本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全 OU – 安全工具账户
| 通过进行简短的调查 |
下图说明了在 AWS 安全工具账户中配置的安全服务。
Security Tooling 账户专门用于操作安全服务 AWS 账户、监控以及自动发送安全警报和响应。安全目标包括以下内容:
-
提供具有受控访问权限的专用帐户,以管理对安全护栏的访问权限、监控和响应。
-
维护适当的集中式安全基础架构,以监控安全运营数据并保持可追溯性。检测、调查和响应是安全生命周期的重要组成部分,可用于支持质量流程、法律或合规义务以及威胁识别和响应工作。
-
通过保持对适当安全配置和操作(例如加密密钥和安全组设置)的另一层控制,进一步支持 defense-in-depth组织战略。这是安全操作员工作的账户。查看 AWS 组织范围信息的只读/审计角色是典型的,而 write/modify 角色数量有限,受到严格控制、监控和记录。
设计注意事项
-
AWS Control Tower 默认情况下,将安全 OU 下的帐户命名为审计帐户。您可以在 AWS Control Tower 设置过程中重命名该帐户。
-
拥有多个安全工具帐户可能是合适的。例如,安全事件的监控和响应通常分配给一个专门的团队。网络安全可能需要与云基础架构或网络团队合作使用自己的帐户和角色。这种分裂保留了分离集中式安全飞地的目标,并进一步强调了职责分离、最低权限和团队分配的潜在简单性。如果您正在使用 AWS Control Tower,则它会限制在安全 OU AWS 账户 下创建其他内容。
安全服务的委派管理员
Security Tools 帐户充当安全服务的管理员帐户,这些服务在整个 administrator/member 结构中进行管理 AWS 账户。如前所述,这是通过 AWS Organizations 委派管理员功能来处理的。 AWS SRA 中目前支持委派管理员的服务包括 IAM 对根访问权限的集中管理、、、Amazon、IAM Access Analyzer AWS Config AWS Firewall Manager、Amazon Macie GuardDuty、、、Amazon Detective、 AWS Security Hub、Amazon Inspector AWS Security Hub CSPM、 AWS Audit Manager、Amazon Inspector AWS CloudTrail和。 AWS Systems Manager您的安全团队管理这些服务的安全功能,并监控任何特定于安全的事件或发现。
AWS IAM Identity Center 支持对成员账户进行委托管理。 AWS SRA 使用共享服务账户作为 IAM 身份中心的委托管理员账户,如共享服务账户的 IAM 身份中心部分稍后所述。
集中式根访问权限
Security Tooling 账户是 IAM 集中管理根访问权限的委托管理员账户。 必须在组织级别启用此功能,方法是在成员账户中启用凭据管理和特权 root 操作。必须明确向授权管理员提供sts:AssumeRoot权限,才能代表成员账户执行特权 root 操作。只有在组织管理账户或委托管理员账户中启用成员账户中的特权 root 操作后,此权限才可用。有了此权限,用户可以从 Security Tooling 账户集中对成员账户执行特权 root 用户任务。启动特权会话后,您可以删除配置错误的 S3 存储桶策略、删除配置错误的 SQS 队列策略、删除成员账户的根用户证书,以及重新启用成员账户的根用户证书。您可以使用 AWS Command Line Interface (AWS CLI) 或通过,从控制台执行这些操作 APIs。
AWS CloudTrail
AWS CloudTrail
在 AWS SRA 中,安全工具帐户是用于管理 CloudTrail的委派管理员帐户。存储组织跟踪日志的相应的 S3 存储桶是在日志存档账户中创建的。这是为了区分 CloudTrail日志权限的管理和使用。有关如何创建或更新 S3 存储桶以存储组织跟踪的日志文件的信息,请参阅CloudTrail 文档。作为安全最佳实践,将组织跟踪的aws:SourceArn条件密钥添加到 S3 存储桶(以及任何其他资源,例如 KMS 密钥或 SNS 主题)的资源策略中。这可确保 S3 存储桶仅接受与特定跟踪关联的数据。该跟踪配置了日志文件验证,以验证日志文件完整性。使用 SSE-KMS 对日志和摘要文件进行加密。组织跟踪还与 Logs 中的 CloudWatch 日志组集成,用于发送事件以进行长期保留。
注意
您可以通过管理帐户和委派管理员帐户创建和管理组织跟踪。但是,作为最佳实践,您应限制对管理账户的访问权限,并在可用的情况下使用委派管理员功能。
设计注意事项
-
CloudTrail 默认情况下不记录数据事件,因为这些事件通常是高容量活动。但是,您应该捕获特定关键 AWS 资源的数据事件,例如 S3 存储桶、Lambda 函数、从 AWS 外部发送到湖中的日志事件以及 S CloudTrail NS 主题。为此,请通过指定每个单独的资源来配置组织跟踪,使其包含来自特定资源的数据事件。 ARNs
-
如果成员账户需要访问自己账户的 CloudTrail 日志文件,则可以选择性地共享中央 S3 存储桶中的组织 CloudTrail 日志文件。但是,如果成员账户需要使用本地 Amazon CloudWatch 日志组来存储其账户的 CloudTrail 日志,或者想要配置与组织跟踪不同的日志管理和数据事件(只读、只写、管理事件、数据事件),则他们可以创建具有适当控件的本地跟踪。特定于本地账户的跟踪会产生额外费用。
AWS Security Hub CSPM
AWS Security Hub Cloud Security Posture Managem
Security Hub CSPM 与 AWS Organizations 集成,可简化组织中所有现有和未来账户的安全态势管理。 AWS 您可以使用委托管理员帐户(在本例中为安全工具)中的 Security Hub CSPM 中央配置功能来指定如何在您的组织账户和组织单位 (OUs) 中跨区域配置 Security Hub CSPM 服务、安全标准和安全控制。 您可以通过几个步骤从一个主区域(即主区域)配置这些设置。如果您不使用中央配置,则必须在每个账户和区域中分别配置 Security Hub CSPM。委托管理员可以将账户指定 OUs 为自我管理,成员可以在每个区域中单独配置设置,也可以指定为集中管理,委托管理员可以跨区域配置成员账户或 OU。您可以将组织 OUs 中的所有账户指定为集中管理、全部自我管理或两者兼而有之。这简化了执行一致性配置的过程,同时提供了为每个 OU 和账户修改配置的灵活性。
Security Hub CSPM 委托管理员账户还可以查看所有成员账户的调查结果、查看见解和控制详细信息。此外,您还可以在委托管理员账户中指定一个聚合区域,以便在您的账户和关联区域中集中您的调查结果。您的发现将在聚合器区域与所有其他区域之间持续双向同步。
Security Hub CSPM 支持与多个集成。 AWS 服务亚马逊 GuardDuty、亚马逊 Macie AWS Config、IAM Access Analyzer、 AWS Firewall Manager Amazon Inspector、 Amazon Route 53 Resolver DNS 防火墙和 AWS Systems Manager 补丁管理器可以将调查结果提供给 Security Hub CSPM。Security Hub CSPM 使用一种称为AWS 安全调查结果格式 (ASFF) 的标准格式来处理调查结果。Security Hub CSPM 将集成产品的发现关联起来,确定最重要的产品的优先级。您可以丰富 Security Hub CSPM 发现的元数据,以帮助更好地对安全发现进行情境化、优先级排序和采取行动。这种扩充功能为采集到 Security Hub CSPM 的每个发现添加了资源标签、新的 AWS 应用程序标签和账户名信息。这可以帮助您微调自动化规则的发现,搜索或筛选发现结果和见解,并按应用程序评估安全态势状态。此外,您还可以使用自动化规则自动更新调查结果。当 Security Hub CSPM 摄取发现结果时,它可以应用各种规则操作,例如抑制搜索结果、更改其严重性以及在发现结果中添加注释。当搜索结果符合您的指定标准(例如与查找结果关联的资源或帐户 IDs 或其标题)时,这些规则操作就会生效。您可以使用自动化规则更新 ASFF 中的选定查找字段。规则适用于新的和更新的发现。
在调查安全事件期间,您可以从 Security Hub CSPM 导航到 Amazon Detective 以调查调查结果。 GuardDuty Security Hub CSPM 建议调整诸如 Detective(如果存在)之类的服务的委托管理员帐户,以便更顺畅地集成。例如,如果您不在 Detective 和 Security Hub CSPM 之间调整管理员帐户,则从调查结果导航到 Detective 将不起作用。有关完整列表,请参阅 Security Hub CSPM 文档中的 Security Hub CSPM AWS 服务 集成概述。
您可以将 Security Hub CSPM 与 Amazon VPC 的网络访问分析
除了监控功能外,Security Hub CSPM 还支持与亚马逊集成 EventBridge ,以自动修复特定发现。您可以定义在收到调查结果时要采取的自定义操作。例如,您可以配置自定义操作,将结果发送到票证系统或自动修复系统。有关其他讨论和示例,请参阅 AWS 博客文章使用 AWS Security Hub CSPM自动响应和补救以及
Security Hub CSPM 使用服务关联 AWS Config 规则 来执行其大部分安全控制检查。要支持这些控制,AWS Config 必须在每个启用 Security AWS 区域 Hub CSPM 的账户(包括管理员(或委托管理员)账户和成员账户)上启用这些控制。
设计注意事项
-
如果 Security Hub CSPM 中已经存在合规标准,例如 PCI-DSS,那么完全托管的 Security Hub CSPM 服务是实现该标准的最简单方法。但是,如果您想制定自己的合规性或安全标准,其中可能包括安全、运营或成本优化检查,则 AWS Config 一致性包提供了简化的自定义流程。(有关 AWS Config 和一致性包的更多信息,请参阅一AWS Config节。)
-
Security Hub CSPM 的常见用例包括以下内容:
-
作为仪表板,让应用程序所有者可以查看其 AWS 资源的安全和合规状况
-
作为安全运营部门、事件响应者和威胁猎人使用的安全调查结果的中心视图,用于对各地区和各地区的 AWS 安全与合规调查结果进行分类并采取行动 AWS 账户
-
汇总来自各个地区的安全与合规性调查结果, AWS 账户 并将其发送到集中式安全信息和事件管理 (SIEM) 或其他安全协调系统
有关这些用例的更多指导,包括如何进行设置,请参阅博客文章《三种反复出现的 Security Hub CSPM 使用模式以及如何部署
它们》。 -
实现示例
AWS SRA 代码库
AWS Security Hub
AWS Security Hub是一款统一的云安全解决方案,可对您的关键安全威胁进行优先级排序,并帮助您大规模做出响应。Security Hub 通过自动关联和丰富来自多个来源的安全信号,例如状态管理 (AWS Security Hub CSPM)、漏洞管理 (Amazon Inspector)、敏感数据 (Amazon Macie) 和威胁检测 (亚马逊),近乎实时地检测安全问题。 GuardDuty这使得安全团队能够通过自动化分析和上下文洞察优先处理云环境中的活跃风险。Security Hub 直观地呈现了潜在的攻击路径,攻击者可以利用这些路径来访问与暴露发现相关的资源。这将复杂的安全信号转化为切实可行的见解,因此您可以快速就自己的安全做出明智的决策。
Security Hub 经过了战略重新设计,以简化相关安全服务构建块的启用流程,从而实现安全成果。通过近乎实时地关联不同安全信号的威胁矩阵中的安全发现,您可以先确定最关键的风险的优先级。这些发现与检测与 AWS 资源相关的暴露相关。风险暴露代表了安全控制、配置错误或其他可能被主动威胁利用的领域中更广泛的弱点。例如,暴露可能是可以从 Internet 访问的实例,该 EC2 实例具有很可能被利用的软件漏洞。
Security Hub 和 Security Hub CSPM 是互补服务。Sec@@ urity Hub CSPM 可全面了解您的安全状况,并帮助您根据安全行业标准和最佳实践评估您的云环境。 Security Hub 提供统一的体验,可帮助您确定关键安全问题的优先顺序并做出响应。Security Hub CSPM 调查发现会自动路由到 Security Hub,在那里它们与其他安全服务(例如 Amazon Inspector)的调查发现相关联,从而产生暴露。这有助于您识别自己环境中最严重的风险。
Security Hub 还按类型和相关发现提供 AWS 环境中资源的摘要。资源按照暴露和攻击序列确定优先级。选择资源类型时,您可以查看与该资源类型关联的所有资源。
为了获得最佳体验,我们建议启用 Security Hub 和 Security Hub CSPM,并启用其他安全服务:亚马逊 GuardDuty、Amazon Insp ector 和 Amazon
在 AWS SRA 中,安全工具账户充当 Security Hub、Security Hub CSPM 和其他 AWS 安全服务的委托管理员。在 Security Tooling 账户中,您可以查看与成员账户关联的所有资源。您还可以通过链接查看家 AWS 区域 中的所有资源 AWS 区域。
实施说明
启用 Security Hub 需要三个步骤,包括考虑您之前是否启用过 Security Hub CSPM 的过程。Security Hub 与原生集成 AWS Organizations,这简化了配置和实施过程,并将所有发现集中并汇总到一个位置。根据 AWS SRA 最佳实践,使用安全工具帐户作为委托管理员帐户来管理和配置 Security Hub。使用 Security Hub 配置设置自动启用所有区域和账户,包括未来的区域和账户。 OUs您还应该设置跨区域聚合,将来自多个区域的调查结果、资源和趋势聚合 AWS 区域 到一个主区域中。在配置过程中,您还可以启用任何原生集成,例如 Jira Cloud 或。 ServiceNow
设计注意事项
-
Security Hub 的调查结果采用开放网络安全架构框架 (OCSF) 进行格式化。Security Hub 在 OCSF 中生成调查结果,并在 OCSF 中接收来自 Security Hub CSPM 和其他机构的调查结果。 AWS 服务这些 OCSF 调查结果可以通过 Amazon 发送 EventBridge 以实现自动化,也可以存储在中央日志聚合账户中以执行安全日志分析和保留。
-
AWS 组织管理账户无法在 Security Hub 中将自己指定为 “委托管理员”。这符合 AWS SRA 将安全工具帐户指定为授权管理员的最佳实践。另请注意:
-
Security Hub CSPM 的指定管理员帐户自动成为 Security Hub 的指定管理员。
-
通过 Security Hub 移除委托管理也会移除 Security Hub CSPM 的委托管理。同样,通过 Security Hub CSPM 移除委托管理也会移除 Security Hub 的委托管理。
-
-
Security Hub 包括根据您的规格自动修改发现结果并对其采取措施的功能,Security Hub 支持以下类型的自动化:
-
自动化规则,可根据定义的标准自动更新调查结果、抑制发现结果并将结果近乎实时地发送到工单工具。
-
自动响应和补救,可创建自定义 EventBridge 规则,定义针对特定发现和见解采取的自动行动。
-
-
Security Hub 可以通过策略在所有成员账户和区域中配置 Amazon Inspector,也可以通过部署配置 GuardDuty 和 Security Hub CSPM。 AWS Organizations 策略为账户和地区生成策略。部署是一次性操作,可在选定的账户和地区启用安全功能。部署不适用于新启用的账户。或者,你可以在 GuardDuty和 Security Hub CSPM 中为新成员账户自动启用功能。
Amazon GuardDuty
Amazon GuardDuty
除了提供基础数据源外,还 GuardDuty 提供用于识别安全发现的可选功能。这些保护包括 EKS 保护、RDS 保护、S3 保护、恶意软件防护和 Lambda 防护。对于新的探测器,这些可选功能默认处于启用状态,但 EKS 防护除外,必须手动启用。
-
借助 GuardDuty S3 保护,除了默认 CloudTrail 管理事件外,还可以 GuardDuty 监控 Amazon S3 数据事件。 CloudTrail 监控数据事件使您 GuardDuty 能够监控对象级 API 操作,以防您的 S3 存储桶中的数据面临潜在的安全风险。
-
GuardDuty 恶意软件保护通过在连接的 Amazon Elastic Block Store (Amazon EBS) 卷上启动无代理扫描,检测亚马逊 EC2实例或容器工作负载上是否存在恶意软件。 GuardDuty 还可以通过扫描新上传的对象或现有对象的新版本来检测 S3 存储桶中的潜在恶意软件。
-
GuardDuty RDS 保护旨在在不影响数据库性能的情况下分析和监控 Amazon Aurora 数据库的访问活动。
-
GuardDuty EKS 保护包括 EKS 审核日志监控和 EKS 运行时监控。通过 EKS 审核日志监控, GuardDuty 监控来自 Amazon EKS 集群的 Kubernetes 审计日志,并分析这些日志中是否存在潜在的恶意和可疑活动。EKS 运行时监控使用 GuardDuty 安全代理(这是一个 Amazon EKS 附加组件)来提供对各个 Amazon EKS 工作负载的运行时可见性。 GuardDuty 安全代理可帮助识别您的 Amazon EKS 集群中可能遭到入侵的特定容器。它还可以检测有人企图将权限从单个容器升级到底层 Amazon EC2 主机或更广泛的 AWS 环境。
GuardDuty 还提供一项名为 “扩展威胁检测” 的功能,该功能可自动检测跨越数据源、多种 AWS 资源类型和时间段的多阶段攻击。 AWS 账户 GuardDuty关联这些事件(称为信号),以识别对您的 AWS 环境构成潜在威胁的场景,然后生成攻击序列发现。这涵盖了涉及与 AWS 证书滥用相关的泄露以及您的中的数据泄露企图的威胁场景 AWS 账户。 GuardDuty 将所有攻击序列查找类型视为 “严重”。默认情况下,此功能处于启用状态,并且不会产生任何额外费用。
在 AWS SRA 中,通过在所有账户中启 GuardDuty 用 AWS Organizations,并且所有发现均可由相应的安全团队在 GuardDuty 委派的管理员帐户(在本例中为安全工具帐户)中查看和采取行动。 GuardDuty 活动调查结果将导出到日志存档账户中的中央 S3 存储桶中,因此您可以将发现的保留时间超过 90 天。调查结果从委托管理员账户导出,还包括来自同一区域关联成员账户的所有调查结果。S3 存储桶中的结果使用 AWS KMS 客户托管密钥进行加密。S3 存储桶策略和 KMS 密钥策略配置 GuardDuty为仅允许使用资源。
启用后 AWS Security Hub CSPM ,搜索 GuardDuty 结果会自动流向 Security Hub CSPM 和 Security Hub。启用 Amazon Detective 后, GuardDuty 发现的结果将包含在 Detective 日志采集流程中。 GuardDuty 和 Detective 支持跨服务用户工作流程,其中 GuardDuty 提供来自控制台的链接,可将您从选定的发现重定向到包含一组精选的可视化效果的 Detective 页面,用于调查该发现。例如,您还可以 GuardDuty 与 Amazon EventBridge 集成,自动执行最佳实践 GuardDuty,例如自动回复新 GuardDuty 发现。
实现示例
AWS SRA 代码库
AWS Config
AWS Config
您可以使用来评估 AWS 资源的配置设置AWS Config 规则。 AWS Config 提供了一个名为托管规则的可自定义预定义规则库,您也可以编写自己的自定义规则。您可以在主动模式(部署资源之前)或侦探模式(部署资源之后)下运行 AWS Config 规则 。当配置发生更改时,可以按定期计划或按选择的频率对资源进行评估。
一致性包是 AWS Config 规则和补救措施的集合,可以作为单个实体部署在账户和区域中 AWS Organizations,也可以跨组织部署。一致性包是通过创作一个 YAML 模板来创建的,该模板包含 AWS Config 托管或自定义规则和补救操作的列表。要开始评估您的 AWS 环境,请使用其中一个样本一致性包模板。
AWS Config 与集成 AWS Security Hub CSPM ,将 AWS Config 托管和自定义规则评估的结果作为结果发送到 Security Hub CSPM。
AWS Config 规则 可以与结合使用, AWS Systems Manager 以有效修复不合规的资源。您可以使用 Systems Manager Explorer 收集 AWS 账户 跨界中AWS Config规则的合规性状态, AWS 区域 然后使用 S ystems Manager 自动化文档(运行手册)来解决您的不合规 AWS Config
规则。有关实施的详细信息,请参阅博客文章《使用 AWS Systems Manager 自动化运行手册修复不合规 AWS Config 规则》
AWS Config 聚合器在中收集多个账户、地区和组织的配置和合规性数据。 AWS Organizations聚合器仪表板显示聚合资源的配置数据。库存和合规性仪表板提供有关组织中 AWS 账户、跨 AWS 区域组织或 AWS 组织内部的 AWS 资源配置和合规性状态的重要和最新信息。它们使您无需编写 AWS Config 高级查询即可对 AWS 资源库存进行可视化和评估。 您可以获得基本见解,例如按资源划分的合规性摘要、拥有不合规资源的前 10 个账户、按类型比较正在运行和已停止的 EC2 实例以及按卷类型和大小划分的 EBS 卷。
如果您使用 AWS Control Tower 管理您的 AWS 组织,它将部署一组 AWS Config 规则作为侦探护栏(分为必修规则、强烈推荐规则或选修规则)。这些护栏可帮助您管理资源并监控组织中各个账户的合规性。 AWS 这些 AWS Config 规则将自动使用值为的aws-control-tower标签managed-by-control-tower。
AWS Config 必须为 AWS 组织中包含要保护的资源的每个成员帐户启用。 AWS 区域 您可以集中管理(例如,创建、更新和删除) AWS 组织内所有账户的 AWS Config 规则。通过 AWS Config 委派管理员帐户,您可以在所有账户中部署一组通用的 AWS Config 规则,并指定不应在其中创建 AWS Config 规则的帐户。 AWS Config 委派的管理员账户还可以汇总来自所有成员账户的资源配置和合规性数据,以提供单一视图。使用 APIs 来自委派管理员账户的,通过确保 AWS 组织中的成员账户无法修改基础 AWS Config 规则来强制治理。 AWS Config 如果启用了 Security Hub CSPM 并且至少存在一条 AWS Config 托管或自定义规则,则本机集成可将发现结果发送到 AWS Security Hub CSPM。
在 AWS SRA 中, AWS Config 委托的管理员帐户是安全工具帐户。 AWS Config 传输通道配置为在日志存档账户的集中式 S3 存储桶中传送资源配置快照。由于日志存档帐户是中央日志存储库,因此它用于存储资源配置。
设计注意事项
-
AWS Config 将配置和合规性更改通知流向 Amazon EventBridge。这意味着您可以使用中的本机筛选功能 EventBridge 来筛选AWS Config 事件,以便可以将特定类型的通知路由到特定的目标。例如,您可以将特定规则或资源类型的合规性通知发送到特定的电子邮件地址,或者将配置更改通知发送到外部 IT 服务管理 (ITSM) 或配置管理数据库 (CMDB) 工具。有关更多信息,请参阅博客文章AWS Config 最佳实践
。 -
除了使用 AWS Config 主动规则评估外,您还可以使用 AWS CloudFormation Guard,这是一种可以主动检查资源配置合规性的 policy-as-code评估工具。 AWS CloudFormation Guard 命令行界面 (CLI) 为您提供了一种声明性的、特定于域的语言 (DSL),您可以使用该语言将策略表示为代码。此外,您可以使用 AWS CLI 命令来验证 JSON 格式或 YAML 格式的结构化数据,例如 CloudFormation 变更集、基于 JSON 的 Terraform 配置文件或 Kubernetes 配置。您可以在创作过程中使用 AWS CloudFormation Guard CLI
在本地运行评估,也可以在部署管道 中运行评估。如果您有AWS Cloud Development Kit (AWS CDK) 应用程序,则可以使用 cdk-nag 主动检查最佳实践。
实现示例
AWS SRA 代码库
Amazon Security Lake
Amazon Secur
AWS SRA 建议您使用日志存档帐户作为 Security Lake 的委托管理员帐户。有关设置委托管理员账户的更多信息,请参阅安全 OU — 日志存档账户部分中的 Amazon Security Lak e。想要访问 Security Lake 数据或需要能够使用自定义提取、转换和加载 (ETL) 函数将非原生日志写入 Security Lake 存储桶的安全团队应在 Security Tools 账户中操作。
Security Lake 可以收集来自不同云提供商的日志、来自第三方解决方案的日志或其他自定义日志。我们建议您使用安全工具帐户执行 ETL 函数,将日志转换为开放网络安全架构框架 (OCSF) 格式,并以 Apache Parquet 格式输出文件。Security Lake 创建跨账户角色,该角色对安全工具账户和由 Lambda 函数 AWS Glue 或爬虫支持的自定义源具有适当权限,用于向 Security Lake 的 S3 存储桶写入数据。
Security Lake 管理员应配置使用安全工具帐户并需要访问 Security Lake 作为订阅者收集的日志的安全小组。 Security Lake 支持两种类型的订阅者访问:
-
数据访问 — 订阅者可以直接访问安全湖的 Amazon S3 对象。Security Lake 管理基础设施和权限。当您将安全工具账户配置为安全湖数据访问订阅者时,该账户将通过亚马逊简单队列服务 (Amazon SQS) Simple SQUEE Service 收到有关安全湖存储桶中的新对象的通知,安全湖会创建访问这些新对象的权限。
-
查询访问权限 — 订阅者可以使用诸如 Amazon Athena 之类的服务从您的 S3 存储桶中的 AWS Lake Formation 表中查询源数据。使用 Lake Formation 可以自动设置跨账户访问以进行查询访问。当您将 Security Tooling 账户配置为 Security Lake 查询访问订阅者时,该账户将获得对 Security Lake 账户中日志的只读访问权限。当您使用此订阅者类型时,Security Lake Log Archive 账户中的 Athena AWS Glue 和表将通过 () 与安全工具帐户 AWS Resource Access Manager 共享。AWS RAM要启用此功能,您必须将跨账户数据共享设置更新到版本 3。
有关创建订阅者的更多信息,请参阅 Security Lake 文档中的订阅者管理。
有关提取自定义源的最佳实践,请参阅 Security Lake 文档中的从自定义来源收集数据。
您可以使用 Amazon Quick Sight
设计注意事项
如果应用程序团队需要查询Security Lake数据以满足业务需求,则Security Lake管理员应将该应用程序帐户配置为订阅者。
Amazon Macie
Amazon Macie
Macie 已通过 AWS Organizations以下方式在所有账户中启用。在委托管理员账户(在本例中为 Security Tooling 账户)中拥有相应权限的委托人可以在任何账户中启用或暂停 Macie,为成员账户拥有的存储分区创建敏感数据发现任务,以及查看所有成员账户的所有策略结果。只有创建敏感发现任务的账户才能查看敏感数据调查结果。有关更多信息,请参阅 Macie 文档中的作为一个组织管理多个 Macie 帐户。
Macie 的调查结果将提交给 AWS Security Hub CSPM 进行审查和分析。Macie 还与 Amazon 集成, EventBridge 以促进对警报、安全信息和事件管理 (SIEM) 系统的馈送以及自动补救等发现的自动响应。
设计注意事项
-
如果 S3 对象使用您管理的 AWS Key Management Service (AWS KMS) 密钥加密,则可以将 Macie 服务相关角色作为密钥用户添加到该 KMS 密钥中,以允许 Macie 扫描数据。
-
Macie 已针对扫描 Amazon S3 中的对象进行了优化。因此,可以扫描任何可放入 Amazon S3(永久或临时)的 MacIE 支持的对象类型,以查找敏感数据。这意味着来自其他来源的数据(例如,亚马逊关系数据库服务 (Amazon RDS) 或亚马逊 Aurora 数据库的定期快照导出、导出的亚马逊 DynamoDB 表或从本机或第三方应用程序提取的文本文件)可以移动到 A
mazon S3 并由 Macie 进行评估。
实现示例
AWS SRA 代码库
IAM 访问分析器
随着您加快 AWS Cloud 采用过程并继续创新,保持对细粒度访问权限(权限)的严格控制、遏制访问激增并确保有效使用权限至关重要。过多和未使用的访问权限会带来安全挑战,并使企业更难执行最小权限原则。该原则是一个重要的安全架构支柱,它涉及不断调整IAM权限的大小,以平衡安全要求与运营和应用程序开发需求。这项工作涉及多个利益相关者角色,包括中央安全和云卓越中心 (CCoE) 团队以及去中心化开发团队。
AWS Identity and Access Management A@@ ccess Analyzer
IAM Access Analyzer 外部访问分析器发现结果功能可帮助您识别 AWS 组织和账户中与外部实体共享的资源,例如 A mazon S3 存储桶或 IAM 角色。您选择的 AWS
组织或账户被称为信任区域。分析器使用自动推理
同样,IAM Access Analyzer 内部访问分析器查找功能可帮助您识别 AWS 组织中的资源以及与组织或账户内部委托人共享的账户。此分析通过确保只有组织内的目标委托人才能访问您的指定资源,从而支持最低权限原则。这是一项付费功能,需要明确配置资源才能进行检查。谨慎地使用此功能来监视特定的敏感资源,根据设计,即使在内部也需要锁定这些资源。
IAM Access Analyzer 的调查结果还可以帮助您识别您的 AWS 组织和账户中授予的未使用访问权限,包括:
-
未使用的 IAM 角色 — 在指定的使用窗口内没有访问活动的角色。
-
未使用的 IAM 用户、证书和访问密钥 — 属于 IAM 用户并用于访问 AWS 服务 和资源的证书。
-
未使用的 IAM 策略和权限 — 角色在指定使用窗口内未使用的服务级别和操作级权限。IAM Access Analyzer 使用附加到角色的基于身份的策略来确定这些角色可以访问的服务和操作。分析器可以查看所有服务级别权限的未使用权限。
您可以使用 IAM Access Analyzer 生成的调查结果,根据贵组织的策略和安全标准,了解并修复任何意外或未使用的访问。修复后,下次运行分析器时,这些发现将被标记为已解决。如果发现是故意的,您可以在 IAM Access Analyzer 中将其标记为已存档,并优先考虑其他存在更大安全风险的发现。此外,您可以设置存档规则以自动存档特定的调查结果。例如,您可以创建一个存档规则,来自动存档您定期为其授予访问权限的特定 Amazon S3 存储桶的调查发现。
作为构建者,您可以使用 IAM Access Analyzer 在开发和部署 (CI/CD) 流程的早期自动执行 IAM 策略检查,以遵守您的企业安全标准。作为开发团队 CI/CD 管道的一部分,您可以将 IAM Access Analyzer 自定义策略检查和策略审查与 AWS CloudFormation 集成,从而自动执行策略审查。这包括:
-
IAM 策略验证 — IAM Access Analyzer 会根据 IAM 策略语法和 AWS 最佳实践验证您的策略。您可以查看策略验证检查的结果,包括安全警告、错误、一般警告和策略建议。目前有 100 多项策略验证检查可用,可以使用 AWS Command Line Interface (AWS CLI) 和自动执行这些检查 APIs。
-
IAM 自定义策略检查 — IAM Access Analyzer 自定义策略检查根据您指定的安全标准验证您的策略。自定义策略检查使用自动推理,为满足企业安全标准提供更高级别的保证。自定义策略检查的类型包括:
-
根据@@ 参考策略进行核对:编辑策略时,可以将其与参考策略(例如策略的现有版本)进行比较,以检查更新是否授予了新的访问权限。CheckNoNewAccessAPI 比较两个策略(更新后的策略和参考策略),以确定更新后的策略是否通过引用策略引入了新的访问权限,并返回通过或失败的响应。
-
对照 IAM 操作列表进行核对:您可以使用 CheckAccessNotGrantedAPI 来确保策略不会授予对安全标准中定义的关键操作列表的访问权限。此 API 采用策略和最多 100 个 IAM 操作的列表来检查该策略是否允许至少一个操作,并返回通过或失败的响应。
-
安全团队和其他 IAM 策略作者可以使用 IAM Access Analyzer 来编写符合 IAM 策略语法和安全标准的策略。手动编写大小合适的策略可能容易出错且耗时。IAM Access Analyzer 策略生成功能可帮助编写基于委托人访问活动的 IAM 策略。IAM Access Analyzer 会查看支持的服务的 AWS CloudTrail日志,并生成一个策略模板,其中包含委托人在指定日期范围内使用的权限。然后,您可以使用此模板创建具有精细权限的策略,该策略仅授予必要的权限。
-
您必须为账户启用 CloudTrail 跟踪,才能根据访问活动生成策略。
-
IAM Access Analyzer 不会在生成的策略中识别数据事件的操作级活动,例如 Amazon S3 数据事件。
-
该
iam:PassRole操作不会被跟踪 CloudTrail ,也不会包含在生成的策略中。
IAM Access Analyzer 是通过中的委托管理员功能在安全工具账户中部署的 AWS Organizations。授权的管理员有权创建和管理以 AWS 组织为信任区的分析器。
设计注意事项
要获得账户范围内的调查结果(其中账户作为可信边界),您可以在每个成员账户中创建一个账户范围的分析器。这可以作为账户渠道的一部分来完成。账户范围内的调查结果将在成员账户级别流入 Security Hub CSPM。从那里,它们会流向 Security Hub CSPM 委托管理员账户(安全工具)。
实施示例
-
AWS SRA 代码库
提供了 IAM Access Analyzer 的示例实现。它演示了如何在委派的管理员账户中配置组织级分析器,在每个账户中配置账户级分析器。 -
有关如何将自定义策略检查集成到构建器工作流程的信息,请参阅 AWS 博客文章 IAM Access Analyzer 自定义策略检查简介
。
AWS Firewall Manager
AWS Firewall Manager
当您想要保护整个 AWS 组织而不是少数特定帐户和资源,或者您经常添加想要保护的新资源时,Firewall Manager 特别有用。Firewall Manager 使用安全策略允许您定义一组配置,包括必须部署的相关规则、保护和操作,以及要包含或排除的帐户和资源(由标签指示)。您可以创建精细而灵活的配置,同时仍然能够将控制范围扩展到大量帐户和 VPCs. 即使创建了新账户和资源,这些策略也会自动一致地强制执行您配置的规则。Firewall Manager 通过在所有帐户中启用 AWS Organizations,配置和管理由相应的安全团队在 Firewall Manager 委派的管理员帐户(在本例中为安全工具帐户)中执行。
您必须 AWS Config 为 AWS 区域 包含要保护的资源的每个资源启用该选项。如果您不想 AWS Config 为所有资源启用该功能,则必须为与您所使用的 Firewall Manager 策略类型关联的资源启用该功能。当你同时使用两者 AWS Security Hub CSPM 以及防火墙管理器时,Firewall Manager 会自动将你的发现发送到 Security Hub CSPM。Firewall Manager 会为不合规的资源及其检测到的攻击创建调查结果,并将发现结果发送到 Security Hub CSPM。为设置 Firewall Manager 策略时 AWS WAF,可以集中启用所有范围内帐户的 Web 访问控制列表 (Web ACLs) 上的登录功能,并将日志集中在一个帐户下。
使用 Firewall Manager,您可以有一个或多个管理员来管理组织的防火墙资源。分配多个管理员时,您可以应用限制性管理范围条件来定义每个管理员可以管理的资源(帐户 OUs、区域、策略类型)。这使您可以灵活地在组织中使用不同的管理员角色,并帮助您保持最低权限访问的原则。 AWS SRA 使用一名管理员,其全部管理权限委托给安全工具帐户。
设计注意事项
AWS 组织中个人成员账户的客户经理可以根据自己的特定需求在 Firewall Manager 托管服务中配置其他控件(例如 AWS WAF 规则和 Amazon VPC 安全组)。
实现示例
AWS SRA 代码库
Amazon EventBridge
Amazon EventBridge
设计注意事项
-
EventBridge 能够将事件路由到多个不同的目标。自动执行安全操作的一种有价值的模式是将特定事件与个人 AWS Lambda 响应者联系起来,后者会采取适当的行动。例如,在某些情况下,您可能需要使用将公有 S3 存储桶查找结果路由 EventBridge 到更正存储桶策略并删除公共权限的 Lambda 响应器。可以将这些响应者整合到您的调查手册和操作手册中,以协调响应活动。
-
成功的安全运营团队的最佳做法是将安全事件和发现的流程集成到通知和工作流系统中,例如票务系统、 bug/issue 系统或其他安全信息和事件管理 (SIEM) 系统。这样可以省去电子邮件和静态报告的工作流程,并帮助您路由、上报和管理事件或发现。中的灵活路由功能 EventBridge 是实现这种集成的强大推动力。
Amazon Detective
Amazon
Detective 与 Amazon Security Lake 集成,使安全分析师能够查询和检索存储在 Security Lake 中的日志。在 Detective 中进行安全调查时,您可以使用此集成从存储在 Security Lake 中的 CloudTrail 日志和 Amazon VPC 流日志中获取更多信息。
Detective 还会摄取 Amazon 检测到的结果 GuardDuty,包括GuardDuty 运行时监控检测到的威胁。当某个帐户启用 Detective 时,它将成为行为图的管理员帐户。在尝试启用 Detective 之前,请确保您的账户已注册至少 48 小时。 GuardDuty 如果您不满足此要求,则无法启用 DetectiveDetective。
Detective 的其他可选数据源包括 Amazon EKS 审核日志和 AWS Security Hub CSPM。Amazon EKS 审核日志数据源增强了所提供的有关以下实体类型的信息:Amazon EKS 集群、Kubernetes 容器、容器镜像和 Kubernetes 主体。Security Hub 数据源是AWS 安全发现的一部分,它将跨产品的发现关联到 Security Hub,然后将其摄取到 Detective 中。
Detective 会自动将与单个安全漏洞事件相关的多个发现分组到查找组中。威胁行为者通常会执行一系列操作,这些操作会导致多个跨时间和资源的安全发现。因此,调查小组应是涉及多个实体和调查结果的调查的起点。Detective 还使用生成式 AI 来提供查找小组摘要,该人工智能会自动分析查找群组,并以自然语言提供见解,以帮助您加快安全调查。
Detective 与... 集成 AWS Organizations。组织管理账户委托一个成员账户作为 Detective 管理员账户。在 AWS SRA 中,这是安全工具帐户。Detective 管理员帐户能够自动启用组织中所有当前成员帐户作为 Detective 成员帐户,还可以在将新成员帐户添加到 AWS 组织时添加这些帐户。Detective 管理员账户还可以邀请当前不居住在 AWS 组织中但位于同一地区的成员账户将其数据贡献到主账户的行为图中。当成员账户接受邀请并启用时,Detective 开始提取该成员账户的数据并将其提取到该行为图中。
设计注意事项
您可以导航到 Detective,从 GuardDuty 和 AWS Security Hub CSPM 控制台中查找个人资料。这些链接可以帮助简化调查流程。你的账户必须是 Detective 和你要转出的服务(GuardDuty或 Security Hub CSPM)的管理账户。如果服务的主账户相同,则集成链接可以无缝运行。
AWS Audit Manager
AWS Audit Manager
使用 Audit Manager,您可以根据预先构建的框架进行审计,例如互联网安全中心 (CIS) 基准、CIS AWS 基金会基准、系统和组织控制 2 (SOC 2) 和支付卡行业数据安全标准 (PCI DSS)。它还使您能够根据内部审计的具体要求使用标准或自定义控件创建自己的框架。
Audit Manager 收集了四种类型的证据。自动生成三种类型的证据:来自和的合规性检查证据 AWS Security Hub CSPM、来自 AWS Config 和的管理事件证据 AWS CloudTrail,以及来自 AWS service-to-service API 调用的配置证据。对于无法自动处理的证据,Audit Manager 允许您上传手动证据。
默认情况下,您在 Audit Manager 中的数据使用 AWS 托管密钥进行加密。 AWS SRA 使用客户管理的密钥进行加密,以更好地控制逻辑访问。您还应该在 Audit Manager 发布评估报告 AWS 区域 的地方配置 S3 存储桶。这些存储桶应使用客户托管密钥进行加密,并具有配置为仅允许 Audit Manager 发布报告的存储桶策略。
注意
Audit Manager 协助收集与验证是否符合特定合规标准和法规相关的证据。但是,它不会评估您的合规性。因此,通过 Audit Manager 收集的证据可能不包括审计所需的操作流程细节。Audit Manager 不能替代法律顾问或合规专家。我们建议您聘请第三方评估员的服务,该评估机构已根据您接受评估的合规框架获得认证。
Audit Manager 评估可以跨 AWS 组织中的多个账户进行。Audit Manager 收集证据并将其合并到中的委托管理员帐户中。 AWS Organizations此审计功能主要由合规和内部审计团队使用,只需要您的读取权限 AWS 账户。
设计注意事项
-
Audit Manager 补充了其他 AWS 安全服务,例如 AWS Security Hub CSPM AWS Security Hub、和, AWS Config 以帮助实施风险管理框架。Audit Manager 提供独立的风险保障功能,而 Security Hub CSPM 可帮助您监督风险, AWS Config 合规包有助于管理风险。熟悉内部审计师协会(IIA)开发的三条线模型
的审计 专业人员应注意,这种组合 AWS 服务 可以帮助您涵盖三道防线。有关更多信息,请参阅 “ AWS Cloud 操作与迁移” 博客上由两部分组成的博客系列 。 -
为了让 Audit Manager 收集 Security Hub CSPM 证据,两个服务的委派管理员帐户必须相同。 AWS 账户因此,在 AWS SRA 中,安全工具帐户是 Audit Manager 的授权管理员。
AWS Artifact
AWS Artifact
AWS Artifact 不支持委派管理功能。相反,您可以将此功能限制为 Security Tools 账户中与您的审计和合规团队相关的 IAM 角色,这样他们就可以根据需要下载、查看这些报告并将其提供给外部审计员。此外,您还可以通过 IAM 策略限制特定的 IAM 角色只能访问特定的 AWS Artifact 报告。有关 IAM 策略的示例,请参阅AWS Artifact 文档。
设计注意事项
如果您选择 AWS 账户 为审计和合规团队设立一个专门的账户,则可以托管 AWS Artifact 一个安全审计账户,该账户与安全工具账户是分开的。 AWS Artifact 报告提供的证据表明一个组织正在遵循记录在案的流程或满足特定要求。审计工件在整个系统开发生命周期中收集和存档,可用作内部或外部审计和评估的证据。
AWS KMS
AWS Key Management Service
一种部署选项是将 AWS KMS 密钥管理的责任集中到单个账户,同时使用密钥和 IAM 策略的组合,委托应用程序资源使用应用程序账户中密钥的权限。这种方法既安全又易于管理,但是由于限制限制、账户服务 AWS KMS
限制以及安全团队被大量操作密钥管理任务所淹没,您可能会遇到障碍。另一种部署选项是采用去中心化模式,在这种模式中,您可以 AWS KMS 允许驻留在多个账户中,并允许负责特定账户中基础设施和工作负载的人员管理自己的密钥。此模型使您的工作负载团队能够更好地控制加密密钥的使用,提高灵活性和敏捷性。它还有助于避免 API 限制,将影响范围限制为 AWS 账户 仅一个,并简化报告、审计和其他与合规相关的任务。在去中心化模式中,重要的是要部署和强制执行护栏,以便以相同的方式管理分散式密钥,并根据既定的最佳实践和政策对 AWS KMS
密钥的使用进行审计。有关更多信息,请参阅白皮书AWS Key Management Service 最佳实践
在 Security AWS KMS Tools 帐户中,用于管理集中式安全服务的加密,例如由 AWS CloudTrail 组织管理的 AWS 组织跟踪。
AWS 私有 CA
AWS 私有证书颁发机构(AWS 私有 CA) 是一项托管私有 CA 服务,可帮助您安全地管理实 EC2 例、容器、物联网设备和本地资源的私有终端实体 TLS 证书的生命周期。它允许与正在运行的应用程序进行加密 TLS 通信。使用 AWS 私有 CA,您可以创建自己的 CA 层次结构(从属于终端实体证书的根 CA) CAs,并使用它颁发证书,以对内部用户、计算机、应用程序、服务、服务器和其他设备进行身份验证,并对计算机代码进行签名。私有 CA 颁发的证书仅在您的 AWS 组织内部受信任,在互联网上不受信任。
公钥基础架构 (PKI) 或安全团队可以负责管理所有 PKI 基础架构。这包括私有 CA 的管理和创建。但是,必须有一项规定,允许工作量团队自行满足其证书要求。 AWS SRA 描绘了一个集中的 CA 层次结构,其中根 CA 托管在安全工具账户中。这使安全团队能够实施严格的安全控制,因为根 CA 是整个 PKI 的基础。但是,通过使用 AWS Resource Access Manager (AWS RAM) 将私有 CA 共享给应用程序账户,将私有 CA 的私有证书创建委托给应用程序开发团队。 AWS RAM 管理跨账户共享所需的权限。这样就无需在每个账户中都使用私有 CA,并提供了一种更具成本效益的部署方式。有关工作流程和实现的更多信息,请参阅博客文章 “AWS RAM 如何使用共享您的 AWS 私有 CA 跨账户
注意
AWS Certificate Manager (ACM) 还可以帮助您配置、管理和部署公有 TLS 证书以供使用 AWS 服务。为了支持此功能,ACM 必须驻留在 AWS 账户 将使用公共证书的。本指南后面的应用程序账户部分将对此进行讨论。
设计注意事项
-
使用 AWS 私有 CA,您可以创建最多五个级别的证书颁发机构层次结构。您还可以创建多个层次结构,每个层次结构都有自己的根。 AWS 私有 CA 层次结构应符合贵组织的 PKI 设计。但是,请记住,增加 CA 层次结构会增加认证路径中的证书数量,这反过来又会增加最终实体证书的验证时间。定义明确的 CA 层次结构提供的好处包括适用于每个 CA 的精细安全控制、将从属 CA 委派给不同的应用程序(这会导致管理任务的分工)、使用具有有限的可撤销信任的 CA、能够定义不同的有效期以及强制执行路径限制的能力。理想情况下,你的根和下级 CAs 是分开的 AWS 账户。有关使用规划 CA 层次结构的更多信息 AWS 私有 CA,请参阅AWS 私有 CA 文档和博客文章《如何保护汽车和制造业的企业规模 AWS 私有 CA 层次结构
》。 -
AWS 私有 CA 可以与现有的 CA 层次结构集成,这样您就可以将 ACM 的自动化和原生 AWS 集成功能与您当前使用的现有信任根结合使用。您可以在本地创建由父 CA AWS 私有 CA 支持的从属 CA。有关实现的更多信息,请参阅 AWS 私有 CA 文档中的安装由外部父 CA 签名的从属 CA 证书。
Amazon Inspector
Amazon Inspector
每当你对资源进行更改时,Amazon Inspector 都会自动扫描资源,从而在资源的整个生命周期中持续评估您的环境。启动资源重新扫描的事件包括在 EC2 实例上安装新软件包、安装补丁以及发布影响资源的新常见漏洞和暴露 (CVE) 报告。Amazon Inspector 支持互联网安全中心 (CIS) 在 EC2 实例中对操作系统进行基准评估。
Amazon Inspector 与 Jenkins 等开发者工具集成, TeamCity 用于容器映像评估。您可以评估您的容器镜像是否存在持续集成和持续交付(CI/CD) tools, and push security to an earlier point in the software development lifecycle. Assessment findings are available in the CI/CD工具控制面板)中的软件漏洞,这样您就可以执行自动操作来应对关键的安全问题,例如构建受阻或映像推送到容器注册表。如果你有活跃的 AWS 账户,你可以从你的 CI/CD 工具市场安装 Amazon Inspector 插件,然后在你的构建管道中添加亚马逊 Inspector 扫描,而无需激活 Amazon Inspector 服务。此功能适用于托管在任何地方(本地 AWS、本地或混合云中)的 CI/CD 工具,因此您可以在所有开发管道中始终如一地使用单一解决方案。激活 Amazon Inspector 后,它会自动大规模发现您的所有 EC2 实例、Amazon ECR 和 CI/CD 工具中的容器镜像以及 Lambda 函数,并持续监控它们是否存在已知漏洞。
Amazon Inspector 的网络可访问性调查结果评估您的 EC2 实例通过虚拟网关进出 VPC 边缘(例如互联网网关、VPC 对等连接或虚拟专用网络 (VPNs))的可访问性。这些规则有助于自动监控您的 AWS 网络,并识别由于安全组、访问控制列表 (ACLs)、Internet 网关等管理不当而导致 EC2实例的网络访问配置不当的地方。有关更多信息,请参阅 Amazon Inspector 文档。
当 Amazon Inspector 发现漏洞或开放的网络路径时,它会生成一个可供您调查的结果。该发现包括有关该漏洞的全面细节,包括风险评分、受影响的资源和补救建议。风险评分是专门针对您的环境量身定制的,其计算方法是将 up-to-date CVE 信息与时间和环境因素(例如网络可访问性和可利用性信息)关联起来,从而提供上下文调查结果。
Amazon Inspector Code Secur ity 会扫描第一方应用程序源代码、第三方应用程序依赖项和基础设施即代码 (IaC) 以查找漏洞。 激活 Code Security 后,您可以创建扫描配置并将其应用于代码存储库,以确定扫描频率、扫描类型和要扫描的存储库。 代码安全支持静态应用程序安全测试 (SAST)、软件组成分析 (SCA) 和 IaC 扫描。要配置频率,您可以按需、更改代码时或定期定义扫描。代码扫描可捕获代码片段以突出显示检测到的漏洞。代码片段使用 KMS 密钥加密存储。组织的委派管理员无法查看属于成员账户的代码片段。将源代码管理器 (SCMs) 与代码安全集成后,所有代码存储库都会在 Amazon Inspector 控制台中作为项目列出。代码安全仅监控每个存储库的默认分支。Amazon Inspector 通过直接在开发人员工作的地方提供特定的代码修复建议来简化安全补救措施。与您的 SCM 的双向集成会自动在拉取请求 (PRs) 和合并请求 (MRs) 中以评论形式建议修复关键和重要发现,并提醒开发人员注意需要解决的最重要的漏洞,而不会中断他们的工作流程。
要扫描漏洞,必须使用 AWS Systems Manager Agent (SSMAgent) 在中AWS Systems Manager管理 EC2 实例。 无需代理即可实现 EC2 实例的网络可访问性或对 Amazon ECR 或 Lambda 函数中的容器映像进行漏洞扫描。
Amazon Inspector 与委托管理集成 AWS Organizations 并支持委托管理。在 AWS SRA 中,安全工具账户被设为 Amazon Inspector 的委托管理员账户。Amazon Inspector 委托管理员账户可以管理 AWS 组织成员的调查结果数据和某些设置。这包括查看所有成员账户的汇总结果的详细信息、启用或禁用对成员账户的扫描,以及查看 AWS 组织内扫描的资源。
设计注意事项
-
启用这两项服务后,Amazon Inspector 会自动与 AWS Security Hub CSPM Security Hub 集成。您可以使用此集成将来自 Amazon Inspector 的所有调查结果发送到 Security Hub CSPM,然后 Security Hub CSPM 会将这些发现纳入对您的安全态势的分析中。
-
Amazon Inspector 会自动将调查结果、资源覆盖范围变化和单个资源的初始扫描的事件导出到亚马逊 EventBridge,也可以导出到亚马逊简单存储服务 (Amazon S3) 存储桶。要将活动调查结果导出到 S3 存储桶,您需要一个 Amazon Inspector 可用于加密调查结果的 AWS KMS 密钥,以及一个具有允许 Amazon Inspector 上传对象的权限的 S3 存储桶。 EventBridge集成使您能够近乎实时地监控和处理调查结果,这是现有安全与合规工作流程的一部分。 EventBridge 除了事件来源的成员账户外,还会将事件发布到 Amazon Inspector 委托的管理员账户。
-
Amazon Inspector Code Security 与 GitHub SaaS、 GitHub 企业云和 GitHub 企业服务器的集成需要公共互联网接入。
实现示例
AWS SRA 代码库
AWS 安全事件响应
AWS 安全事件响应
在 AWS SRA 中 AWS 安全事件响应 ,作为委托管理员帐户部署在安全工具帐户中。之所以选择 Security Tools 帐户,是因为它符合该账户的目的,即运营安全服务以及自动发送安全警报和响应。安全工具帐户还充当 Security Hub CSPM 的委托管理员帐户,除此之外 GuardDuty,它还有助于简化工作流程管理。 AWS 安全事件响应 AWS 安全事件响应 配置为使用 AWS Organizations,因此您可以通过 Security Tooling 帐户管理组织账户中的事件响应。
AWS 安全事件响应 帮助您实施事件响应生命周期的以下阶段:
-
准备:为遏制行动制定和维护应对计划和 SSM 文档。
-
检测和分析:自动分析安全发现并确定事件的严重性。
-
检测和分析:提交服务支持的案例,并与 AWS CIRT 联系以获得更多帮助。CIRT 是一群在活跃的安全事件中提供支持的个人。
-
遏制和根除:通过 SSM 文档运行自动遏制操作。
-
事后活动:记录事件详细信息并进行事后分析。
您也可以使用创建自我管理 AWS 安全事件响应 的案例。 AWS 安全事件响应 当您需要了解可能影响您的账户或资源的事情或采取行动时,可以创建出站通知或案例。只有当您在订阅中启用主动响应和警报分类工作流程时,此功能才可用。
设计注意事项
-
在实施自动响应操作时 AWS 安全事件响应,请仔细检查和测试自动响应操作,然后再将其投入生产。自动化可以加快事件响应速度,但配置不当的自动操作可能会影响合法的工作负载。
-
考虑使用中的 SSM 文档 AWS 安全事件响应 来实施组织特定的控制程序,同时维护该服务针对常见事件类型的内置最佳实践。
-
如果您计划在 VPC AWS 安全事件响应 中使用,请确保为 Systems Manager 和其他集成服务配置了相应的 VPC 终端节点,以便在私有子网中启用遏制操作。
在所有内部署通用安全服务 AWS 账户
本参考文献前面的 “在 AWS 组织中应用安全服务” 部分重点介绍了保护组织的安全服务 AWS 账户,并指出其中许多服务也可以在内部配置和管理 AWS Organizations。其中一些服务应部署在所有账户中,您将在 AWS SRA中看到它们。这可以实现一组一致的护栏,并在整个组织中提供集中式监控、管理和治理。 AWS
Security Hub CSPM、、 GuardDuty、 AWS Config、IAM Access Analyzer 和 CloudTrail 组织跟踪出现在所有账户中。前三个支持前面在 “管理帐户”、“可信访问权限和委派管理员” 一节中讨论的委派管理员功能。 CloudTrail 目前使用不同的聚合机制。
AWS SRA GitHub 代码存储库
设计注意事项
-
特定的账户配置可能需要额外的安全服务。例如,管理 S3 存储桶(应用程序和日志存档账户)的账户还应包括 Amazon Macie,并考虑在这些常见安全服务中启 CloudTrail 用 S3 数据事件记录。(Macie 支持通过集中配置和监控进行委托管理。) 另一个例子是 Amazon Inspector,它仅适用于托管 EC2 实例或 Amazon ECR 映像的账户。
-
除了本节前面介绍的服务外, AWS SRA 还包括两项以安全为重点的服务,即 Amazon Detective 和 AWS Audit Manager,它们支持 AWS Organizations 集成和委托管理员功能。但是,这些服务并未包含在账户基准的推荐服务中,因为我们已经看到,这些服务最适合在以下场景中使用:
-
您有一个专门的团队或一组资源来执行这些职能。安全分析团队最能利用 Detective,而 Audit Manager 对您的内部审计或合规团队很有帮助。
-
您希望在项目开始时专注于一组核心工具,例如 GuardDuty 和 Security Hub CSPM,然后使用提供额外功能的服务在这些工具的基础上再接再厉。
-
