如何开发AWS Security Hub概念验证
AWS Security Hub(目前处于公开预览版)通过关联和丰富信号为可操作洞察,优先处理关键安全问题并帮助大规模响应以保护环境。预览期间,这些增强的Security Hub功能无需额外费用即可使用。虽然集成服务(Amazon GuardDuty、Amazon Inspector、Amazon Macie和AWS Security Hub云安全态势管理)将继续产生标准费用,但新客户可以免费试用这些基础安全服务。通过将这些试用与Security Hub预览结合,组织可以进行全面的概念验证评估,而无需大量前期投资。
在本博文中,我们将指导您如何规划和实施Security Hub的概念验证,以评估Security Hub在您环境中的实施、功能和价值。我们将引导您完成以下步骤:
- 了解Security Hub的价值
- 确定POC的成功标准
- 定义Security Hub配置
- 准备部署
- 启用Security Hub
- 验证部署
了解Security Hub的价值
图1展示了Security Hub如何统一来自多个AWS安全服务和功能的信号。这些信号由Security Hub从多个AWS安全服务和功能中摄取,包括:
- 威胁:Amazon GuardDuty发现
- 漏洞:Amazon Inspector漏洞发现
- 控制:AWS Security Hub CSPM发现
- 配置:资源清单
- 网络暴露:Amazon Inspector网络可达性发现
- 敏感数据:Amazon Macie发现
Security Hub在一个统一解决方案中提供四个关键功能:
- 统一安全运营:Security Hub提供统一的安全运营体验,将安全信号整合到单个统一视图中,避免在多个安全工具之间切换。这提供了跨AWS环境的全面可见性,使安全团队能够高效检测、优先处理和响应潜在安全风险。
- 智能优先级帮助关注最重要事项:AWS Security Hub帮助识别和优先处理在单独查看发现时可能被忽略的关键安全风险。通过分析资源关系和来自AWS安全服务及功能的信号来关联安全发现。
- 可操作洞察指导安全团队下一步行动:通过高级分析获得可操作洞察,将关联的发现转化为清晰、优先的洞察,突出显示环境中最关键的安全风险。您可以快速了解潜在影响、可视化关系并识别哪些安全问题对关键资源构成最大风险。
- 简化的安全响应和自动化功能:Security Hub通过启用简化响应功能来增强安全运营。它与现有票务系统无缝集成,帮助促进高效的事件管理。
通过这种集成方法,您的安全团队可以:
- 调查需要立即关注的关键风险
- 监控云环境中的安全趋势
- 自动化响应以简化修复
了解开放网络安全架构框架
Security Hub使用开放网络安全架构框架(OCSF)来帮助标准化安全数据和分析,并实现安全工具之间更好的集成。这种标准化有助于简化安全发现在整个环境中的结构化和分析方式。这种标准化数据模型能够在整个安全工具中实现无缝集成和数据交换,提供规范化和一致的数据格式。在实施Security Hub POC时,请确保熟悉OCSF规范。OCSF架构有八个类别来组织事件类,每个类别都与特定领域或重点领域对齐。Security Hub使用发现类别和以下列表中的类。
- 合规性:描述针对资源执行的评估结果,以检查是否符合各种行业框架或安全标准。
- 数据安全:描述由各种数据安全流程(如数据丢失防护、数据分类、秘密管理、数字权利管理和数据安全态势管理)生成的检测或警报。
- 检测:描述由使用关联引擎、检测引擎或其他方法的安全产品生成的检测或警报。
- 漏洞:关于信息系统、系统安全程序、内部控制或实施中可能被威胁源利用或触发的弱点的通知。
此外,确认您计划集成的任何分析或安全信息和事件管理工具支持OCSF数据格式,以最大化Security Hub提供的整合安全洞察的价值。
确定成功标准
建立清晰、可衡量的目标对于成功的POC至关重要。首先定义将证明Security Hub有效性的成功指标,以及Security Hub是否帮助解决了您面临的挑战。成功标准的一些示例包括:
-
警报整合指标:我使用多个安全服务,需要一个解决方案来关联每个服务的信号,帮助我优先处理环境中的风险。
- 减少在不同服务间关联警报所花费的时间
- 减少跨服务的重复警报
-
响应时间改进:我需要可视化攻击者可能用来利用资源的潜在攻击路径,并评估潜在的爆炸半径。
- 减少安全事件的平均检测时间
- 减少关键发现的平均响应时间
- 减少识别爆炸半径中可能受影响资源的时间
- 提高攻击路径分析的准确性
- 基于攻击路径洞察实施的控件数量
-
自动化功能:我希望自动化并减少团队实施响应和修复操作的时间,并希望集成更多自动化工作流,包括票务系统。
- 使用Jira Cloud或ServiceNow自动路由到正确团队的安全发现比例增加
- 从检测到创建票证的平均时间减少
-
风险可见性改进:我希望收集环境中资产的清单,了解哪些资源受到AWS安全服务的安全覆盖,并识别哪些是最关键且风险最高的。
- 减少识别受新漏洞、威胁和错误配置影响的关键资源的时间
- 更快识别和修复跨AWS组织的安全覆盖差距
建立成功标准后,必须评估组织准备情况和可能影响POC实施的潜在约束。首先对当前环境进行全面评估:基础安全服务(GuardDuty、Amazon Inspector、Security Hub CSPM和Macie)是否在您的账户中启用? 审查您在AWS组织中的管理能力,以验证您是否具有服务部署所需的权限和控制。考虑团队的容量——您是否有专门的人员可以专注于实施和测试?此外,验证时间安排是否与利益相关者的可用性一致,以进行适当的评估和反馈。
通过服务激活最大化POC价值
为了对Security Hub功能进行最全面的评估,仔细规划服务激活时间表,以优化免费试用期。以下是如何战略性启用服务的方法: 协调基础安全服务的激活,以最大化它们重叠的免费试用期:
- GuardDuty:30天试用(涵盖大多数保护计划,除了GuardDuty恶意软件保护)
- Security Hub CSPM:30天试用
- Macie:30天试用
- Amazon Inspector:15天试用
考虑同时启用这些服务,这样您至少有两周的重叠覆盖时间来评估Security Hub跨每个服务的完整关联和风险优先级功能。或者,如果由于限制希望以最小配置进行POC,您可以在初始POC阶段启用Security Hub CSPM和Amazon Inspector以正确评估结果和数据。 注意:仔细记录您的激活日期和试用到期日期。为试用结束日期创建日历提醒,并安排关键的POC评估里程碑在服务处于活动状态时进行。这将有助于确保您可以在服务全容量运行时彻底评估Security Hub的统一安全运营功能。 如果您已经启用了一个或多个这些基础服务,可以继续启用新的Security Hub。要完全使用新的Security Hub功能,特别是暴露发现功能,必须满足特定的服务依赖关系,Security Hub CSPM和Amazon Inspector都是必需的,因为它们为Security Hub关联引擎和暴露发现功能提供了基础数据。这种组合使Security Hub能够通过关联配置风险与运行时漏洞来提供全面的风险分析和优先级排序。如果您已经启用了其他安全服务(如GuardDuty或Macie),您可以在启用Security Hub的同时维护这些现有服务,它将自动开始将其发现纳入其统一视图,增强您的整体安全态势可视化。
资源
为了最大化Security Hub POC的价值,您可以使用托管在AWS Labs GitHub账户中的GuardDuty发现测试器存储库。该存储库包含脚本和指南,您可以用作POC来生成与真实AWS资源相关的GuardDuty发现。有多个测试可以独立运行或一起运行,具体取决于您想要生成的发现。 这些发现与Security Hub CSPM控制检查关联以检测错误配置,并与Inspector关联以检测漏洞,如图2所示。该示例显示了一个潜在远程执行发现的发现页面:Lambda函数具有网络可利用的软件漏洞,且利用可能性高。潜在攻击路径显示Lambda函数可以通过网络远程利用,无需用户交互或特殊权限。
图2:潜在远程执行暴露发现
注意:建议在非生产账户中部署这些测试,以确保这些测试生成的发现可以清晰识别。
定义Security Hub配置
建立成功标准后,您就可以规划配置了。一些重要的决策包括:
- 确定AWS服务集成:除了通过Security Hub CSPM进行态势管理和通过Amazon Inspector进行漏洞管理的核心安全功能外,Security Hub还集成来自其他AWS安全服务(如GuardDuty和Macie)的信号。
- 定义第三方集成:
- 对于票务,Security Hub与流行的服务管理系统(如Atlassian的Jira服务管理云和ServiceNow)具有本机集成。
- 已经支持或打算支持OCSF架构以从Security Hub接收发现的合作伙伴包括Arctic Wolf、CrowdStrike、DataBee、Datadog、DTEX Systems、Dynatrace、Fortinet、IBM、Netskope、Orca Security、Palo Alto Networks、Rapid7、Securonix、SentinelOne、Sophos、Splunk、Sumo Logic、Tines、Trellix、Wiz和Zscaler等公司。
- 服务合作伙伴(如Accenture、Caylent、Deloitte、IBM和Optiv)可以帮助您采用Security Hub和OCSF架构。
- 选择委托管理员:从AWS组织管理账户,您可以为组织设置委托管理员。作为最佳实践,我们建议跨安全服务使用相同的委托管理员以实现一致治理。
- 选择范围内的账户:定义您希望启用Security Hub的账户。
- 定义区域:确定区域限制或考虑因素。
准备部署
确定成功标准和Security Hub配置后,您应该对利益相关者、期望状态和时间框架有所了解。现在,您需要准备部署。在此步骤中,您应该在部署Security Hub之前尽可能完成以下步骤:
- 创建项目计划和时间表,以便所有相关人员了解成功的样子以及范围和时间表。
- 定义相关的利益相关者和Security Hub数据的使用者。一些常见的利益相关者包括安全运营中心分析师、事件响应者、安全工程师、云工程师和财务人员。
- 定义在部署期间谁负责、谁批准、咨询和知情。确保团队成员了解自己的角色。
- 确保您通过AWS组织管理账户具有访问权限,以便为组织启用Security Hub并委托管理员。
- 确定您希望在哪些账户和AWS区域中启用Security Hub。
启用Security Hub
AWS安全服务与AWS组织集成,帮助您集中管理Security Hub。
- 如果尚未这样做,请至少启用Security Hub CSPM和Amazon Inspector。同时启用任何其他希望与Security Hub集成的AWS安全服务。
- 从组织管理账户为组织启用Security Hub。
- 如果为Security Hub设置委托管理员,请参阅从管理账户在Security Hub中设置委托管理员账户。
注意:作为最佳实践,我们建议跨安全服务使用相同的委托管理员以实现一致治理。
- 使用具有启用和禁用成员账户权限的IAM策略登录委托管理员。通过此策略,您将具有细粒度控制权,可以决定要启用哪些区域。
- 配置第三方集成,为Security Hub发现创建事件或问题。
注意:启用Security Hub后,环境中的暴露发现会立即创建和分析。但是,接收资源的暴露发现可能需要长达6小时。
验证部署
最后一步是确认Security Hub配置正确,并根据成功标准评估解决方案。
- 验证策略:验证您具有管理成员账户的正确权限,并且区域限制配置正确。
- 验证集成:通过登录Security Hub的AWS管理控制台并在导航窗格中选择“清单”来验证与ServiceNow或Jira Cloud的票证是否正常工作。选择“发现”并验证您的发现中是否有票证ID。
- 评估成功标准:确定是否实现了项目开始时定义的成功标准。
清理
如果您不计划继续部署到生产环境,或者需要获得批准才能继续使用Security Hub,您可能希望移除Security Hub。要正确清理测试环境,请确保处理以下每个项目:
- 在完成清理之前,记录您的评估结果、发现和生产实施建议。
- 如果使用了GuardDuty发现测试器或其他测试工具,请首先移除这些资源以停止生成测试发现。
- 如果专门为POC启用了服务且不计划继续使用它们,请禁用它们:
- 禁用第三方集成(如Jira Cloud或ServiceNow连接)
- 禁用Security Hub
- 禁用Amazon Inspector、GuardDuty和Macie(如果仅为测试启用)
- 移除专门为POC创建的任何测试资源,如IAM角色和策略。
结论
在本文中,我们向您展示了如何规划和实施Security Hub POC。您学习了如何通过阶段来做到这一点,包括定义成功标准、配置Security Hub和验证Security Hub是否满足业务需求。请记住使用试用期来最大化测试窗口,而不会产生显著成本。在整个POC过程中,保持对预定义成功标准的关注,同时对可能出现的意外好处或挑战保持开放态度。与您的AWS账户团队保持开放沟通,以解决任何问题或疑虑,帮助您从Security Hub POC体验中获得最大价值。
其他资源
- AWS Security Hub用户指南
- 如何使用AWS Security Hub优先处理安全风险
如果您对本文有反馈,请在下面的评论部分提交评论。如果您对本文有疑问,请联系AWS支持。