写点什么

隆重推出与 AWS Security Hub 集成的 Cloud Custodian

  • 2019-10-15
  • 本文字数:2539 字

    阅读完需:约 8 分钟

隆重推出与 AWS Security Hub 集成的 Cloud Custodian


对于云的安全性、合规性和成本管理解决方案而言,受欢迎的选择之一是 Cloud Custodian,一个由 Capital One 赞助的开源项目。Cloud Custodian 是灵活的规则引擎,采用简单的 YAML 配置文件写出政策,支持超过 130 种 AWS 资源类型。然而,因为 Cloud Custiodian 主要通过邮件通知或命令行输出以及云观察指标进行报告,所以缺乏带有搜索和过滤功能的统一视图对于拥有大型环境和多个账户的客户来说是一个痛点。


现在,这一痛点的处理方式是集成 Cloud Custodian,作为 AWS Security Hub 的结果提供商。新发布的 AWS Security Hub 提供了您在 AWS 中安全状态的全面视图,包括关于安全行业标准和最佳规范的合规性。Security Hub 搜集了关于 AWS 账户、服务和受支持第三方合作伙伴的安全数据,帮助分析安全趋势,识别最高优先度的安全问题。

解决方案概览

  • 该解决方案包含如何升级并配置现有 Cloud Custodian 环境,以便将调查结果发表(即为发送)至 AWS Security Hub,然后在 Security Hub 中查看该等结果。如果您没有可用的 Cloud Custodian 环境,请浏览 Cloud Custodian 的开始使用页面。

  • 必须在账户中提前激活 Security Hub。

  • 示例将展示 Cloud Custodian 如何对未有任何执行加密存储桶政策声明的 S3 存储桶进行检测。如果您没有这类存储桶,只需创建一个无任何加密政策的空的 S3 存储桶,或者使用您知晓将触发结果的 S3 或 EC2 政策。

  • 用于执行 Cloud Custodian 的 AWS 凭据需要允许 securityhub:ImportFindings 操作,以允许输入。

  • 第 1 步:升级 Cloud Custodian

  • 从现有的 Cloud Custodian 虚拟环境范围内,运行以下命令:


pip install c7n --upgrade
复制代码


第 2 步:设置所需的 AWS IAM 权限


需要 securityhub:BatchImportFinding 操作。如果将要使用的凭据不允许该操作,则将其添加至现有客户管理政策,或附上新的 AWSSecurityHubFullAccess AWS 管理政策。注意:arn:aws:iam::aws:policy/AdministratorAccess 或 arn:aws:iam::aws:policy/PowerUserAccess 的 IAM 用户或角色已有所需权限。


第 3 步:用新操作创建 Cloud Custodian 政策


Cloud Custodian 的优化是增加了 “post-finding” 操作类型。 以下是输入结果所需的最低限度的政策变更的示例:


    - type: post-finding        severity_normalized: 30        types:          - "Software and Configuration Checks/Industry and Regulatory Standards/NIST CSF Controls (USA)"
复制代码


将以下最低限度政策示例剪切并粘贴至名为 s3-no-encryption.yml 政策


的新文件:


  - name: s3-bucket-encryption-policy-absent    resource: s3    description: s3 buckets without encryption required     filters:      - type: no-encryption-statement    actions:      - type: post-finding        severity_normalized: 30        types:          - "Software and Configuration Checks/Industry and Regulatory Standards/NIST CSF Controls (USA)"
复制代码


第 4 步:运行政策


以下命令将执行 Cloud Custodian,使用本地目录中的政策文件 s3-no-encryption.yml。Cloud Custodian 支持与 AWS CLI 相同的安全凭据和地区设置。


custodian run -s /tmp s3-no-encryption.yml
复制代码


该运行命令的结果应该与以下情况相似,预计差别在于时间戳、execution_time、资源计数和编号。如果首行计数为零,则第二行不会显示,因为没有结果发送至 Security Hub。


2018-11-19 05:43:30,095: custodian.policy:INFO policy: s3-bucket-encryption-policy-absent resource:s3 region:us-east-1 count:22 time:5.80 2018-11-19 05:43:30,832: custodian.policy:INFO policy: s3-bucket-encryption-policy-absent action: bucketfinding resources: 22 execution_time: 0.73
复制代码


第 5 步:查看 Security Hub 控制台中的结果


登入 AWS 控制台,选择 Security Hub,然后,在“导航 (Navigation)”区域的左上方点击 Findings。


在“结果 (Findings)”区域点击输入窗口中的 Filters,然后在“过滤器 (Filters)”的选择列表中选择 Product Fields。密钥 (Key) 栏输入 “ProviderName”,数值 (Value) 栏输入 “CloudCustodian”。


观察 Cloud Custodian 政策中的“名称 (Name)”如何映射到结果“标题 (Title)”。政策中的“描述”映射到结果中的“描述”,显示于“结果 ID”下的详细信息面板。


要查看 Cloud Custodian 所纳入结果部分的完整数据集,点击右边的 “Finding ID”:


第 6 步:浏览可以略过的附加数据


要查看 Custodian 可支持提交至 Security Hub 的附加属性和“类型”字段允许的值,运行以下命令:


custodian schema ec2.actions.post-finding
复制代码


属性名称直接映射至 Security Hub 使用的标准结果格式中定义的字段。


第 7 步:浏览所支持的 AWS 资源类型


启动该集成时,支持以下 AWS 资源类型(如 CloudCustodian 中所定义):ec2 和 s3。其他来源即将加入,包括 rds、vpc、security-group、subnet、iam-user、iam-role、iam-profile、iam-policy,将在账户中首先加入上述部分。查看特定资源是否已有添加的后结果操作支持,运行:


custodian schema <resource>.actions.post-finding
复制代码


如果得到以下错误信息,则表示 Cloud Custodian 尚不支持与该来源集成:


custodian.commands:ERROR post-findings is not in the actions list for resource
复制代码


第 8 步:浏览代码及参与方式


Cloud Custodian 集成的源代码包含在 securityhub.py 中,函数程序 () 调用名为 BatchImportFindings 的 Security Hub 公开 API。在相同文件中,函数 Finding 包含资源级数据映射。鼓励拉取“请求 (Requests)” 支持附加资源,或者您可以提交标题前缀为 ‘[SecurityHub]’ 的问题。此外,有任何想要的附加数据映射至“Amazon 结果格式 (Amazon Finding Format)”,请提交 PR 或问题。您还可以加入 Cloud Custodian 在 gitter.im 上的聊天室,有数百位其他用户和开发者可以帮助您开始使用。


将此代码提供给 Cloud Custodian 的主要原因是支持已经使用 Cloud Custodian 的 AWS 客户。其他开源安全和合规评估项目也可以使用这一方法作为如何与 AWS Security Hub 集成的示例。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/announcing-cloud-custodian-integration-aws-security-hub/


2019-10-15 08:00927
用户头像

发布了 1908 篇内容, 共 147.1 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

高并发高性能服务器是如何实现的?

赖猫

c++ 高并发 linux开发 服务器开发 多线程高并发

拆散的乐高怎么装起来

李小腾

SpringCloud 从入门到精通17---Sentinel降级/热点规则

Felix

基于Segment Routing技术构建新一代骨干网:智能、可靠、可调度(二)

UCloud技术

云计算 运维 云网络

大厂面试算法到底有多重要?学会这份算法宝典,随便暴打头条面试官!

Java架构之路

Java 程序员 架构 面试 编程语言

冰河去腾讯了?

冰河

程序员 程序人生 冰河 冰河技术

SpringBoot 接口幂等性的实现

xcbeyond

Spring Boot Java、 幂等性 28天写作

LeetCode题解:69. x 的平方根,牛顿迭代法+递归,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

非科班Java面试快手三面,如果不是疫情,offer已经到手了

Java架构之路

Java 程序员 架构 面试 编程语言

【盘点2020】连续8个月霸榜,年度最佳公有云竟然是它?

博睿数据

日记 2021年2月3日(周三)

Changing Lin

个人感悟 2月春节不断更

黄际洲获CCF优秀博士学位论文奖 搜索推荐技术创新成果显著

爱极客侠

产品经理训练营-第三周作业

羽室

备战金三银四,”吊打各厂面试官“ ,为你准备了这份堪称“神作”的Java面试宝典

Java架构之路

Java 程序员 架构 面试 编程语言

Seata1.4.0源码编译

Fox666

seata

游戏夜读 | 游戏中的确定性

game1night

深入理解nodejs的HTTP处理流程

程序那些事

node.js HTTP 异步编程 程序那些事

Linux-Lab 入门:详细步骤分解

贾献华

Linux 嵌入式 Linux Kenel 开发板 boot

官宣 | Atlassian 针对中国市场推出适用于所有团队的本地化部署方案!

Atlassian

项目管理 DevOps 敏捷 Atlassian Jira

全面提升企业的主动防御能力,UCloud全新架构云安全中心正式公测!

UCloud技术

网络安全 恶意解析 云安全 安全漏洞

100+标杆案例和1个减法:华为“懂行100”给2021带来了什么?

脑极体

💯 关于 TCP 三次握手和四次挥手,满分回答在此

飞天小牛肉

面试 后端 计算机网络 TCP/IP 2月春节不断更

硬盘的秘密

yes

机械硬盘

基于Segment Routing技术构建新一代骨干网:智能、可靠、可调度(一)

UCloud技术

云计算 网络 云网络

商务部发力数字商务:鼓励企业开展区块链等先进技术创新应用

CECBC

区块链

链上公开透明 链下迷雾重重 区块天眼能否拨开行业疑云

CECBC

区块链

5 个最值得注意的开源集中式日志管理工具

程序员石磊

Linux 日志 性能监控 日志监控

学习感恩

谷鱼

区块链时代,企业如何构筑竞争力的护城河?

CECBC

区块链

5G专网是个大西瓜(二):碰撞之谜

脑极体

Nacos源码编译

Fox666

nacos

隆重推出与 AWS Security Hub 集成的 Cloud Custodian_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章