramento de eventos padrão em cada conta. Você pode criar um barramento de eventos na conta do Security Tooling que pode receber eventos específicos de segurança de outras contas na organização. AWS Por exemplo, ao vincular Regras do AWS Config Amazon e AWS Security Hub CSPM com GuardDuty EventBridge, você cria um pipeline flexível e automatizado para rotear dados de segurança, gerar alertas e gerenciar ações para resolver problemas.

Considerações sobre design

  • EventBridge é capaz de rotear eventos para vários alvos diferentes. Um padrão valioso para automatizar ações de segurança é conectar eventos específicos a AWS Lambda respondentes individuais, que tomam as medidas apropriadas. Por exemplo, em determinadas circunstâncias, talvez você queira usar para EventBridge rotear uma descoberta pública de bucket do S3 para um respondente Lambda que corrige a política do bucket e remove as permissões públicas. Esses respondentes podem ser integrados aos seus manuais e manuais investigativos para coordenar as atividades de resposta.

  • Uma prática recomendada para uma equipe de operações de segurança bem-sucedida é integrar o fluxo de eventos e descobertas de segurança em um sistema de notificação e fluxo de trabalho, como um sistema de emissão de bilhetes, um bug/issue sistema ou outro sistema de gerenciamento de informações e eventos de segurança (SIEM). Isso elimina o fluxo de trabalho de e-mails e relatórios estáticos e ajuda você a rotear, escalar e gerenciar eventos ou descobertas. As habilidades de roteamento flexível do EventBridge são um poderoso facilitador dessa integração.

Amazon Detective

O Amazon Detective oferece suporte à sua estratégia responsiva de controle de segurança, facilitando a análise, a investigação e a identificação rápida da causa raiz das descobertas de segurança ou atividades suspeitas para seus analistas de segurança. Detective extrai automaticamente eventos baseados em tempo, como tentativas de login, chamadas de API e tráfego de rede dos registros e registros de fluxo AWS CloudTrail da Amazon VPC. Detective consome esses eventos usando fluxos independentes de registros e registros de fluxo CloudTrail da Amazon VPC. Você pode usar o Detective para acessar até um ano de dados históricos de eventos. Detective usa aprendizado de máquina e visualização para criar uma visão unificada e interativa do comportamento de seus recursos e das interações entre eles ao longo do tempo. Isso é chamado de gráfico de comportamento. Você pode explorar o gráfico de comportamento para examinar ações diferentes, como tentativas de login malsucedidas ou chamadas de API suspeitas.

O Detective se integra ao Amazon Security Lake para permitir que analistas de segurança consultem e recuperem registros armazenados no Security Lake. Você pode usar essa integração para obter informações adicionais dos CloudTrail registros e dos registros de fluxo da Amazon VPC que são armazenados no Security Lake enquanto conduz investigações de segurança no Detective.

Detective também ingere descobertas detectadas pela Amazon GuardDuty, incluindo ameaças detectadas pelo GuardDuty Runtime Monitoring. Quando uma conta ativa o Detective, ela se torna a conta de administrador do gráfico de comportamento. Antes de tentar ativar o Detective, certifique-se de que sua conta esteja cadastrada há GuardDuty pelo menos 48 horas. Se você não atender a esse requisito, não poderá habilitar DetectiveDetective.

Outras fontes de dados opcionais para Detective incluem registros de auditoria do Amazon EKS e. AWS Security Hub CSPM A fonte de dados do log de auditoria do Amazon EKS aprimora as informações fornecidas sobre os seguintes tipos de entidade: clusters do Amazon EKS, pods do Kubernetes, imagens de contêineres e assuntos do Kubernetes. A fonte de dados do Security Hub faz parte das descobertas de AWS segurança, onde correlaciona as descobertas de todos os produtos no Security Hub e as ingere no Detective.

Detective agrupa automaticamente várias descobertas relacionadas a um único evento de comprometimento de segurança em grupos de busca. Os agentes de ameaças geralmente realizam uma sequência de ações que levam a várias descobertas de segurança distribuídas ao longo do tempo e dos recursos. Portanto, encontrar grupos deve ser o ponto de partida para investigações que envolvam várias entidades e descobertas. Detective também fornece resumos de busca de grupos usando IA generativa que analisa automaticamente a localização de grupos e fornece informações em linguagem natural para ajudá-lo a acelerar as investigações de segurança.

Detective se integra com. AWS Organizations A conta de Gerenciamento da Organização delega uma conta de membro como a conta de administrador do Detective. No AWS SRA, essa é a conta do Security Tooling. A conta de administrador de Detective tem a capacidade de habilitar automaticamente todas as contas de membros atuais da organização como contas de membros de Detective e também adicionar novas contas de membros à medida que elas são adicionadas à organização. AWS As contas de administrador Detective também podem convidar contas de membros que atualmente não residem na AWS organização, mas estão na mesma região, a contribuir com seus dados para o gráfico de comportamento da conta principal. Quando uma conta de membro aceita o convite e é ativada, o Detective começa a ingerir e extrair os dados da conta do membro nesse gráfico de comportamento.

Considerações sobre design

Você pode navegar até Detective encontrando perfis nos consoles GuardDuty e. AWS Security Hub CSPM Esses links podem ajudar a agilizar o processo de investigação. Sua conta deve ser a conta administrativa do Detective e do serviço do qual você está migrando (ou do Security GuardDuty Hub CSPM). Se as contas principais forem as mesmas para os serviços, os links de integração funcionarão perfeitamente.

AWS Audit Manager

AWS Audit Managerajuda você a auditar continuamente seu AWS uso para simplificar a forma como você gerencia as auditorias e a conformidade com os regulamentos e padrões do setor. Ele permite que você passe da coleta, revisão e gerenciamento manual de evidências para uma solução que automatiza a coleta de evidências, fornece uma maneira simples de rastrear a origem das evidências de auditoria, permite a colaboração do trabalho em equipe e ajuda a gerenciar a segurança e a integridade das evidências. Quando é hora de uma auditoria, o Audit Manager ajuda você a gerenciar as análises de seus controles pelas partes interessadas.

Com o Audit Manager, você pode auditar com base em estruturas pré-criadas, como o benchmark Center for Internet Security (CIS), o CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) e o Payment Card Industry Data Security Standard (PCI DSS). Também oferece a capacidade de criar suas próprias estruturas com controles padrão ou personalizados com base em seus requisitos específicos para auditorias internas.

O Audit Manager coleta quatro tipos de evidências. Três tipos de evidência são automatizados: evidência de verificação de conformidade de AWS Config e AWS Security Hub CSPM, evidência de eventos de gerenciamento de AWS CloudTrail e evidência de configuração de chamadas de AWS service-to-service API. Para evidências que não podem ser automatizadas, o Audit Manager permite que você faça upload de evidências manuais.

Por padrão, seus dados no Audit Manager são criptografados usando chaves AWS gerenciadas. O AWS SRA usa uma chave gerenciada pelo cliente para criptografia a fim de fornecer maior controle sobre o acesso lógico. Você também deve configurar um bucket do S3 no local em Região da AWS que o Audit Manager publica o relatório de avaliação. Esses buckets devem ser criptografados com uma chave gerenciada pelo cliente e ter uma política de bucket configurada para permitir que somente o Audit Manager publique relatórios.  

nota

O Audit Manager auxilia na coleta de evidências relevantes para verificar a conformidade com padrões e regulamentos de conformidade específicos. No entanto, ele não avalia sua conformidade. Portanto, as evidências coletadas por meio do Audit Manager podem não incluir detalhes de seus processos operacionais que são necessários para auditorias. O Audit Manager não substitui o advogado ou os especialistas em conformidade. Recomendamos que você contrate os serviços de um avaliador terceirizado certificado pelas estruturas de conformidade com as quais você é avaliado.

As avaliações do Audit Manager podem ser executadas em várias contas em suas AWS organizações. O Audit Manager coleta e consolida evidências em uma conta de administrador delegado em. AWS Organizations Essa funcionalidade de auditoria é usada principalmente pelas equipes de conformidade e auditoria interna e requer apenas acesso de leitura ao seu Contas da AWS.

Considerações sobre design

  • O Audit Manager complementa outros serviços AWS de segurança AWS Security Hub CSPM, como AWS Security Hub, e AWS Config para ajudar a implementar uma estrutura de gerenciamento de riscos. O Audit Manager fornece funcionalidade independente de garantia de risco, enquanto o Security Hub CSPM ajuda você a supervisionar seus riscos e os pacotes de AWS Config conformidade auxiliam no gerenciamento de seus riscos. Profissionais de auditoria que estão familiarizados com o Modelo de Três Linhas desenvolvido pelo Instituto de Auditores Internos (IIA) devem observar que essa combinação Serviços da AWS ajuda você a cobrir as três linhas de defesa. Para obter mais informações, consulte a série de blogs em duas partes no blog Nuvem AWS Operations & Migrations.

  • Para que o Audit Manager colete evidências de CSPM do Security Hub, a conta de administrador delegado para ambos os serviços precisa ser a mesma. Conta da AWS Por esse motivo, no AWS SRA, a conta do Security Tooling é o administrador delegado do Audit Manager.

AWS Artifact

AWS Artifacté hospedado na conta do Security Tooling para separar a funcionalidade de gerenciamento de artefatos de conformidade da conta de gerenciamento da AWS organização. Essa separação de tarefas é importante porque recomendamos que você evite usar a conta de gerenciamento da AWS organização para implantações, a menos que seja absolutamente necessário. Em vez disso, transmita as implantações para as contas dos membros. Como o gerenciamento de artefatos de auditoria pode ser feito a partir de uma conta de membro e a função está estreitamente alinhada com a equipe de segurança e conformidade, a conta do Security Tooling é designada como a conta do administrador para. AWS Artifact Você pode usar AWS Artifact relatórios para baixar documentos de AWS segurança e conformidade, como certificações AWS ISO, PCI (Payment Card Industry) e relatórios de System and Organization Controls (SOC).

AWS Artifact não oferece suporte ao recurso de administração delegada. Em vez disso, você pode restringir esse recurso apenas às funções do IAM na conta do Security Tooling que pertencem às suas equipes de auditoria e conformidade, para que elas possam baixar, revisar e fornecer esses relatórios aos auditores externos conforme necessário. Além disso, você pode restringir funções específicas do IAM para ter acesso somente a AWS Artifact relatórios específicos por meio de políticas do IAM. Para exemplos de políticas do IAM, consulte a AWS Artifact documentação.

Considerações sobre design

Se você optar Conta da AWS por ter uma dedicada às equipes de auditoria e conformidade, poderá hospedar AWS Artifact em uma conta de auditoria de segurança, que é separada da conta do Security Tooling. AWS Artifact os relatórios fornecem evidências que demonstram que uma organização está seguindo um processo documentado ou atendendo a um requisito específico. Os artefatos de auditoria são coletados e arquivados em todo o ciclo de vida do desenvolvimento do sistema e podem ser usados como evidência em auditorias e avaliações internas ou externas.

AWS KMS

AWS Key Management Service(AWS KMS) ajuda você a criar e gerenciar chaves criptográficas e controlar seu uso em uma ampla variedade de Serviços da AWS e em seus aplicativos. AWS KMS é um serviço seguro e resiliente que usa módulos de segurança de hardware para proteger chaves criptográficas. Ele segue os processos de ciclo de vida padrão do setor para materiais essenciais, como armazenamento, rotação e controle de acesso às chaves. AWS KMS podem ajudar a proteger seus dados com chaves de criptografia e assinatura e podem ser usadas tanto para criptografia do lado do servidor quanto para criptografia do lado do cliente por meio do SDK de criptografia.AWS Para proteção e flexibilidade, AWS KMS oferece suporte a três tipos de chaves: chaves gerenciadas pelo cliente, chaves AWS gerenciadas e chaves AWS próprias. As chaves gerenciadas pelo cliente são AWS KMS chaves Conta da AWS que você cria, possui e gerencia. AWS chaves gerenciadas são AWS KMS chaves em sua conta que são criadas, gerenciadas e usadas em seu nome por uma AWS service (Serviço da AWS) que está integrada AWS KMS a. AWS chaves de propriedade são uma coleção de AWS KMS chaves que uma pessoa AWS service (Serviço da AWS) possui e gerencia para uso em várias Contas da AWS. Para obter mais informações sobre o uso de AWS KMS chaves, consulte a AWS KMS documentação e os detalhes AWS KMS criptográficos.

Uma opção de implantação é centralizar a responsabilidade do gerenciamento de AWS KMS chaves em uma única conta e, ao mesmo tempo, delegar a capacidade de usar chaves na conta do aplicativo pelos recursos do aplicativo usando uma combinação de políticas de chave e IAM. Essa abordagem é segura e fácil de gerenciar, mas você pode encontrar obstáculos devido aos limites de AWS KMS limitação, aos limites do serviço da conta e à inundação da equipe de segurança com tarefas operacionais de gerenciamento de chaves. Outra opção de implantação é ter um modelo descentralizado no qual você permita AWS KMS residir em várias contas e permitir que os responsáveis pela infraestrutura e pelas cargas de trabalho em uma conta específica gerenciem suas próprias chaves. Esse modelo oferece às suas equipes de carga de trabalho mais controle, flexibilidade e agilidade sobre o uso de chaves de criptografia. Também ajuda a evitar limites de API, limita o escopo do impacto a Conta da AWS apenas um e simplifica relatórios, auditorias e outras tarefas relacionadas à conformidade. Em um modelo descentralizado, é importante implantar e aplicar grades de proteção para que as chaves descentralizadas sejam gerenciadas da mesma forma e o uso das AWS KMS chaves seja auditado de acordo com as melhores práticas e políticas estabelecidas. Para obter mais informações, consulte o whitepaper AWS Key Management Service Best Practices. AWS A SRA recomenda um modelo distribuído de gerenciamento de chaves no qual as AWS KMS chaves residam localmente na conta em que são usadas. Recomendamos que você evite usar uma única chave em uma conta para todas as funções criptográficas. As chaves podem ser criadas com base nos requisitos de função e proteção de dados e para aplicar o princípio do menor privilégio. Em alguns casos, as permissões de criptografia seriam mantidas separadas das permissões de descriptografia, e os administradores gerenciariam as funções do ciclo de vida, mas não conseguiriam criptografar ou descriptografar dados com as chaves que gerenciam.

Na conta do Security Tooling, AWS KMS é usado para gerenciar a criptografia de serviços de segurança centralizados, como a trilha da AWS CloudTrail organização que é gerenciada pela AWS organização.

AWS Private CA

AWS Private Certificate Authority(AWS Private CA) é um serviço gerenciado de CA privada que ajuda você a gerenciar com segurança o ciclo de vida de seus certificados TLS de entidade final privada para instâncias EC2 , contêineres, dispositivos de IoT e recursos locais. Ele permite comunicações TLS criptografadas para aplicativos em execução. Com AWS Private CA, você pode criar sua própria hierarquia de CA (uma CA raiz, por meio de subordinada CAs, até certificados de entidade final) e emitir certificados com ela para autenticar usuários internos, computadores, aplicativos, serviços, servidores e outros dispositivos e assinar códigos de computador. Os certificados emitidos por uma CA privada são confiáveis somente na sua AWS organização, não na Internet.

Uma infraestrutura de chave pública (PKI) ou equipe de segurança pode ser responsável pelo gerenciamento de toda a infraestrutura de PKI. Isso inclui o gerenciamento e a criação da CA privada. No entanto, deve haver uma provisão que permita que as equipes de carga de trabalho atendam por conta própria aos requisitos de certificado. O AWS SRA descreve uma hierarquia centralizada de CA na qual a CA raiz está hospedada na conta do Security Tooling. Isso permite que as equipes de segurança apliquem um controle de segurança rigoroso, porque a CA raiz é a base de toda a PKI. No entanto, a criação de certificados privados da CA privada é delegada às equipes de desenvolvimento de aplicativos compartilhando a CA em uma conta de aplicativo usando AWS Resource Access Manager (AWS RAM). AWS RAM gerencia as permissões necessárias para o compartilhamento entre contas. Isso elimina a necessidade de uma CA privada em cada conta e fornece uma forma mais econômica de implantação. Para obter mais informações sobre o fluxo de trabalho e a implementação, consulte a postagem do blog Como usar AWS RAM para compartilhar sua AWS Private CA conta cruzada.

nota

AWS Certificate Manager (ACM) também ajuda você a provisionar, gerenciar e implantar certificados TLS públicos para uso com. Serviços da AWS Para oferecer suporte a essa funcionalidade, o ACM precisa residir no Conta da AWS que usaria o certificado público. Isso será discutido posteriormente neste guia, na seção Conta do aplicativo.

Considerações sobre design

  • Com AWS Private CA, você pode criar uma hierarquia de autoridades de certificação com até cinco níveis. Você também pode criar várias hierarquias, cada uma com sua própria raiz. A AWS Private CA hierarquia deve seguir o design de PKI da sua organização. No entanto, lembre-se de que o aumento da hierarquia da CA aumenta o número de certificados no caminho de certificação, o que, por sua vez, aumenta o tempo de validação de um certificado de entidade final. Uma hierarquia de CA bem definida fornece benefícios que incluem controle de segurança granular apropriado para cada CA, delegação de CA subordinada a um aplicativo diferente, o que leva à divisão de tarefas administrativas, uso de CA com confiança revogável limitada, a capacidade de definir diferentes períodos de validade e a capacidade de impor limites de caminho. Idealmente, sua raiz e seu subordinado CAs estão separados Contas da AWS. Para obter mais informações sobre como planejar uma hierarquia de CA usando AWS Private CA, consulte a AWS Private CA documentação e a postagem do blog Como proteger uma AWS Private CA hierarquia de escala corporativa para o setor automotivo e de manufatura.

  • AWS Private CA pode se integrar à sua hierarquia de CA existente, o que permite que você use a capacidade de automação e AWS integração nativa do ACM em conjunto com a raiz de confiança existente que você usa atualmente. Você pode criar uma CA subordinada AWS Private CA apoiada por uma CA principal no local. Para obter mais informações sobre a implementação, consulte Instalando um certificado de CA subordinado assinado por uma CA externa principal na AWS Private CA documentação.

Amazon Inspector

O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que descobre e escaneia automaticamente EC2 instâncias da Amazon, imagens de contêineres no Amazon Elastic Container Registry (Amazon ECR) AWS Lambda , funções e repositórios de código em seus gerenciadores de código-fonte em busca de vulnerabilidades conhecidas de software e exposição não intencional na rede.

O Amazon Inspector avalia continuamente seu ambiente durante todo o ciclo de vida de seus recursos, examinando automaticamente os recursos sempre que você fizer alterações neles. Os eventos que iniciam a nova análise de um recurso incluem a instalação de um novo pacote em uma EC2 instância, a instalação de um patch e a publicação de um novo relatório de vulnerabilidades e exposições comuns (CVE) que afeta o recurso. O Amazon Inspector oferece suporte às avaliações de benchmark do Center of Internet Security (CIS) para sistemas operacionais em instâncias. EC2

O Amazon Inspector se integra com ferramentas de desenvolvedor, como Jenkins, e TeamCity para avaliações de imagens de contêineres. Você pode avaliar suas imagens de contêiner em busca de vulnerabilidades de software em sua integração contínua e entrega contínua (painel da CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD ferramenta), para que você possa realizar ações automatizadas em resposta a problemas críticos de segurança, como compilações bloqueadas ou envios de imagens para registros de contêineres. Se você tiver um ativo Conta da AWS, você pode instalar o plug-in Amazon Inspector a partir do seu mercado de CI/CD ferramentas e adicionar um escaneamento do Amazon Inspector em seu pipeline de construção sem precisar ativar o serviço Amazon Inspector. Esse recurso funciona com CI/CD ferramentas hospedadas em qualquer lugar AWS, localmente ou em nuvens híbridas, para que você possa usar consistentemente uma única solução em todos os seus pipelines de desenvolvimento. Quando o Amazon Inspector é ativado, ele descobre automaticamente todas as suas EC2 instâncias, imagens de contêineres no Amazon ECR e nas ferramentas e CI/CD funções do Lambda em grande escala e as monitora continuamente em busca de vulnerabilidades conhecidas.

As descobertas de acessibilidade de rede do Amazon Inspector avaliam a acessibilidade de EC2 suas instâncias de ou para bordas de VPC, como gateways de internet, conexões de emparelhamento de VPC ou redes privadas virtuais () por meio de um gateway virtual. VPNs Essas regras ajudam a automatizar o monitoramento de suas AWS redes e a identificar onde o acesso à rede às suas EC2 instâncias pode estar mal configurado por meio de grupos de segurança mal gerenciados, listas de controle de acesso (ACLs), gateways de internet e assim por diante. Para obter mais informações, consulte a documentação do Amazon Inspector.

Quando o Amazon Inspector identifica vulnerabilidades ou caminhos de rede abertos, ele produz uma descoberta que você pode investigar. A descoberta inclui detalhes abrangentes sobre a vulnerabilidade, incluindo uma pontuação de risco, o recurso afetado e recomendações de remediação. A pontuação de risco é adaptada especificamente ao seu ambiente e é calculada correlacionando as informações do up-to-date CVE com fatores temporais e ambientais, como informações de acessibilidade e explorabilidade da rede, para fornecer uma descoberta contextual.

O Amazon Inspector Code Security verifica o código-fonte do aplicativo primário, as dependências de aplicativos de terceiros e a infraestrutura como código (IaC) em busca de vulnerabilidades. Depois de ativar o Code Security, você pode criar e aplicar uma configuração de escaneamento ao seu repositório de código para determinar a frequência, o tipo de escaneamento e os repositórios a serem escaneados. O Code Security oferece suporte a testes estáticos de segurança de aplicativos (SAST), análise de composição de software (SCA) e escaneamento de IaC. Para configurar a frequência, você pode definir escaneamentos sob demanda, em alterações de código ou periodicamente. A verificação de código captura trechos de código para destacar as vulnerabilidades detectadas. Os trechos de código são armazenados criptografados com chaves KMS. O administrador delegado de uma organização não pode visualizar trechos de código pertencentes a contas de membros. Depois de integrar seus gerenciadores de código-fonte (SCMs) com o Code Security, todos os repositórios de código são listados como projetos no console do Amazon Inspector. O Code Security monitora somente a ramificação padrão de cada repositório. O Amazon Inspector simplifica a remediação de segurança fornecendo recomendações específicas de correção de código diretamente onde os desenvolvedores trabalham. A integração bidirecional com seu SCM sugere automaticamente correções como comentários nas solicitações pull (PRs) e nas solicitações de mesclagem (MRs) para descobertas críticas e importantes, além de alertar os desenvolvedores sobre as vulnerabilidades mais importantes a serem abordadas sem interromper o fluxo de trabalho. 

Para verificar vulnerabilidades, as EC2 instâncias devem ser gerenciadas AWS Systems Manager usando AWS Systems Manager Agent (SSMAgent).  Nenhum agente é necessário para a acessibilidade de EC2 instâncias na rede ou para a verificação de vulnerabilidades de imagens de contêineres nas funções Amazon ECR ou Lambda.

O Amazon Inspector é integrado AWS Organizations e oferece suporte à administração delegada. No AWS SRA, a conta do Security Tooling é transformada em conta de administrador delegado para o Amazon Inspector. A conta de administrador delegado do Amazon Inspector pode gerenciar descobertas, dados e determinadas configurações para membros da organização. AWS Isso inclui visualizar os detalhes das descobertas agregadas de todas as contas dos membros, ativar ou desativar as verificações das contas dos membros e revisar os recursos escaneados dentro da organização. AWS

Considerações sobre design

  • O Amazon Inspector se integra automaticamente com o Security AWS Security Hub CSPM Hub quando ambos os serviços estão habilitados. Você pode usar essa integração para enviar todas as descobertas do Amazon Inspector para o Security Hub CSPM, que então incluirá essas descobertas em sua análise da sua postura de segurança.

  • O Amazon Inspector exporta automaticamente eventos para descobertas, alterações na cobertura de recursos e escaneamentos iniciais de recursos individuais para a Amazon e EventBridge, opcionalmente, para um bucket do Amazon Simple Storage Service (Amazon S3). Para exportar descobertas ativas para um bucket do S3, você precisa de uma AWS KMS chave que o Amazon Inspector possa usar para criptografar descobertas e de um bucket do S3 com permissões que permitam ao Amazon Inspector carregar objetos. EventBridgea integração permite monitorar e processar descobertas quase em tempo real como parte de seus fluxos de trabalho existentes de segurança e conformidade. EventBridge os eventos são publicados na conta de administrador delegado do Amazon Inspector, além da conta membro da qual eles se originaram.

  • As integrações do Amazon Inspector Code Security com GitHub SaaS, GitHub Enterprise Cloud e GitHub Enterprise Server exigem acesso público à Internet.

Exemplo de implementação

A biblioteca de códigos AWS SRA fornece um exemplo de implementação do Amazon Inspector. Ele demonstra a administração delegada (ferramentas de segurança) e configura o Amazon Inspector para todas as contas existentes e futuras na organização. AWS

AWS Security Incident Response

AWS Security Incident Responseé um serviço que ajuda você a se preparar e responder a incidentes de segurança em seu AWS ambiente. Ele faz a triagem das descobertas, escalona os eventos de segurança e gerencia casos que exigem sua atenção imediata. Além disso, dá acesso à Equipe de Resposta a Incidentes AWS do Cliente (CIRT), que investiga os recursos afetados. AWS Security Incident Response também fornece recursos automatizados de resposta e remediação por meio de AWS Systems Manager documentos (documentos SSM), que ajudam as equipes de segurança a responder e se recuperar de incidentes de segurança com mais eficiência. AWS Security Incident Response integra-se à Amazon GuardDuty e AWS Security Hub CSPM para receber descobertas de segurança e orquestrar respostas automatizadas.

No AWS SRA, AWS Security Incident Response é implantado na conta do Security Tooling como uma conta de administrador delegado. A conta do Security Tooling é selecionada porque está alinhada com a finalidade da conta de operar serviços de segurança e automatizar alertas e respostas de segurança. A conta do Security Tooling também atua como a conta de administrador delegado do Security Hub CSPM e GuardDuty, além disso AWS Security Incident Response, ajuda a simplificar o gerenciamento do fluxo de trabalho. AWS Security Incident Response está configurado para funcionar com AWS Organizations, para que você possa gerenciar as respostas a incidentes nas contas da sua organização a partir da conta do Security Tooling.

AWS Security Incident Response ajuda você a implementar as seguintes fases do ciclo de vida de resposta a incidentes:

  • Preparação: Crie e mantenha planos de resposta e documentos SSM para ações de contenção.

  • Detecção e análise: analise automaticamente as descobertas de segurança e determine a gravidade do incidente.

  • Detecção e análise: abra um caso suportado pelo serviço e entre em contato com o AWS CIRT para obter assistência adicional. O CIRT é um grupo de indivíduos que fornecem suporte durante eventos de segurança ativos. 

  • Contenção e erradicação: execute ações de contenção automatizadas por meio de documentos SSM.

  • Atividade pós-incidente: documente os detalhes do incidente e conduza análises pós-incidentes.

Você também pode usar AWS Security Incident Response para criar casos autogerenciados. AWS Security Incident Response pode criar uma notificação ou um caso externo quando você precisa estar ciente ou agir sobre algo que possa afetar sua conta ou seus recursos. Esse recurso está disponível somente quando você ativa os fluxos de trabalho de resposta proativa e triagem de alertas como parte de sua assinatura.

Considerações sobre design

  • Ao implementar AWS Security Incident Response, analise e teste cuidadosamente as ações de resposta automatizada antes de habilitá-las na produção. A automação pode acelerar a resposta a incidentes, mas ações automatizadas configuradas incorretamente podem afetar cargas de trabalho legítimas.

  • Considere usar documentos SSM AWS Security Incident Response para implementar procedimentos de contenção específicos da organização, mantendo as melhores práticas integradas do serviço para tipos comuns de incidentes.

  • Se você planeja usar AWS Security Incident Response em uma VPC, certifique-se de ter os endpoints de VPC apropriados configurados para o Systems Manager e outros serviços integrados para permitir ações de contenção em sub-redes privadas.

Implantando serviços de segurança comuns em todos Contas da AWS

A seção Aplicar serviços de segurança em sua AWS organização, anterior nesta referência Conta da AWS, destacou os serviços de segurança que protegem um e observou que muitos desses serviços também podem ser configurados e gerenciados em AWS Organizations. Alguns desses serviços devem ser implantados em todas as contas e você os verá no AWS SRA. Isso permite um conjunto consistente de grades de proteção e fornece monitoramento, gerenciamento e governança centralizados em toda a organização. AWS

O Security Hub CSPM,, GuardDuty AWS Config, IAM Access Analyzer e as trilhas CloudTrail da organização aparecem em todas as contas. Os três primeiros oferecem suporte ao recurso de administrador delegado discutido anteriormente na seção A conta de gerenciamento, acesso confiável e administradores delegados. CloudTrail atualmente usa um mecanismo de agregação diferente.

O repositório de GitHub códigos do AWS SRA fornece um exemplo de implementação para habilitar trilhas de CSPM,,, GuardDuty AWS Config AWS Firewall Manager, e CloudTrail organização do Security Hub em todas as suas contas, incluindo a conta de gerenciamento da AWS organização.

Considerações sobre design

  • Configurações específicas da conta podem exigir serviços de segurança adicionais. Por exemplo, contas que gerenciam buckets do S3 (as contas Application e Log Archive) também devem incluir o Amazon Macie e considerar a ativação CloudTrail do registro de eventos de dados do S3 nesses serviços de segurança comuns. (O Macie oferece suporte à administração delegada com configuração e monitoramento centralizados.) Outro exemplo é o Amazon Inspector, que é aplicável somente para contas que hospedam EC2 instâncias ou imagens do Amazon ECR.

  • Além dos serviços descritos anteriormente nesta seção, o AWS SRA inclui dois serviços focados em segurança, Amazon Detective e, que AWS Organizations oferecem suporte à integração AWS Audit Manager e à funcionalidade de administrador delegado. No entanto, eles não estão incluídos como parte dos serviços recomendados para a definição de base da conta, porque vimos que esses serviços são melhor usados nos seguintes cenários:

    • Você tem uma equipe dedicada ou um grupo de recursos que executam essas funções. O Detective é melhor utilizado pelas equipes de analistas de segurança e o Audit Manager é útil para suas equipes internas de auditoria ou conformidade.

    • Você quer se concentrar em um conjunto básico de ferramentas, como GuardDuty o Security Hub CSPM, no início do seu projeto e, em seguida, desenvolvê-las usando serviços que fornecem recursos adicionais.