本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 AWS Security Hub 中使用預先定義的回應和修補動作自動解決安全威脅
此實作指南提供 AWS 解決方案上的自動化安全回應概觀、其參考架構和元件、規劃部署的考量事項、將 AWS 解決方案上的自動化安全回應部署至 Amazon Web Services (AWS) 雲端的組態步驟。
使用此導覽表快速找到這些問題的答案:
| 如果您想要 . . . | 讀取 . . . |
| --- | --- |
| 了解執行此解決方案的成本 | [成本](cost.md) |
| 了解此解決方案的安全考量 | [安全性](security.md) |
| 了解如何規劃此解決方案的配額 | [配額](quotas.md) |
| 了解此解決方案支援哪些 AWS 區域 | [支援的 AWS 區域](plan-your-deployment.md#supported-aws-regions) |
| 檢視或下載此解決方案中包含的 AWS CloudFormation 範本,以自動部署此解決方案的基礎設施資源 (「堆疊」) | [AWS CloudFormation 範本](aws-cloudformation-template.md) |
| 存取原始程式碼,並選擇性地使用 AWS 雲端開發套件 (AWS CDK) 來部署解決方案。 | [GitHub 儲存庫](https://github.com/aws-solutions/automated-security-response-on-aws) |
安全性的持續演變需要主動步驟來保護資料,這可能會讓安全團隊難以、昂貴且耗時地做出反應。AWS 自動化安全回應解決方案可根據產業合規標準和最佳實務提供預先定義的回應和修補動作,協助您快速回應安全問題。
AWS 上的自動化安全回應是 AWS 解決方案,可搭配 [AWS Security Hub](https://aws.amazon.com/security-hub/) 來改善您的安全性,並協助讓您的工作負載符合 Well-Architected 安全支柱最佳實務 ([SEC10](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html))。此解決方案可讓 AWS Security Hub 客戶更輕鬆地解決常見的安全調查結果,並改善 AWS 中的安全狀態。
您可以選擇要在 Security Hub 主要帳戶中部署的特定手冊。每個程序手冊都包含啟動單一 AWS 帳戶內或跨多個帳戶之修補工作流程所需的必要自訂動作、 [Identity and Access Management](https://aws.amazon.com/iam/) (IAM) 角色、[Amazon EventBridge 規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)、[AWS Systems Manager](https://aws.amazon.com/systems-manager/) 自動化文件、[AWS Lambda](https://aws.amazon.com/lambda/) 函數和 [AWS Step Functions](https://aws.amazon.com/step-functions/)。修復可從 AWS Security Hub 中的動作功能表運作,並允許授權使用者透過單一動作來修復其所有 AWS Security Hub 受管帳戶的問題清單。例如,您可以從 Center for Internet Security (CIS) AWS Foundations Benchmark 套用建議,這是保護 AWS 資源的合規標準,以確保密碼在 90 天內過期,並強制加密存放在 AWS 中的事件日誌。
**注意**
修補適用於需要立即採取行動的緊急情況。此解決方案只會在您透過 AWS Security Hub Management 主控台啟動或使用 Remediation Configuration DynamoDB 資料表啟用自動修復時,對修復問題清單進行變更。若要還原這些變更,您必須手動將資源放回其原始狀態。
修復部署為 CloudFormation 堆疊一部分的 AWS 資源時,請注意這可能會導致偏離。盡可能修改定義堆疊資源和更新堆疊的程式碼,以修復堆疊資源。如需詳細資訊,請參閱 *AWS CloudFormation 使用者指南*中的[什麼是偏離?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift)。
AWS 上的自動化安全回應包含以下定義之安全標準的手冊修補:
+ [網際網路安全中心 (CIS) AWS Foundations Benchmark 1.2.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)
+ [CIS AWS Foundations Benchmark 1.4.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)
+ [CIS AWS Foundations Benchmark 3.0.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)
+ [AWS Foundational Security Best Practices (FSBP) 1.0.0 版](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)
+ [支付卡產業資料安全標準 (PCI-DSS) 3.2.1 版](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)
+ [國家標準技術研究所 (NIST) SP 800-53 修訂版 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)
解決方案也包含 AWS Security Hub [合併控制調查結果功能](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)的安全控制 (SC) 手冊。如需詳細資訊,請參閱 [手冊](playbooks.md)。我們建議您使用 SC 手冊以及 Security Hub 中的合併控制問題清單。
此實作指南討論在 AWS 雲端中部署自動化安全回應的架構考量和組態步驟。它包含 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 範本的連結,這些範本使用 AWS 最佳實務在 AWS 上啟動、設定和執行部署此解決方案所需的 AWS 運算、網路、儲存和其他服務。
本指南適用於在 AWS 雲端中具有實際架構經驗的 IT 基礎設施架構師、管理員和 DevOps 專業人員。
# 功能和優勢
AWS 上的自動化安全回應提供下列功能:
**自動修復特定控制項的問題清單**
設定解決方案,透過修改部署到管理員帳戶的修復組態 DynamoDB 資料表,自動修復特定控制項的問題清單。
**從單一位置管理多個帳戶和區域的修復**
從設定為組織帳戶和區域的彙總目的地的 AWS Security Hub 管理員帳戶,針對部署解決方案的任何帳戶和區域中的問題清單啟動修復。
**收到修復動作和結果的通知**
訂閱解決方案部署的 Amazon SNS 主題,以便在修補啟動時收到通知,以及修補是否成功。
**使用 Web 使用者介面啟動、檢視和管理修復**
刪除 Admin 堆疊時,您可以選擇啟用解決方案的 Web UI,這將提供全面的使用者易用檢視,以執行修復並檢視解決方案執行的所有過去修復。
**與 Jira 或 ServiceNow 等票證系統整合**
為了協助您的組織對修復做出反應 (例如,更新您的基礎設施程式碼),此解決方案可以將票證推送到您的外部票證系統。
**在 GovCloud 和中國分割區中使用 AWSConfigRemediations **
解決方案中包含的一些補救措施是 AWS 擁有的 AWSConfigRemediation 文件的重新封裝,可在商業分割區中使用,但不適用於 GovCloud 或中國。部署此解決方案,以在這些分割區中使用這些文件。
**透過自訂修復和 Playbook 實作擴展解決方案**
該解決方案旨在可擴展且可自訂。若要指定替代修復實作,請部署自訂的 AWS Systems Manager 自動化文件和 AWS IAM 角色。若要支援解決方案未實作的整組新控制項,請部署自訂 Playbook。
# 使用案例
**在組織的帳戶和區域中強制遵循標準**
部署標準 (例如 AWS Foundational Security Best Practices) 的 手冊,以使用提供的修補。針對部署解決方案的任何帳戶和區域中的資源,自動或手動啟動修補,以修正不合規的資源。
**部署自訂修補或手冊,以滿足組織的合規需求**
使用提供的 Orchestrator 元件做為架構。根據您的組織的特定需求,建置自訂修補來解決out-of-compliance資源。
# 概念和定義
本節說明關鍵概念並定義此解決方案特有的術語:
**修補、修補 Runbook**
一組解決問題清單之步驟的實作。例如,控制項安全控制 (SC) Lambda.1「Lambda 函數政策應禁止公開存取」的修復會修改相關 AWS Lambda 函數的政策,以移除允許公開存取的陳述式。
**控制 Runbook**
Orchestrator 用來將特定控制項的起始修復路由至正確修復 Runbook 的一組 AWS Systems Manager (SSM) 自動化文件之一。例如,SC Lambda.1 和 AWS Foundational Security Best Practices (FSBP) Lambda.1 的修復會使用相同的修復執行手冊實作。Orchestrator 會叫用每個控制項的控制項 Runbook,分別名為 ASR-AFSBP\$1Lambda.1 和 ASR-SC\$12.0.0\$1Lambda.1。每個控制項 Runbook 都會叫用相同的修復 Runbook,在此情況下,它會是 ASR-RemoveLambdaPublicAccess。
**協調器**
解決方案所部署的 Step Functions 會從 AWS Security Hub 做為調查結果物件的輸入,並在目標帳戶和區域中叫用正確的控制 Runbook。Orchestrator 也會在修補啟動和修補成功或失敗時通知解決方案 SNS 主題。
**標準**
組織定義為合規架構一部分的一組控制項。例如,AWS Security Hub 和此解決方案支援的其中一個標準是 AWS FSBP。
**控制項**
為了符合規範,資源應擁有或不應擁有的屬性描述。例如,控制項 AWS FSBP Lambda.1 指出 AWS Lambda Functions 應禁止公開存取。允許公開存取的 函數會失敗此控制。
**合併控制調查結果、安全控制、安全控制檢視**
AWS Security Hub 的一項功能,在啟用時會顯示具有其合併控制項 IDs的問題清單,而不是對應至特定標準的 IDs。例如,控制項 AWS FSBP S3.2、CIS v1.2.0 2.3、CIS v1.4.0 2.1.5.2 和 PCI-DSS v3.2.1 S3.1 所有映射到合併 (SC) 控制項 S3.2「S3 儲存貯體應禁止公開讀取存取」。開啟此功能時,會使用 SC Runbook。
**【解決方案 Web UI】 委派管理員**
在解決方案的 Web UI 內容中,委派管理員是由管理員邀請的使用者,並具有執行修復和檢視修復歷史記錄的完整存取權。此使用者也可以檢視和管理其他 Account Operator 使用者。
**【解決方案 Web UI】 帳戶運算子**
在解決方案的 Web UI 內容中,帳戶運算子是由管理員或委派管理員邀請來存取解決方案 Web UI 的使用者。此使用者與其邀請中提供的 AWS 帳戶 ID 清單相關聯;他們只能執行修復並檢視修復歷史記錄,因為它與這些帳戶中的資源相關。
如需 AWS 術語的一般參考,請參閱 [AWS 詞彙表](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html)。