本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 AWS Security Hub 中使用预定义的响应和补救措施自动应对安全威胁
本实施指南概述了 AWS 上的自动安全响应解决方案、其参考架构和组件、部署规划注意事项、将 AWS 上的自动安全响应解决方案部署到 Amazon Web Services (AWS) 云的配置步骤。
使用以下导航表可快速找到这些问题的答案:
| 如果您想. . . | 阅读. . . |
| --- | --- |
| 了解运行此解决方案的成本 | [成本](cost.md) |
| 了解此解决方案的安全注意事项 | [安全性](security.md) |
| 知道如何为此解决方案规划配额 | [配额](quotas.md) |
| 了解此解决方案支持哪些 AWS 区域 | [支持的 AWS 区域](plan-your-deployment.md#supported-aws-regions) |
| 查看或下载此解决方案中包含的 AWS CloudFormation 模板,以自动部署此解决方案的基础设施资源(“堆栈”) | [AWS CloudFormation 模板](aws-cloudformation-template.md) |
| 访问源代码,(可选)并使用 AWS Cloud Development Kit(AWS CDK)部署解决方案。 | [GitHub 存储库](https://github.com/aws-solutions/automated-security-response-on-aws) |
安全的持续发展需要采取积极措施来保护数据,这会使安全团队难以做出反应,而且成本高昂且耗时。AWS 上的自动安全响应解决方案可根据行业合规标准和最佳实践提供预定义的响应和补救措施,从而帮助您快速应对安全问题。
[AWS 上的自动安全响应是一种 AWS 解决方案,可与 AWS Sec [urity Hub 配合使用](https://aws.amazon.com/security-hub/),以提高您的安全性,并帮助您的工作负载与 Well-Architected 安全支柱最佳实践 SEC1 (0) 保持一致。](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html)该解决方案让 AWS Security Hub 的客户可以更轻松地解决常见的安全问题并改善他们在 AWS 中的安全状况。
您可以选择要在您的 Security Hub 主账户中部署的特定攻略手册。每本手册都包含在单个 A [WS 账户或多个账户中启动补救工作流程所需的必要自定义操作、[身份和访问管理](https://aws.amazon.com/iam/) (IAM) 角色、[亚马逊 EventBridge 规则](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)、[AWS S](https://aws.amazon.com/lambda/) ystems Manager](https://aws.amazon.com/systems-manager/) 自动化文档、[AWS Lambda 函数和 AWS Step](https://aws.amazon.com/step-functions/) Functions。补救措施可通过 AWS Security Hub 的 “操作” 菜单进行,允许授权用户通过单一操作修复其所有 AWS Security Hub 管理的账户中的发现。例如,您可以应用互联网安全中心 (CIS) AWS Foundations Benchmark(一项保护 AWS 资源的合规标准)的建议,确保密码在 90 天内过期,并对存储在 AWS 中的事件日志强制加密。
**注意**
补救措施旨在应对需要立即采取行动的紧急情况。只有在您通过 AWS Security Hub 管理控制台启动或使用修复配置 DynamoDB 表启用自动修复时,此解决方案才会对修复发现的内容进行更改。要恢复这些更改,必须手动将资源恢复到其原始状态。
修复作为 CloudFormation 堆栈一部分部署的 AWS 资源时,请注意这可能会导致偏差。如果可能,请通过修改定义堆栈资源的代码并更新堆栈来修复堆栈资源。有关更多信息,请参阅[什么是漂移?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift) 在 *AWS CloudFormation 用户指南*中。
AWS 上的自动安全响应包括针对以下内容中定义的安全标准的行动手册补救措施:
+ [互联网安全中心 (CIS) AWS 基金会基准测试 v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)
+ [CIS AWS 基金会基准测试 v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)
+ [CIS AWS 基金会基准测试 v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)
+ [AWS 基础安全最佳实践 (FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)
+ [支付卡行业数据安全标准 (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)
+ [美国国家标准与技术研究所 (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)
该解决方案还包括 AWS Security Hub [整合控制结果功能的安全控制](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) (SC) 手册。有关更多信息,请参阅[剧本](playbooks.md)。我们建议使用 SC 手册以及 Security Hub 中的综合控制结果。
本实施指南讨论了在 AWS 云中部署 AWS 上的自动安全响应解决方案的架构注意事项和配置步骤。它包括指向 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 模板的链接,这些模板使用 AWS 安全性和可用性最佳实践启动、配置和运行在 AWS 上部署此解决方案所需的 AWS 计算、网络、存储和其他服务。
本指南面向在 AWS 云中具有架构实践经验的 IT 基础设施架构师、管理员和 DevOps 专业人士。
# 功能和优势
AWS 上的自动安全响应提供以下功能:
**自动修复针对特定控制措施的发现**
通过修改部署到管理员账户的修复配置 DynamoDB 表,将解决方案配置为自动修复特定控件的发现。
**从一个位置管理多个账户和区域的补救措施**
在配置为组织账户和区域聚合目标的 AWS Security Hub 管理员账户中,针对部署解决方案的任何账户和区域中的发现启动补救措施。
**获取补救措施和结果的通知**
订阅解决方案部署的 Amazon SNS 主题,即可在启动修复以及修复是否成功时收到通知。
**使用 Web 用户界面启动、查看和管理修正**
在部署管理堆栈时,您可以选择启用解决方案的 Web UI,这将提供一个全面的用户友好型视图,用于运行修复和查看该解决方案过去执行的所有补救措施。
**与 Jira 或 Jira 等票务系统集成 ServiceNow**
为了帮助您的组织对补救措施做出反应(例如,更新基础架构代码),此解决方案可以将票证推送到您的外部票务系统。
**在 GovCloud 和中国分区中使用 AWSConfig补救措施**
该解决方案中包含的一些补救措施是重新打包 AWS 自 AWSConfig有的 Remention 文档,这些文档在商业区可用,但在中国却没有。 GovCloud 部署此解决方案以利用这些分区中的这些文档。
**通过自定义修复和 Playbook 实施来扩展解决方案**
该解决方案旨在实现可扩展和可定制。要指定替代补救措施,请部署自定义的 AWS Systems Manager 自动化文档和 AWS IAM 角色。要支持解决方案未实现的全新控件集,请部署自定义 Playbook。
# 使用案例
**在贵组织的账户和地区强制遵守标准**
部署标准攻略手册(例如,AWS 基础安全最佳实践),以便能够使用所提供的补救措施。自动或手动启动对部署解决方案的任何账户和区域中的资源进行修复,以修复不合规的资源。
**部署自定义补救措施或行动手册以满足组织的合规性需求**
使用提供的 Orchestrator 组件作为框架。根据组织的特定需求构建自定义补救措施以解决 out-of-compliance资源问题。
# 概念和定义
本节介绍重要概念并定义此解决方案特有的术语:
**修复,修复操作手册**
实施一组解决发现的步骤。例如,针对控制安全控制 (SC) Lambda.1 “Lambda 函数策略应禁止公开访问” 的补救措施将修改相关 AWS Lambda 函数的策略,以删除允许公开访问的语句。
**控制运行手册**
一组 AWS Systems Manager (SSM) 自动化文档之一,Orchestrator 使用这些文档将针对特定控制的已启动补救措施发送到正确的补救运行手册。例如,SC Lambda.1 和 AWS 基础安全最佳实践 (FSBP) Lambda.1 的补救措施是使用相同的修复操作手册实施的。Orchestrator 为每个控件调用控制运行手册,这些控件分别命名为 asr-afsbp\$1Lambda.1 和 asr-sc\$12.0.0\$1Lambda.1。每个控制运行手册都调用相同的修复运行手册,在本例中为 ASR-。RemoveLambdaPublicAccess
**管弦乐师**
解决方案部署的 Step Functions 将来自 AWS Security Hub 的查找对象作为输入,并在目标账户和区域中调用正确的控制运行手册。当修复开始以及修复成功或失败时,Orchestrator 还会通知解决方案 SNS 主题。
**标准**
组织作为合规框架的一部分定义的一组控制措施。例如,AWS Security Hub 和该解决方案支持的标准之一是 AWS FSBP。
**控制**
对资源为了合规而应该或不应该拥有的属性的描述。例如,控件 AWS FSBP Lambda.1 规定 AWS Lambda Functions 应禁止公开访问。允许公共访问的函数将无法进行此控制。
**综合控制结果、安全控制、安全控制视图**
AWS Security Hub 的一项功能,激活后,它会显示带有合并控制的结果 IDs , IDs 而不是与特定标准相对应的控制结果。例如,控件 AWS FSBP S3.2、CIS v1.2.0 2.3、CIS v1.4.0 2.1.5.2 和 PCI-DSS v3.2.1 S3.1 都映射到整合 (SC) 控件 S3.2 “S3 存储桶应禁止公共读取权限”。开启此功能后,将使用 SC 运行手册。
**[解决方案 Web UI] 委派管理员**
在解决方案的 Web UI 环境中,委派管理员是受管理员邀请并拥有运行修正和查看修复历史记录的完全访问权限的用户。该用户还可以查看和管理其他账户操作员用户。
**[解决方案 Web UI] 账户操作员**
在解决方案的 Web UI 环境中,账户操作员是管理员或委托管理员邀请访问解决方案的 Web UI 的用户。该用户与邀请中提供的 AWS 账户 ID 列表相关联;他们只能运行补救措施并查看与这些账户中的资源相关的修复历史记录。
有关 AWS 术语的一般参考,请参阅 [AWS 术语表](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html)。