此 AWS 解决方案实施有何用途?
此解决方案是一个附加组件,可与 AWS Security Hub 结合使用,并根据针对安全威胁的行业合规性标准和最佳实践提供预定义的响应和修复措施。此解决方案可帮助 AWS Security Hub 客户在 AWS 中解决常见的安全检测结果并改善自身的安全状况。
优势
AWS Security Hub 集成
一键式跨账户修复
修复手册
自动修复
AWS 解决方案实施概览
下图表示您可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板自动部署的无服务器架构。
AWS Security Hub 自动响应和修复解决方案架构
AWS Security Hub 自动响应和修复解决方案包含以下主要工作流程:检测、提取、修复和日志记录。
1.检测:AWS Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助客户根据行业标准和最佳实践测量其环境。它的工作原理是,从 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 AWS Security Hub 控制台中被认定为发现结果。新的发现结果作为 Amazon CloudWatch Events 发送。
2.提取:AWS Security Hub 自定义操作和 Amazon CloudWatch Events 规则可启动 Security Hub 自动响应和修复手册,以解决发现的问题。该解决方案为每个支持的控制部署两个 CloudWatch 事件规则:一个规则用于匹配自定义操作事件(用户发起的修复),一个规则(默认情况下禁用)用于匹配实时发现事件。客户可以使用 Security Hub Custom Action(Security Hub 自定义操作)菜单启动自动化修复,或者可以在非生产环境中进行细心测试之后,启用自动触发来进行自动修复。此决定可以根据修复作出——没有必要对所有修复启用自动触发器。
3.修复:通过跨账户 AWS Identity and Access Management (IAM) 角色,自动修复可使用 AWS API 来执行修复发现问题所需的任务。此解决方案中的所有手册均可调用 AWS Lambda 函数。有些 Lambda 函数可直接执行修复。另一些函数使用 AWS Systems Manager Automation 文档。
4.日志:手册将结果以日志形式记录到该解决方案的 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service (Amazon SNS) 主题并更新 Security Hub 发现结果。所采取操作的审计跟踪保留在发现注释中。在 Security Hub 控制面板上,发现工作流程的状态由 Security Hub 控制面板上的 NEW(新)变为 NOTIFIED(已通知)或 RESOLVED(已解决)。安全发现注释将被更新,以反映所执行的修复。
AWS Security Hub 自动响应和修复
版本 1.3.2
发布日期:2021 年 11 月
作者:AWS
预计部署时间:15 分钟
