Panoramica
Risposta di sicurezza automatizzata su AWS è una soluzione AWS che migliora la Centrale di sicurezza AWS risolvendo automaticamente i problemi di sicurezza più comuni nell'ambiente AWS della tua organizzazione. Quando Centrale di sicurezza identifica un potenziale problema, questa soluzione avvia risposte predefinite per risolvere il problema in modo efficiente. Funziona anche su più account AWS, per una copertura di sicurezza completa. Questa soluzione registra tutte le azioni intraprese, invia notifiche alle parti interessate e può integrarsi con i servizi di ticketing esistenti. Automatizzando la correzione dei risultati della Centrale di sicurezza, è possibile mantenere una sicurezza robusta riducendo lo sforzo manuale, allineandosi alle best practice del settore e agli standard di conformità e semplificando al contempo il processo complessivo di gestione della sicurezza.
Vantaggi
Avvia la remediation e intervieni sui risultati utilizzando le azioni personalizzate nella console Security Hub.
Configura benchmark di base AWS o best practice fondamentali di AWS per la sicurezza.
Implementa un set predefinito di azioni di risposta e remediation per reagire in modo automatico alle minacce.
Estendi questa soluzione con soluzioni correttive personalizzate e implementazioni di playbook. Oppure, implementa un playbook personalizzato per un nuovo set di controlli.
Specifiche tecniche
Questa architettura viene implementata automaticamente grazie alla guida all'implementazione e al modello AWS CloudFormation allegato.
Panoramica: i risultati della Centrale di sicurezza aggregati nell'account amministratore delegato avviano AWS Step Functions. L’orchestratore richiama un documento di automazione SSM di correzione nell'account membro contenente la risorsa che ha prodotto l'esito della Centrale di sicurezza AWS.
1. Rilevamento: Centrale di sicurezza fornisce una visione esaustiva del proprio stato di sicurezza all'interno di AWS. Aiuta a valutare il proprio ambiente rispetto agli standard e alle best practice di sicurezza del settore. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon GuardDuty, e Gestione dei firewall AWS.
Questi eventi e dati vengono analizzati secondo standard di sicurezza come i benchmark CIS AWS Foundations. Le eccezioni sono indicate come esiti nella console della Centrale di sicurezza. I nuovi esiti vengono inviati come Amazon EventBridge.
2. Avvia: è possibile avviare eventi in base agli esiti utilizzando azioni personalizzate, che danno origine a eventi Amazon EventBridge. Le azioni personalizzate della Centrale di sicurezza AWS e le regole di Amazon EventBridge avviano la risposta di sicurezza automatizzata sui playbook AWS per risolvere gli esiti. Viene distribuita una regola EventBridge per corrispondere all'evento di azione personalizzato e una regola di evento EventBridge viene distribuita per ogni controllo supportato (disattivato per impostazione predefinita) in modo che corrisponda all'evento di esito in tempo reale.
È possibile utilizzare il menù delle azioni personalizzate della Centrale di sicurezza per avviare la riparazione automatica, oppure, dopo avere condotto test rigorosi in un ambiente non di produzione, è possibile attivare le riparazioni automatiche. Questo può essere attivato per ogni riparazione: non è necessario attivare le iniziazioni automatiche su tutti gli interventi correttivi.
3. Preparazione: l'orchestratore nell'account amministratore elabora l'evento di correzione e lo prepara per la pianificazione.
4. Pianificazione: viene richiamata la funzione Scheduling AWS Lambda per inserire l'evento di correzione nella tabella di stato di Amazon DynamoDB.
5. Orchestrazione: utilizzando ruoli AWS Identity and Access Management (IAM) multi-account,l’orchestratore nell'account amministratore richiama la correzione nell'account membro contenente la risorsa che ha prodotto il risultato di sicurezza.
6. Correzione: un documento di automazione AWS Systems Manager nell'account membro esegue l'azione necessaria per correggere il risultato sulla risorsa di destinazione, ad esempio disabilitare l'accesso pubblico di Lambda.
Puoi abilitare la funzionalità Action Log negli stack dei membri, che acquisirà le azioni intraprese dalla soluzione nei tuoi account membri e le visualizzerà nella dashboard Amazon CloudWatch di questa soluzione.
7. (Facoltativo) Ticketing: se scegli di abilitare il ticketing nello stack di amministrazione, questa soluzione richiamerà la funzione Ticket Generator Lambda fornita per creare un ticket nel servizio di biglietteria prescelto una volta che la correzione sarà stata eseguita con successo nell'account del Membro. Forniamo stack per una facile integrazione con Jira e ServiceNow.
8. Registra: il playbook registra i risultati nel gruppo di Amazon CloudWatch Logs, invia una notifica a un argomento di Amazon Simple Notification Service (Amazon SNS) e aggiorna l'esito della Centrale di sicurezza. Nelle note degli esiti viene conservato un audit trail delle azioni intraprese.
Nella dashboard della Centrale di sicurezza, lo stato del flusso di lavoro di ricerca viene modificato da NUOVO a RISOLTO. Le note dell'esito di sicurezza vengono aggiornate per riflettere la riparazione eseguita.
Panoramica: i risultati della Centrale di sicurezza aggregati nell'account amministratore delegato avviano AWS Step Functions. L’orchestratore richiama un documento di automazione SSM di correzione nell'account membro contenente la risorsa che ha prodotto l'esito della Centrale di sicurezza AWS.
1. Rilevamento: Centrale di sicurezza fornisce una visione esaustiva del proprio stato di sicurezza all'interno di AWS. Aiuta a valutare il proprio ambiente rispetto agli standard e alle best practice di sicurezza del settore. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon GuardDuty, e Gestione dei firewall AWS.
Questi eventi e dati vengono analizzati secondo standard di sicurezza come i benchmark CIS AWS Foundations. Le eccezioni sono indicate come esiti nella console della Centrale di sicurezza. I nuovi esiti vengono inviati come Amazon EventBridge.
2. Avvia: è possibile avviare eventi in base agli esiti utilizzando azioni personalizzate, che danno origine a eventi Amazon EventBridge. Le azioni personalizzate della Centrale di sicurezza AWS e le regole di Amazon EventBridge avviano la risposta di sicurezza automatizzata sui playbook AWS per risolvere gli esiti. Viene distribuita una regola EventBridge per corrispondere all'evento di azione personalizzato e una regola di evento EventBridge viene distribuita per ogni controllo supportato (disattivato per impostazione predefinita) in modo che corrisponda all'evento di esito in tempo reale.
È possibile utilizzare il menù delle azioni personalizzate della Centrale di sicurezza per avviare la riparazione automatica, oppure, dopo avere condotto test rigorosi in un ambiente non di produzione, è possibile attivare le riparazioni automatiche. Questo può essere attivato per ogni riparazione: non è necessario attivare le iniziazioni automatiche su tutti gli interventi correttivi.
3. Preparazione: l'orchestratore nell'account amministratore elabora l'evento di correzione e lo prepara per la pianificazione.
4. Pianificazione: viene richiamata la funzione Scheduling AWS Lambda per inserire l'evento di correzione nella tabella di stato di Amazon DynamoDB.
5. Orchestrazione: utilizzando ruoli AWS Identity and Access Management (IAM) multi-account,l’orchestratore nell'account amministratore richiama la correzione nell'account membro contenente la risorsa che ha prodotto il risultato di sicurezza.
6. Correzione: un documento di automazione AWS Systems Manager nell'account membro esegue l'azione necessaria per correggere il risultato sulla risorsa di destinazione, ad esempio disabilitare l'accesso pubblico di Lambda.
Puoi abilitare la funzionalità Action Log negli stack dei membri, che acquisirà le azioni intraprese dalla soluzione nei tuoi account membri e le visualizzerà nella dashboard Amazon CloudWatch di questa soluzione.
7. (Facoltativo) Ticketing: se scegli di abilitare il ticketing nello stack di amministrazione, questa soluzione richiamerà la funzione Ticket Generator Lambda fornita per creare un ticket nel servizio di biglietteria prescelto una volta che la correzione sarà stata eseguita con successo nell'account del Membro. Forniamo stack per una facile integrazione con Jira e ServiceNow.
8. Registra: il playbook registra i risultati nel gruppo di Amazon CloudWatch Logs, invia una notifica a un argomento di Amazon Simple Notification Service (Amazon SNS) e aggiorna l'esito della Centrale di sicurezza. Nelle note degli esiti viene conservato un audit trail delle azioni intraprese.
Nella dashboard della Centrale di sicurezza, lo stato del flusso di lavoro di ricerca viene modificato da NUOVO a RISOLTO. Le note dell'esito di sicurezza vengono aggiornate per riflettere la riparazione eseguita.
- Data di pubblicazione
Contenuto correlato
AvalonBay Communities Inc. è migrata a un'architettura serverless su AWS, accelerando lo sviluppo del 75%, riducendo i costi del 40% e mantenendo un'elevata sicurezza.
Questo corso fornisce una panoramica delle tecnologie, dei casi d'uso, dei vantaggi e dei servizi nell'ambito della sicurezza di AWS.
Questo esame mette alla prova le competenze tecniche necessarie per proteggere la piattaforma AWS. Si tratta di un esame indicato per chi ricopre un ruolo di sicurezza.