Verfolgen Sie Ihre Sicherheitslage in AWS

Wie können Sie Ihre Sicherheitslage in AWS verfolgen? Es gibt zwar Dienste wie Security Hub, aber der zeigt Ihnen nur die Werte einer begrenzten Anzahl von Standards an. Dieser Blogbeitrag knüpft an die 2 vorherigen Blogbeiträge an, die ich geschrieben habe:

• Verwenden Sie benutzerdefinierte Regeln, um Ihre Compliance zu überprüfen
• Verteilen Sie Konfigurationsregeln in Ihrem Unternehmen

In diesem Blog werden wir uns ansehen, wie Sie die Sicherheitslage in Ihrem Unternehmen verfolgen können.

AWS Sicherheits-Hub

AWS Security Hub ist der Service für die Verwaltung Ihrer Sicherheitslage in der Cloud. Und das funktioniert für kleinere Unternehmen und wenn Sie keine eigenen Konfigurationsregeln haben. Security Hub zeigt Ihnen nur die Konformitätsbewertungen der von AWS bereitgestellten Standards an. Außerdem erhalten Sie keinen historischen Einblick in die Bewertungen. Das muss kein Problem sein. Ein historischer Einblick kann sehr hilfreich sein, wenn Sie mit den Workload-Teams interagieren.

Ein Workload-Team könnte zum Beispiel sagen: "Gestern war die Punktzahl in Ordnung, sie ist nur wegen <insert reason here>gesunken." Wenn Sie einen Einblick in die Vergangenheit haben, können Sie feststellen, ob das stimmt oder nicht.

Wie sieht es mit Konformitätspaketen aus?

In meinem vorherigen Blog habe ich auch geschrieben, dass Conformance Packs Ihnen diesen Einblick geben. Ja, das ist richtig, aber es gibt einen feinen Unterschied zwischen den Bewertungen in AWS Config und AWS Security Hub. In Config ist der Status schwarz und weiß, eine Ressource ist entweder konform oder nicht konform. Der berechnete Wert ist der Prozentsatz der konformen Ressourcen.

Wenn in AWS Security Hub 1 Ressource in der Kontrolle nicht konform ist, ist die Kontrolle nicht konform. Wenn 9 Kontrollen konform sind und eine nicht konform ist. Das Ergebnis wäre 90%, unabhängig von der Anzahl der Ressourcen.

Security Hub bietet Ihnen auch die Möglichkeit, die nicht konformen Ergebnisse zu unterdrücken. Dies ist nützlich, wenn Sie eine Ressource haben, die einen guten Grund hat, sich nicht an eine Kontrolle zu halten. Sie können den Befund für die Ressource unterdrücken. Diese unterdrückten Feststellungen werden bei der Festlegung der Konformitätsbewertung nicht berücksichtigt.

Wie berechnen Sie dann die Punktzahl?

Wenn Sie eine Landingzone eingerichtet haben, verfügen Sie über ein Audit-Konto. Dieses Konto sammelt alle Ergebnisse der Konfigurationsregeln. Aber auch alle Ergebnisse der Sicherheitszentrale in einem einzigen Konto.

Indem wir den Security Hub nach Erkenntnissen abfragen, können wir den Compliance Score berechnen. Sie können praktische Dashboards erstellen. Diese Dashboards können alle Bewertungen eines Workloads in verschiedenen Umgebungen anzeigen.

Dies erfordert ein AWS-Konto pro Umgebung und Sie benötigen ein Namensschema. Zum Beispiel: xebia-my-workload-development.

Wenn Sie diese Dashboards Ihren Teams zur Verfügung stellen. Sie erhöhen den Einblick in die Compliance-Werte. Sie werden an einem einzigen Ort visualisiert und sind leicht zugänglich. Sie geben den Produktverantwortlichen den Einblick, den sie für die Planung des Backlogs benötigen. Dies erhöht die Akzeptanz der integrierten Sicherheitsverantwortung.

Wie funktioniert das?

Für die vollständigen Details der Implementierung verweise ich auf das Github-Repository. Aber im Wesentlichen werden wir die folgenden Schritte durchführen:

1. Verwenden Sie den Filter, um alle Ergebnisse abzurufen. Wir rufen 100 Ergebnisse pro Aufruf ab.
2. Wenn es einen NextToken gibt, müssen wir den Rest der Ergebnisse sammeln.
3. Wenn wir 100 Dateien haben, die jeweils 100 Befunde enthalten. Wir fügen sie zu einer einzigen Datei mit 10K Befunden zusammen. Wir wiederholen diesen Vorgang, bis wir alle Befunde haben.
4. Teilen Sie die Ergebnisse nach AWS-Konto-ID auf.
5. Berechnen Sie parallel dazu die Punktzahl auf der Grundlage der Ergebnisse.
6. Veröffentlichen Sie die Ergebnisse in CloudWatch Metriken. Die Metrik enthält den Namen des Workloads und die Umgebung als Dimensionen.

Es werden 3 Geschmacksrichtungen unterstützt:

• Die Sicherheitsstandards von AWS Security Hub.
• Konformitätspakete, die in der Organisation eingesetzt werden.
• Liste der benutzerdefinierten AWS-Konfigurationsregeln.

Für die Konformitätspakete gibt es einen weiteren Schritt. Wir müssen die Anzahl der im Konformitätspaket verfügbaren Regeln ermitteln. Der Grund dafür ist, dass Kontrollen, die konform sind, im Security Hub nicht sichtbar sind. Dies würde zu einer falschen Berechnung der Sicherheitsbewertung führen.

Fazit

Wenn Sie einen der folgenden Punkte benötigen: - Historische Einblicke in Ihre Sicherheitslage - Konformitätsbewertungen für Ihr Konformitätspaket. - Dashboards mit den Scores aller Umgebungen eines Workloads

Sie müssen etwas Handarbeit leisten, da es nicht von AWS unterstützt wird. Ich hoffe, ich habe Ihr Interesse geweckt, sich das Projekt aws-security-posture anzusehen.

Foto von ThisIsEngineering