Panoramica
La risposta di sicurezza automatizzata su AWS è un componente aggiuntivo che funziona con la Centrale di sicurezza AWS e fornisce azioni di risposta e correzione predefinite basate sugli standard di conformità del settore e sulle best practice per le minacce alla sicurezza. Usando la Centrale di sicurezza, questa soluzione AWS consente di risolvere i problemi di sicurezza più comuni, migliorando al contempo la sicurezza generale su AWS. Questa soluzione aiuta ad allineare i propri carichi di lavoro alle best practice del pilastro Well-Architected Security.
Vantaggi
Avvia la remediation e intervieni sui risultati utilizzando le azioni personalizzate nella console Security Hub.
Configura benchmark di base AWS o best practice fondamentali di AWS per la sicurezza.
Implementa un set predefinito di azioni di risposta e remediation per reagire in modo automatico alle minacce.
Estendi questa soluzione con soluzioni correttive personalizzate e implementazioni di playbook. Oppure, implementa un playbook personalizzato per un nuovo set di controlli.
Specifiche tecniche
Questa architettura viene implementata automaticamente grazie alla guida all'implementazione e al modello AWS CloudFormation allegato.
Prerequisito: gli esiti della Centrale di sicurezza aggregati nell'account amministratore delegato avviano AWS Step Functions. Step Functions richiama un documento di automazione SSM di correzione nell'account membro contenente la risorsa che ha prodotto l'esito della Centrale di sicurezza AWS.
1. Rilevamento: Centrale di sicurezza fornisce una visione esaustiva del proprio stato di sicurezza all'interno di AWS. Aiuta a valutare il proprio ambiente rispetto agli standard e alle best practice di sicurezza del settore. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon GuardDuty, e Gestione dei firewall AWS.
Questi eventi e dati vengono analizzati secondo standard di sicurezza come i benchmark CIS AWS Foundations. Le eccezioni sono indicate come esiti nella console della Centrale di sicurezza. I nuovi esiti vengono inviati come Amazon EventBridge.
2. Avvia: è possibile avviare eventi in base agli esiti utilizzando azioni personalizzate, che danno origine a eventi Amazon EventBridge. Le azioni personalizzate della Centrale di sicurezza AWS e le regole di Amazon EventBridge avviano la risposta di sicurezza automatizzata sui playbook AWS per risolvere gli esiti. Viene distribuita una regola EventBridge per corrispondere all'evento di azione personalizzato e una regola di evento EventBridge viene distribuita per ogni controllo supportato (disattivato per impostazione predefinita) in modo che corrisponda all'evento di esito in tempo reale.
È possibile utilizzare il menù delle azioni personalizzate della Centrale di sicurezza per avviare la riparazione automatica, oppure, dopo avere condotto test rigorosi in un ambiente non di produzione, è possibile attivare le riparazioni automatiche. Questo può essere attivato per ogni riparazione: non è necessario attivare le iniziazioni automatiche su tutti gli interventi correttivi.
3. Orchestra: utilizzando ruoli AWS Identity and Access Management (IAM) multi-account, AWS Step Functions nell'account amministratore richiama la correzione nell'account membro contenente la risorsa che ha prodotto l'esito di sicurezza.
4. Correggi: un documento di automazione AWS Systems Manager nell'account membro esegue l'azione necessaria per correggere il risultato sulla risorsa di destinazione, ad esempio disabilitare l'accesso pubblico di AWS Lambda.
5. Registra: il playbook registra i risultati nel gruppo di File di log Amazon CloudWatch, invia una notifica a un argomento di Amazon Simple Notification Service (Amazon SNS) e aggiorna l'esito della Centrale di sicurezza. Nelle note degli esiti viene conservato un audit trail delle azioni intraprese.
Nel pannello di controllo della Centrale di sicurezza, lo stato del flusso di lavoro dell'esito viene modificato da NUOVO a NOTIFICATO o RISOLTO nel pannello di controllo della Centrale di sicurezza. Le note dell'esito di sicurezza vengono aggiornate per riflettere la riparazione eseguita.
Prerequisito: gli esiti della Centrale di sicurezza aggregati nell'account amministratore delegato avviano AWS Step Functions. Step Functions richiama un documento di automazione SSM di correzione nell'account membro contenente la risorsa che ha prodotto l'esito della Centrale di sicurezza AWS.
1. Rilevamento: Centrale di sicurezza fornisce una visione esaustiva del proprio stato di sicurezza all'interno di AWS. Aiuta a valutare il proprio ambiente rispetto agli standard e alle best practice di sicurezza del settore. Funziona raccogliendo eventi e dati da altri servizi AWS, come AWS Config, Amazon GuardDuty, e Gestione dei firewall AWS.
Questi eventi e dati vengono analizzati secondo standard di sicurezza come i benchmark CIS AWS Foundations. Le eccezioni sono indicate come esiti nella console della Centrale di sicurezza. I nuovi esiti vengono inviati come Amazon EventBridge.
2. Avvia: è possibile avviare eventi in base agli esiti utilizzando azioni personalizzate, che danno origine a eventi Amazon EventBridge. Le azioni personalizzate della Centrale di sicurezza AWS e le regole di Amazon EventBridge avviano la risposta di sicurezza automatizzata sui playbook AWS per risolvere gli esiti. Viene distribuita una regola EventBridge per corrispondere all'evento di azione personalizzato e una regola di evento EventBridge viene distribuita per ogni controllo supportato (disattivato per impostazione predefinita) in modo che corrisponda all'evento di esito in tempo reale.
È possibile utilizzare il menù delle azioni personalizzate della Centrale di sicurezza per avviare la riparazione automatica, oppure, dopo avere condotto test rigorosi in un ambiente non di produzione, è possibile attivare le riparazioni automatiche. Questo può essere attivato per ogni riparazione: non è necessario attivare le iniziazioni automatiche su tutti gli interventi correttivi.
3. Orchestra: utilizzando ruoli AWS Identity and Access Management (IAM) multi-account, AWS Step Functions nell'account amministratore richiama la correzione nell'account membro contenente la risorsa che ha prodotto l'esito di sicurezza.
4. Correggi: un documento di automazione AWS Systems Manager nell'account membro esegue l'azione necessaria per correggere il risultato sulla risorsa di destinazione, ad esempio disabilitare l'accesso pubblico di AWS Lambda.
5. Registra: il playbook registra i risultati nel gruppo di File di log Amazon CloudWatch, invia una notifica a un argomento di Amazon Simple Notification Service (Amazon SNS) e aggiorna l'esito della Centrale di sicurezza. Nelle note degli esiti viene conservato un audit trail delle azioni intraprese.
Nel pannello di controllo della Centrale di sicurezza, lo stato del flusso di lavoro dell'esito viene modificato da NUOVO a NOTIFICATO o RISOLTO nel pannello di controllo della Centrale di sicurezza. Le note dell'esito di sicurezza vengono aggiornate per riflettere la riparazione eseguita.
- Data di pubblicazione
Contenuto correlato
AvalonBay Communities Inc. è migrata a un'architettura serverless su AWS, accelerando lo sviluppo del 75%, riducendo i costi del 40% e mantenendo un'elevata sicurezza.
Questo corso fornisce una panoramica delle tecnologie, dei casi d'uso, dei vantaggi e dei servizi nell'ambito della sicurezza di AWS.
Questo esame mette alla prova le competenze tecniche necessarie per proteggere la piattaforma AWS. Si tratta di un esame indicato per chi ricopre un ruolo di sicurezza.