Popraw swoje bezpieczeństwo dzięki integracji AWS Control Tower i AWS Security Hub

Autorzy z radością ogłaszają ogólną dostępność (GA) integracji między AWS Control Tower i AWS Security Hub. W tej wersji GA AWS Control Tower może wykrywać operacje kontrolne wykonywane na kontrolkach wykrywających Security Hub z usługi Security Hub. Obejmuje to możliwość wykrywania czy kontrolki Security Hub włączone przez AWS Control Tower są wyłączone bezpośrednio z Security Hub. Gdy AWS Control Tower wykryje kontrolkę, która została wyłączona w Security Hub, stan wdrożenia każdej kontrolki, której to dotyczy, będzie wyświetlany jako „Drifted”. Do tej pory, aby tego dokonać, trzeba było przejść do usługi Security Hub poszczególnych zarządzanych kont AWS Control Tower, aby sprawdzić stan tych kontroli. Stwarzało to dodatkowy krok i ryzyko niezamierzonego wyłączenia sterowania. Dzięki wprowadzeniu tej funkcji wykrywania driftu można teraz monitorować stan wdrażania kontrolek. Następnie możesz podjąć odpowiednie działania, aby zarządzać stanem bezpieczeństwa swojego środowiska AWS Control Tower z poziomu usługi AWS Control Tower.

Kontrolki AWS Control Tower, w tym kontrolki należące do Security Hub, są mapowane na powiązane cele kontrolne w bibliotece kontrolek AWS Control Tower. Zapewnia to widok kontroli wymaganych do spełnienia określonego celu kontroli. Na przykład cel kontroli Enforce least privilege jest obecnie mapowany na 63 kontrolki, z których 30 to kontrolki należące do Security Hub. Aby uzyskać więcej informacji na temat celów kontrolnych AWS Control Tower, możesz przejrzeć listę celów kontrolnych. Łącząc ponad 170 kontroli detektywistycznych z Security Hub z automatyzacją wielokontowych środowisk AWS Control Tower, masz punkt odniesienia dla zarządzania w miarę skalowania.

W tym artykule autorzy skonfigurują integrację między AWS Control Tower i Security Hub, aby zademonstrować wykrywanie driftu. Będzie to obejmowało włączenie zabezpieczeń wykrywających Security Hub z AWS Control Tower. Będziesz wtedy mógł wyświetlić stan zgodności kontroli dla wszystkich ustaleń w Security Hub.

Przegląd integracji

Aby zintegrować Security Hub z AWS Control Tower, zacznij od włączenia kontroli detektywistycznej należącej do Security Hub w AWS Control Tower. Kiedy po raz pierwszy włączasz kontrole w jednostce organizacyjnej (OU) zarządzanej przez AWS Control Tower, tworzony jest nowy Security Hub Service-Managed Standard. Ma to zastosowanie do wszystkich kont zarządzanych przez tę jednostkę organizacyjną. Następnie wszystkie kontrole należące do Security Hub, które włączysz z AWS Control Tower w tej jednostce organizacyjnej, będą zarządzane w tym standardzie. Następnie AWS zaleca włączenie lub wyłączenie tych elementów sterujących z AWS Control Tower. Jeśli wyłączysz kontrolkę w tym standardzie bezpośrednio z Security Hub, AWS Control Tower wykryje to i ustawi jako stan „Drifted”. Aby naprawić wykryty drift, musisz ponownie zarejestrować jednostkę organizacyjną w AWS Control Tower lub wyłączyć i włączyć kontrolę z jednostki organizacyjnej.

Przepływ integracji

Poniższy rysunek nr 1 przedstawia przepływ pracy integracji między AWS Control Tower i Security Hub.

Drift detection flow

Poniższy rysunek nr 2 przedstawia przebieg pracy wykrywania driftu. W tym przykładzie uwzględniono drift po wyłączeniu kontrolki z Security Hub, która została pierwotnie włączona z AWS Control Tower.

Kolejne kroki

Wymagania wstępne

• Zaktualizuj wersję strefy docelowej AWS Control Tower do wersji 3.2, aby umożliwić wykrywanie driftu. Aby uzyskać więcej informacji, zobacz Aktualizowanie strefy docelowej.

Etapy integracji AWS Control Tower i Security Hub

Poniższe kroki integrują Security Hub z AWS Control Tower.

1. Przejdź do konsoli AWS Control Tower, kliknij All Controls w lewym okienku.
2. Wybierz kontrolki należące do Security Hub. W tym przykładzie wybrano [SH.APIGateway.5] API Gateway REST Dane pamięci podręcznej API powinny być szyfrowane w stanie spoczynku.
3. Kliknij przycisk Enable control.
4. Wybierz jednostkę organizacyjną, dla której chcesz włączyć tę kontrolę. Na przykład, autorzy wybrali niestandardową jednostkę organizacyjną (Custom OU)
5. Kliknij opcję Enable control on OU.
6. Zaloguj się na konto zarządzane w ramach jednostki organizacyjnej wybranej w kroku 4.
7. Przejdź do konsoli Security Hub i kliknij Security standards w lewym okienku. Kliknij Service-Managed Standard: AWS Control Tower, aby zobaczyć kontrolę włączoną w kroku 2.
8. Na rysunku 5 poniżej widać zarządzany standard AWS Control Tower w Security Hub, a aktywowana przez autorów kontrola jest częścią tego standardu.

W poprzednich krokach pokazano, jak włączyć kontrolki Security Hub za pośrednictwem konsoli AWS Control Tower. Możesz także włączyć te kontrolki za pomocą operacji interfejsu API sterowania AWS CLI lub AWS Control Tower.

Możesz użyć tego polecenia AWS CLI, aby włączyć kontrolkę:

aws controltower enable-control --control-identifier <ARN_of_the_control> --target-identifier <ARN_of_the_OU>

Poniższy fragment kodu pokazuje, jak włączyć kontrolki AWS Control Tower za pośrednictwem Pythona Boto3 API. Aby uzyskać więcej informacji na temat tego interfejsu API, zapoznaj się z dokumentacją włączania sterowania.

import json
import boto3
ct =  boto3.client( 'controltower', region_name='<region>')
try:
        response = ct.enable_control(controlIdentifier=<ARN_of_the_control>, targetIdentifier=<ARN_of_the_OU>)
        print("Response: " + response['operationIdentifier'])
except Exception as e:
        print(e)
        raise e

W tym momencie pomyślnie aktywowałeś integrację między AWS Control Tower i Security Hub. Z następnej sekcji dowiesz się, jak funkcja wykrywania dryfów w AWS Control Tower działa dla kontrolek należących do Security Hub. Autorzy użyją tej samej kontrolki, którą włączyli w poprzednich krokach.

Podjęte kroki w celu przetestowania przepływu pracy wykrywania dryftu

1. Zaloguj się na konto członka z poprzedniej sekcji, które ma włączoną kontrolę.
2. Przejdź do konsoli Security Hub i wybierz Security standards z lewego panelu.
3. Kliknij Service-Managed Standard: AWS Control Tower, która pokaże kontrolę, którą włączyłeś w poprzedniej sekcji.
4. Kliknij kontrolkę i następnie kliknij Disable Control. Poniższy rysunek nr 6 pokazuje, jak można wyłączyć tę kontrolkę.
5. Wybierz jeden z powodów z listy rozwijanej i kliknij Disable. Ta czynność spowoduje ustawienie kontrolki w stan „Drifted” w AWS Control Tower.
6. Aby zobaczyć stan „Drifted”, przejdź do konsoli AWS Control Tower na koncie zarządzania i wybierz All Controls w lewym okienku. Wyszukaj kontrolkę SH.APIGateway.5 i kliknij kartę OU. Powinieneś zobaczyć stan kontrolny w jednostce organizacyjnej jako przesunięty, jak pokazano na poniższym rysunku nr 7.

Porządkowanie

Aby usunąć usługę Service-Managed Standard: AWS Control Tower z kont, na których włączono kontrolki należące do Security Hub, musisz wyłączyć te kontrolki z AWS Control Tower. Dotyczy to wszystkich kont w tej jednostce organizacyjnej. Usunięcie standardu nie dezaktywuje Security Hub na Twoim koncie.

Użycie Security Hub do przeglądania zgodności kontroli detektywistycznych

Po skonfigurowaniu kontroli wykrywania za pośrednictwem AWS Control Tower możesz użyć Security Hub do wykrycia istniejących błędnych konfiguracji na swoich kontach. Obecnie nie można wyświetlić stanu zgodności zabezpieczeń wykrywających Security Hub w AWS Control Tower. W Security Hub możesz przeglądać te ustalenia i stan zgodności zarówno na koncie indywidualnym, jak i na poziomie organizacji.

Aby wyświetlić wyniki dla określonej kontrolki, która została aktywowana przez AWS Control Tower za pośrednictwem konsoli Security Hub:

1. Przejdź do strony Standards.
2. Uzyskaj dostęp do standardu „Service-managed standard: AWS Control Tower”.
3. Uzyskaj dostęp do kontrolki, której wyniki chcesz wyświetlić.
4. Lista wyników zostanie wyświetlona na dole strony.

Alternatywnie możesz użyć polecenia GetFindings za pośrednictwem interfejsu API lub CLI.

Aby wyświetlić wszystkie wyniki w jednym regionie, możesz ustawić agregację między regionami w Security Hub. Teraz możesz przeglądać wszystkie wyniki w tym samym czasie, bez przełączania między regionami. Aby uzyskać dodatkowe informacje, zapoznaj się z dokumentacją Security Hub.

Wnioski

Z tego artykułu dowiedziałeś się, jak integrować, włączać i zarządzać kontrolkami Security Hub z AWS Control Tower. Twórcy zademonstrowali wykrywanie dryfu AWS Control Tower dla kontrolek należących do Security Hub. Pokazali, jak wykorzystać Security Hub, aby wyświetlić wyniki tych kontroli w całej organizacji AWS. Dzięki tej ogólnie dostępnej funkcji możesz używać Security Hub jako pojedynczego miejsca do wykrywania błędnych konfiguracji podczas zarządzania środowiskami AWS Control Tower na dużą skalę.

Źródło: AWS