Información general
Respuesta de seguridad automatizada en AWS es un complemento que funciona con AWS Security Hub y brinda respuestas y medidas de corrección predefinidas basadas en los estándares de cumplimiento del sector y las prácticas recomendadas para las amenazas de seguridad. Al utilizar Security Hub, esta solución de AWS puede ayudar a solucionar problemas de seguridad comunes y, al mismo tiempo, a mejorar la seguridad general en AWS. Esta solución puede ayudarlo a alinear sus cargas de trabajo con las prácticas recomendadas del pilar de seguridad bien diseñada.
Beneficios
Inicie hallazgos y resoluciones de problemas por medio de acciones personalizadas en la consola de Security Hub.
Configure los puntos de referencia de AWS Foundations o las mejores prácticas de seguridad de AWS Foundational.
Implemente un conjunto predefinido de medidas de respuesta y corrección para hacer frente a las amenazas de manera automática.
Amplíe esta solución con soluciones personalizadas e implementaciones de guías operativas. O bien, implemente una guía operativa personalizada para un nuevo conjunto de controles.
Detalles técnicos
Puede implementar esta arquitectura de manera automática mediante la guía de implementación y la plantilla de AWS CloudFormation asociada.
Requisitos previos: los resultados de Security Hub agregados en la cuenta del administrador delegado inician AWS Step Functions. Step Functions invoca un documento de automatización de SSM de corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de AWS Security Hub.
1. Detección: Security Hub brinda una perspectiva integral del estado de seguridad en AWS. Ayuda a revisar el entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager.
Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como resultados en la consola de Security Hub. Los nuevos resultados se envían como Amazon EventBridge.
2. Iniciación: Para iniciar eventos, puede compararlos con los resultados mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías operativas de AWS para abordar los resultados. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de resultado en tiempo real.
Puede utilizar el menú de Security Hub Custom Action para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, puede habilitar la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Organización: Al utilizar roles de AWS Identity and Access Management (IAM) entre cuentas, AWS Step Functions invoca en la cuenta de administrador la corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de seguridad.
4. Corrección: un documento de Automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el resultado en el recurso de destino, como desactivar el acceso público a AWS Lambda.
5. Registro: La guía operativa registra los resultados en un grupo de Registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el resultado de Security Hub. Se mantiene un seguimiento de auditoría de las acciones efectuadas en las notas de los resultados.
En el panel de Security Hub, el estado del flujo de trabajo del resultado se cambia de NEW (NUEVO) a NOTIFIED (NOTIFICADO) o RESOLVED (RESUELTO). Las notas del resultado de seguridad se actualizan para indicar que se llevó a cabo la corrección.
Requisitos previos: los resultados de Security Hub agregados en la cuenta de administrador delegada inician AWS Step Functions. Step Functions invoca un documento de automatización de SSM de corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de AWS Security Hub.
1. Detección: Security Hub brinda una perspectiva integral del estado de seguridad en AWS. Ayuda a revisar el entorno en comparación con los estándares y las prácticas recomendadas de seguridad del sector. Funciona recopilando los eventos y los datos de otros servicios de AWS, como AWS Config, Amazon GuardDuty y AWS Firewall Manager.
Estos eventos y datos se analizan a partir de estándares de seguridad, como el CIS AWS Foundations Benchmark. Las excepciones se muestran como resultados en la consola de Security Hub. Los nuevos resultados se envían como Amazon EventBridge.
2. Iniciación: Para iniciar eventos, puede compararlos con los resultados mediante acciones personalizadas, lo que da como resultado eventos de Amazon EventBridge. Las acciones personalizadas de AWS Security Hub y las reglas de Amazon EventBridge inician la respuesta de seguridad automatizada en las guías operativas de AWS para abordar los resultados. Se implementa una regla de EventBridge para que coincida con el evento de acción personalizado y se implementa una regla de evento de EventBridge para cada control compatible (desactivada de forma predeterminada) para que coincida con el evento de resultado en tiempo real.
Puede utilizar el menú de Security Hub Custom Action para iniciar la corrección de problemas automatizada o, luego de una cuidadosa prueba en un entorno que no sea de producción, puede habilitar la corrección de problemas automatizada. Esto se puede activar por corrección; no es necesario activar las iniciaciones automáticas en todas las correcciones.
3. Organización: Al utilizar roles de AWS Identity and Access Management (IAM) entre cuentas, AWS Step Functions invoca en la cuenta de administrador la corrección en la cuenta del miembro que contiene el recurso que produjo el resultado de seguridad.
4. Corrección: un documento de Automatización de AWS Systems Manager en la cuenta del miembro lleva a cabo la acción necesaria para corregir el resultado en el recurso de destino, como desactivar el acceso público a AWS Lambda.
5. Registro: La guía operativa registra los resultados en un grupo de Registros de Amazon CloudWatch, envía una notificación a un tema de Amazon Simple Notification Service (Amazon SNS) y actualiza el resultado de Security Hub. Se mantiene un seguimiento de auditoría de las acciones efectuadas en las notas de los resultados.
En el panel de Security Hub, el estado del flujo de trabajo del resultado se cambia de NEW (NUEVO) a NOTIFIED (NOTIFICADO) o RESOLVED (RESUELTO). Las notas del resultado de seguridad se actualizan para indicar que se llevó a cabo la corrección.
- Fecha de publicación
Contenido relacionado
AvalonBay Communities Inc. migró a una arquitectura sin servidor en AWS, lo que aceleró su desarrollo en un 75 %, redujo sus costes en un 40 % y mantuvo una seguridad sólida.
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS.
Este examen evalúa su experiencia técnica vinculada con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.