此 AWS 解决方案实施有何用途?
安全威胁的持续发展使得安全团队做出反应变得困难、昂贵且耗时。AWS Security Hub 自动响应和修复解决方案通过根据行业合规标准和最佳实践提供预定义响应和修复措施来解决这一挑战。
AWS Security Hub 自动响应和修复是一项附加解决方案,可与 AWS Security Hub 合作提供可立即部署的架构和自动化手册库。该解决方案使 AWS Security Hub 客户能够在 AWS 中解决常见的安全检测结果并改善自身的安全状况。
该解决方案可创建预定义安全响应和修复措施的 AWS Service Catalog 产品组合,其称为手册。客户可选择他们想要在其 Security Hub 主账户中部署的各个手册。每个手册均包含必要的自定义操作、Identity and Access Management (IAM) 角色、Amazon CloudWatch Events、Systems Manager 自动化文档、AWS Lambda 函数以及在一个 AWS 账户或多个账户中启动修复工作流程所需的 AWS Step Functions。
AWS 解决方案实施概览
下图表示您可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板自动部署的无服务器架构。

AWS Security Hub 自动响应和修复解决方案架构
AWS Security Hub 自动响应和修复解决方案包含以下主要工作流程:检测、提取、修复和日志记录。
检测:AWS Security Hub 让客户可以全面查看其 AWS 安全状况。该服务可以帮助客户根据行业标准和最佳实践测量其环境。它的工作原理是,从 AWS Config、Amazon Guard Duty 和 AWS Firewall Manager 等其他 AWS 服务中收集事件和数据。然后根据 CIS AWS 基金会基准等安全标准分析这些事件和数据。异常情况在 AWS Security Hub 控制台中被认定为发现结果。新的发现结果作为 Amazon CloudWatch Events 发送。
提取:AWS Security Hub 自定义操作和 Amazon CloudWatch Events 规则可启动 Security Hub 自动响应和修复手册,以解决发现的问题。该解决方案为每个支持的控制部署两个 CloudWatch 事件规则:一个规则用于匹配自定义操作事件(用户发起的修复),一个规则(默认情况下禁用)用于匹配实时发现事件。客户可以使用 Security Hub Custom Action(Security Hub 自定义操作)菜单启动自动化修复,或者可以在非生产环境中进行细心测试之后,启用自动触发来进行自动修复。此决定可以根据修复作出——没有必要对所有修复启用自动触发器。
修复:通过跨账户 AWS Identity and Access Management (IAM) 角色,自动修复可使用 AWS API 来执行修复发现问题所需的任务。此解决方案中的所有手册均可调用 AWS Lambda 函数。有些 Lambda 函数可直接执行修复。另一些函数使用 AWS Systems Manager Automation 文档。
日志记录:手册将结果以日志形式记录到该解决方案的 Amazon CloudWatch Logs 组中、将通知发送至 Amazon Simple Notification Service (Amazon SNS) 主题并更新 Security Hub 发现结果。所采取操作的审计跟踪保留在发现注释中。在 Security Hub 控制面板上,发现工作流程的状态由 Security Hub 控制面板上的 NEW(新)变为 NOTIFIED(已通知)或 RESOLVED(已解决)。安全发现注释将更新,以反映所执行的修复。
备注:有关部署过程的自学演示以及该解决方案提供的技术组件的其他详细信息,请参阅 AWS 安全性博客中的如何部署 AWS Security Hub 自动响应和修复解决方案。
AWS Security Hub 自动响应和修复
版本 1.1.0
上次更新时间:2020 年 11 月
作者:AWS
预计部署时间:10 分钟