【ArchSummit架构师峰会】精华内容上线75%,AI大模型中台从理念到实践的探索!>>> 了解详情
写点什么

AWS Security Hub 现已正式发布

  • 2019-10-18
  • 本文字数:3095 字

    阅读完需:约 10 分钟

AWS Security Hub 现已正式发布

我是一名开发人员,或者至少我在被任命成为一名经理时这样告诫自己。我绝对不是一位信息安全专家。在我的职业生涯中,我不止一次被寻呼,因为我编写或配置的内容引起了安全问题。当系统启用频繁部署并删除网关守卫以进行试验时,有时会出现不兼容的资源。这便是我喜欢 AWS Security Hub 等工具的原因,该工具是一种服务,支持自动执行合规性检查以及聚合了来自各种服务的见解。建立这样的防护机制可确保事情按既定计划进行,这样我可以更自信地进行试验。此外,还可以集中查看多个系统的合规性检测结果,当我采用自助方式时,信息安全更助我一臂之力。


通过云计算,我们在合规性和安全性方面有一个责任共担模式。AWS 处理云的安全性:从数据中心到虚拟化层和主机操作系统的所有对象的安全性。客户处理云中的安全性:宾客操作系统 (GOS)、系统配置和安全软件开发实践。


目前,AWS Security Hub 已从预览版升级为正式发行,可帮助您了解云中的安全状态。它可跨 AWS 账户运行,并与许多 AWS 服务和第三方产品集成。您也可以使用 Security Hub API 创建自己的集成。

开始使用

启用 AWS Security Hub 时,将通过 IAM 服务相关角色自动创建权限。自动化持续合规性检查将立即开始。合规性标准确定了这些合规性检查和规则。第一个可用的合规性标准是 Center for Internet Security (CIS) AWS Foundations Benchmark。今年我们将增加更多的标准。



这些合规性检查的结果称为检测结果。每个检测结果都会告知您问题的严重性、报告该问题的系统、受影响的资源以及许多其他有用的元数据。例如,可能会显示这样一个检测结果,它告知您应该为根账户启用多重验证,或者有一些凭证已经 90 天没有使用,应该撤销。



可以使用聚合语句和筛选条件将检测结果分组为见解。


集成

除了合规性标准检测结果外,AWS Security Hub 还可聚合和标准化来自各种服务的数据。它是一个中央资源,集中了来自 AWS Guard DutyAmazon InspectorAmazon Macie以及 30 个 AWS 合作伙伴安全解决方案的检测结果。



AWS Security Hub 还支持从自定义系统或专有系统导入检测结果。检测结果必须格式化为 AWS Security Finding Format JSON 对象。下面是我创建的一个对象示例,它满足格式的最低要求。要将其用于您的账户,请切换出 AwsAccountIdProductArn。要获取自定义检测结果的ProductArn,请替换以下字符串中的 REGION 和 ACCOUNT_IDarn:aws:securityhub:REGION:ACCOUNT_ID:product/ACCOUNT_ID/default


{    "Findings": [{        "AwsAccountId": "12345678912",        "CreatedAt": "2019-06-13T22:22:58Z",        "Description": "This is a custom finding from the API",        "GeneratorId": "api-test",        "Id": "us-east-1/12345678912/98aebb2207407c87f51e89943f12b1ef",        "ProductArn": "arn:aws:securityhub:us-east-1:12345678912:product/12345678912/default",        "Resources": [{            "Type": "Other",            "Id": "i-decafbad"        }],        "SchemaVersion": "2018-10-08",        "Severity": {            "Product": 2.5,            "Normalized": 11        },        "Title": "Security Finding from Custom Software",        "Types": [            "Software and Configuration Checks/Vulnerabilities/CVE"        ],        "UpdatedAt": "2019-06-13T22:22:58Z"    }]}
复制代码


然后,我编写了一个名为importFindings.js 的快速 node.js 脚本来读取这个 JSON 文件,并通过 AWS JavaScript 开发工具包将其发送到 AWS Security Hub。


const fs    = require('fs');        // For file system interactionsconst util  = require('util');      // To wrap fs API with promisesconst AWS   = require('aws-sdk');   // Load the AWS SDK
AWS.config.update({region: 'us-east-1'});
// Create our Security Hub clientconst sh = new AWS.SecurityHub();
// Wrap readFile so it returns a promise and can be awaited const readFile = util.promisify(fs.readFile);
async function getFindings(path) { try { // wait for the file to be read... let fileData = await readFile(path);
// ...then parse it as JSON and return it return JSON.parse(fileData); } catch (error) { console.error(error); }}
async function importFindings() { // load the findings from our file const findings = await getFindings('./findings.json');
try { // call the AWS Security Hub BatchImportFindings endpoint response = await sh.batchImportFindings(findings).promise(); console.log(response); } catch (error) { console.error(error); }}
// Engage!importFindings();
复制代码


快速运行 node importFindings.js将生成{ FailedCount: 0, SuccessCount: 1, FailedFindings: [] }。现在,我可以在 Security Hub 控制台中看到我的自定义发现结果:


自定义操作

AWS Security Hub 可以通过使用自定义操作集成响应和补救工作流。通过自定义操作,可使用一批选定的检测结果生成 CloudWatch 事件。通过 CloudWatch 规则,这些事件可以触发其他操作,例如通过聊天系统或寻呼工具发送通知,或向可视化服务发送事件。


首先,我们在 AWS Security 控制台中打开设置,并选择自定义操作。添加自定义操作并记下 ARN。



然后,我们使用在事件模式中作为资源创建的自定义操作创建 CloudWatch 规则,如下所示:


{  "source": [    "aws.securityhub"  ],  "detail-type": [    "Security Hub Findings - Custom Action"  ],  "resources": [    "arn:aws:securityhub:us-west-2:123456789012:action/custom/DoThing"  ]}
复制代码


我们的 CloudWatch 规则可以有许多不同类型的目标,例如 Amazon Simple Notification Service (SNS) 主题、Amazon Simple Queue Service (SQS) 队列和 AWS Lambda 函数。实施我们的操作和规则后,我们就可以选择检测结果,然后从“操作”下拉列表中选择我们的操作。这会将选择的检测结果发送到 [Amazon CloudWatch Events]。这些事件将与我们的规则匹配,且事件目标将被调用。


重要说明

  • 必须启用 AWS Config 才能运行 Security Hub 合规性检查。

  • AWS Security Hub 现已在 15 个区域推出:美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、美国西部(加利福尼亚北部)、加拿大(中部)、南美洲(圣保罗)、欧洲(爱尔兰)、欧洲(伦敦)、欧洲(巴黎)、欧洲(法兰克福)、亚太地区(新加坡)、亚太地区(东京)、亚太地区(悉尼)、亚太地区(首尔)以及亚太地区(孟买)。

  • AWS Security Hub 不会将数据传输到生成数据的区域之外。数据不会跨多个区域整合。

  • AWS Security Hub 已经是我将在大多数由我操作的 AWS 账户中启用的服务类型。今年,随着更多合规性标准即将推出,我预计它将成为许多工具箱中的标准工具。可以免费试用 30 天,因此您可以试用一下,估算一下您将需要的成本。一如既往,我们希望听到您的反馈,并了解您如何使用 AWS Security Hub。保持联系,快乐构建!


作者介绍:


刘天龙


AWS 解决方案架构师,负责支持客户完成各种 Workload 在 AWS 上的架构设计,加入 AWS 之前先后服务于运营商、电力等大型企业,以及 Microsoft 和 Citrix 等外企,熟悉大型网络构建及优化,迁移上云及容灾等解决方案。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/aws-security-hub-now-generally-available/


2019-10-18 12:34751
用户头像

发布了 1817 篇内容, 共 89.1 次阅读, 收获喜欢 73 次。

关注

评论

发布
暂无评论
发现更多内容

如何从零开始开发一款chrome扩展?

Jackpop

吉林长春等保测评公司有几家?详细地址在哪里?

行云管家

网络安全 等级保护 等保测评 等保测评机构 吉林

私有云和公有云的主要区别有几点?两者哪个更安全?

行云管家

云计算 公有云 私有云 企业上云 云管平台

TiDB 6.1 发版:LTS 版本来了

PingCAP

分布式

如何最简单、通俗地理解Python的pandas库?

Jackpop

TASKCTL关于 "Fastjson反序列化远程代码执行漏洞” 的风险通告

TASKCTL

DevOps ETL算法 大数据平台 反序列化 TASKCTL

什么是数据流向分析?

清林情报分析师

数据分析 流向分析 数据流向 资金流向 可视化分析

BI的落寞,低代码会重演一遍吗?

ToB行业头条

庄周梦蝶终非蝶,冷静看待“谷歌AI形成人格”事件

易观分析

谷歌AI

常见线程数量的估算方式

snlfsnef

系统设计 线程 多CPU

外呼机器人7大难题,看网易云商如何攻破?

网易智企

AI 机器人

大数据培训Table API 和 Flink SQL的整体介绍

@零度

flink 大数据开发

字节跳动Dev Better技术沙龙来啦!参与活动赢好礼,限时免费报名中!

字节跳动终端技术

字节跳动 技术沙龙 华泰证券

信息化App在「左」,数字化App在「右」

Speedoooo

App 数字化 信息化

从感知智能跨越到认知智能,NLP领域要做哪些创新?

澜舟孟子开源社区

人工智能 自然语言处理 nlp 大模型 认知智能

哈希彩竞猜娱乐游戏俱乐部系统开发详情

开发微hkkf5566

LoadBalance

Damon

6月月更

为了写好代码,我坚持了这8条习惯!

Jackpop

什么是面向对象编程?终于懂了

Jackpop

云原生中间件 — Kafka Operator 总览篇

Daocloud 道客

云原生 开源项目 消息中间件 上云 Strimzi Kafka Operator

漫谈软件架构

韩陆

云原生 领域驱动设计 可观测性 软件架构 事件驱动架构

Flink CDC + OceanBase 全增量一体化数据集成方案

Apache Flink

大数据 flink 编程 流计算 实时计算

高考后,学会这种能力,让你收益终生!

图灵教育

数学 高考 数学建模

资金穿透分析

清林情报分析师

数据分析 分析软件 分析工具 资金穿透 资金分析

如何使用物联网低代码平台进行系统管理?

AIRIOT

物联网 低代码开发 低代码开发平台

小程序开发真的可以取代APP软件开发设计吗?

开源直播系统源码

软件开发 小程序开发

可视化技术在 Nebula Graph 中的应用

NebulaGraph

可视化 图数据库 知识图谱

百度评论中台的设计与探索

百度Geek说

企业如何建设知识管理系统

小炮

web前端培训Vue面试题分享

@零度

Vue 前端开发

使用APICloud AVM多端框架开发消防检查助手App项目实践分享

YonBuilder低代码开发平台

APP开发 APICloud 多端开发 应用开发 avm.js

AWS Security Hub 现已正式发布_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章