Paskutinės Žinios.LT

Naujienos,technologijos, finansai

Technologijos

Kaip įdiegti CIS etalonus AWS, naudojant AWS konfigūraciją ir saugos centrą

Bir 21, 2025 #AWS, #centrą, #CIS, #etalonus, #įdiegti, #kaip, #konfigūraciją, #naudojant, #saugos

Saugumas ir atitiktis yra svarbiausi organizacijų, veikiančių debesyje, prioritetai. Įmonės būtinai apsaugo savo Debesų infrastruktūra prieš besivystančias kibernetines grėsmes naudojant geriausius saugumo planus. Daugeliui kompanijų CIS etalonai šiuo atžvilgiu tapo aukso standartu. Tai visame pasaulyje pripažintas jūsų skaitmeninės aplinkos stiprinimo projektas.

Verslas seka CIS etalonus, kad atitiktų pramonės standartus ir reguliavimo reikalavimus.

Tačiau žinojimas apie šiuos etalonus yra tik pusė mūšio. AWS aplinkoje, norint įgyvendinti CIS etalonus mastu, reikia automatizavimo, matomumo ir nuolatinio stebėjimo. Kaip visada, „Amazon“ teikia dvi labai stiprias paslaugas, skirtas patenkinti šį iššūkį: AWS konfigūracijos ir saugos centras.

Šiame straipsnyje pateikiamas žingsnis po žingsnio techninis vadovas, kaip įgyvendinti CIS etalonus naudojant AWS konfigūraciją ir saugos centrą, kad būtų galima aktyviai atitikti ir mažinti grėsmę.

Kas yra cis etalonai?

Interneto saugumo centras (CIS) yra ne pelno siekianti organizacija, orientuota į geriausios praktikos ir priemonių kūrimą, skirtą pagerinti organizacijų kibernetinio saugumo pozą visame pasaulyje.

Jį 2000 m. Įkūrė IT specialistų, saugumo ekspertų ir akademinių institucijų konsorciumas, siekdamas kovoti su kylančiomis saugumo grėsmėmis.

CIS etalonai yra pramonės standartinės konfigūracijos gairės, kaip užtikrinti tokias sistemas kaip:

  • Operacinės sistemos
  • Debesų platformos, tokios kaip AWS ir Azure
  • Paraiškos
  • Tinklo įrenginiai

Iki šiol CIS išleido daugiau nei 100 etalonų, kuriuos nuolat tobulina ir patvirtina kibernetinio saugumo profesionalai iš viso pasaulio.

CIS etalonai nėra patys reguliavimo įgaliojimai, tačiau jie naudojami daugelyje atitikties sistemų, tokių kaip HIPAA ir ISO 27001.

Cis AWS pamatų etalonas

CIS AWS fondų etalonas yra skirtas ypač AWS išteklių apsaugai. Jis grindžiamas realaus pasaulio grėsmėmis ir klaidingais konfigūravimais, dažniausiai matomais AWS aplinkoje. Šis etalonų rinkinys apima tokias kategorijas kaip:

  • Tapatybės ir prieigos valdymas (IAM)
  • Registravimas ir stebėjimas
  • Tinklo kūrimas
  • Apskaičiuoti

Jis yra padalintas į du lygius:

  • 1 lygis: Pagrindinei saugumo higienai su minimaliais sutrikimais. 1 lygio etalonus lengva įgyvendinti ir yra tinkami daugumai kompanijų.
  • 2 lygis: Šie etalonai yra labiau ribojantys aukšto saugumo srityse, tokiose kaip „Finance“ ir „Healthtech“.

AWS konfigūracija: nuolatinio atitikties pagrindas

AWS turi šimtus pasiūlymų ir palaiko kontrolę a AWS infrastruktūra gali būti labai sudėtinga. AWS konfigūracija tai išsprendžia nuolat stebėdamas ir įrašydamas AWS išteklių konfigūracijas ir leidžia taisyklėms įvertinti, ar šie ištekliai atitinka norimus nustatymus.

Tai yra tarsi juodosios dėžutės įrašymo įrenginys jūsų AWS aplinkai. Kiekvieną jūsų infrastruktūros pakeitimą stebi AWS konfigūracija, įskaitant tai, kai tai atsitiko, kas pasikeitė ir ar ji pažeidė bet kokias jūsų nustatytas taisykles.

Čia yra jo pagrindinės savybės:

1. Išteklių atsargos

AWS konfigūracija automatiškai atranda ir prižiūri išsamų visų jūsų AWS išteklių aprašą.

2. Realiojo laiko pakeitimo įspėjimai

Galite gauti tiesioginius pranešimus per „Amazon SNS“, kai keičiasi šaltinio konfigūracija, o tai yra labai svarbu aptikti neteisėtus pakeitimus ar potencialų saugumą
pažeidžiamumas.

3. Automatizuotos atitikties taisyklės

AWS konfigūracija leidžia apibrėžti ir įgyvendinti norimą būseną. Galite nustatyti taisykles, skirtas automatiškai įvertinti, ar jūsų išteklių konfigūracijos atitinka jūsų politiką.

4. Santykių žemėlapis

Tai nubrėžia sudėtingus ryšius tarp skirtingų AWS pasiūlymų, kurie padeda suprasti priklausomybes.

5. Atitikimo paketai

Atitikimo pakuotės yra iš anksto supakuotos konfigūracijos taisyklių ir ištaisymo veiksmų, kuriuos galima naudoti kaip vieną, kolekcijos
vienetas.

AWS konfigūracijos nustatymas

Štai kaip galite nustatyti AWS konfigūraciją:

  1. Įgalinti AWS konfigūraciją per konsolę, CLI arba Debeso informavimas.
  2. Nurodykite įrašytus išteklių tipus (arba visus išteklius).
  3. Pasirinkite S3 kibirą konfigūracijos momentinėms nuotraukoms.
  4. Įgalinkite konfigūracijos taisykles, pradedant nuo AWS valdomų taisyklių.

Kaip nustatyti AWS konfigūraciją, skirtą cis AWS fondų etalonui

Yra du būdai, kaip galite naudoti AWS konfigūraciją, kad pritaikytumėte CIS AWS fondų etaloną. Rankinis būdas reikalauja, kad jūs eitumėte į AWS konfigūraciją ir pritaikytumėte kiekvieną valdomą taisyklę po vieną. Po to turite sukonfigūruoti juos taip, kad atitiktų konkrečius CIS valdiklius. Šis procesas yra lėtas, nereikalingas ir sunkiai matomas daugiapakopėje aplinkoje.

Tačiau taip pat yra automatinis būdas greitai diegti CIS etalonus AWS, naudojant AWS konfigūracijos atitikties paketus. AWS pateikia iš anksto pastatytą atitikties paketą, skirtą CIS etalonams pritaikyti: CIS AWS fondų atitikties paketas

Šis atitikties paketas leidžia diegti visą CIS etalonų rinkinį viename „Go“, o ne diegti taisykles po vieną.

Štai kaip galite diegti CIS AWS fondo atitikties paketą:

  1. Eikite į AWS konfigūraciją> atitikties paketai> Diegkite atitikties paketą.
  2. Pasirinkite „CIS AWS Foundations Benchmark v1.2.0“ arba panašiai.
  3. Peržiūrėkite ir diegkite naudojant „Cloudformation“.
  4. Stebėkite atitikties būseną pagal visus pasirinktus išteklius.

Pažvelkime į pavyzdžius, kiek CIS valdiklių tiesiogiai susieja su AWS konfigūracijos atitikties pakuotėmis:

Cis kontrolė AWS konfigūracijos taisyklė
Įsitikinkite, kad visuose regionuose įjungtas „CloudTail“ „CloudTail“ įgalinta
Įjunkite „S3 Bucket Access“ registravimą „S3-Bucket-Logging“
Įsitikinkite, kad IAM slaptažodžio politikai reikia simbolių IAM-PASSWORD-POLICY-REQUIRES-SYMOMBOLS

AWS saugos centras: centralizuotos saugos išvados

AWS saugos centras yra jūsų komandų centras Debesų saugumas. Nors AWS konfigūracija vertina konfigūracijas, saugos centras surinka ir teikia pirmenybę saugumo išvadoms visose AWS paskyrose.

Tai sumažina triukšmą ir padeda jums nustatyti, nustatyti prioritetus ir veikti dėl galimų saugumo problemų visame jūsų AWS pėdsake.

Čia yra pagrindinės „AWS Security Hub“ savybės:

1. Nepertraukiami saugumo patikrinimai

Saugumo centras yra jūsų visada įjungtas saugumo analitikas. Tai negailestingai stebi jūsų AWS aplinką, atliekant automatinius patikrinimus su pramonės etalonų rinkiniu.

2. Integruota su AWS aplinka

Jis yra visiškai integruotas su AWS konfigūracija, „Guardduty“, „Macie“, inspektoriumi ir kitais AWS pasiūlymais.

3. Vieningas saugumo matomumas

Organizacijos gauna konsoliduotą, aiškų vaizdą apie savo saugumo laikyseną su „Security Hub“. Jo centralizuotas prietaisų skydelis pateikia rezultatų kortelę kiekvienam valdikliui, naudojant „Pass“ arba „Fail“ vertinimą.

4. Ataskaitos ir informacijos suvestinės

„AWS Security Hub“ siūlo įmontuotus atitikties prietaisų skydelius, kurie teikia vienos sąskaitos ir kiekvieno regiono rezultatų korteles, nesėkmingų valdiklių skilimą ir filtravimą pagal sunkumo lygius, tokius kaip kritinis ar aukštas.

Rezultatai neapsiriboja AWS konsole, kurią galite eksportuoti naudodami AWS CLI, užklausą per ATHENE ir S3 per „EventBridge“ arba integruoti su trečiųjų šalių „Siems“, naudodamiesi turimomis jungtimis ar „EventBridge“ taisyklėmis.

5. Supaprastintas auditas su žemėlapio išvadomis

„AWS Security Hub“ automatiškai atlieka saugos patikrinimus ir renka įspėjimus. Tai taip pat pasakoja, kaip tai susiję su oficialiomis sistemomis, tokiomis kaip:

  • Cis AWS pamatų etalonas
  • PCI DSS
  • NIST 800-53

Kaip nustatyti CIS AWS fondų saugos centrą

Laikykitės šio žingsnis po žingsnio, kad įgalintumėte AWS saugos centrą CIS AWS fondams etalonui:

  1. Eikite į „Security Hub“> Nustatymai.
  2. Įgalinti saugos standartus → Pasirinkite CIS AWS fondų etaloną.
  3. Pasirinktinai integruokite su kitomis paslaugomis, tokiomis kaip:
    • Garšos dutas grėsmės aptikimui
    • AWS inspektorius dėl pažeidžiamumo nuskaitymo

Įgalinus, „Security Hub“ pradės rinkti ir rodyti išvadas, susijusias su CIS AWS fondų etalonu.

Išvadavimo automatizavimas su apsaugos centru

Išvadavimo automatizavimas automatiškai išsprendžia saugos problemas, kai tik jos aptinkamos nelaukdami, kol kas nors prisijungs ir tai padarys rankiniu būdu.

AWS leidžia tai nustatyti naudodamiesi „Security Hub“ ir „Config“ išvadomis, kad suaktyvintumėte automatinius atsakymus. Toliau pateiktas ištaisymo automatizavimo su saugos centre pavyzdys.

Automatinis S3 kaušai su vieša prieiga

Tarkime, jūs netyčia padarėte S3 saugyklos kibirą, viešai skaitomą. Tai yra saugumo rizika, jei joje yra neskelbtini failai.

Štai kas nutinka automatizuotoje darbo eigoje:

  1. Aptiktas taisyklių pažeidimas: „S3-Bucket“ viešas skaitymo prodiuseris nesėkmes.
  2. „Eventbridge“ taisyklė: Pažeidimų aptikimas sukelia „Eventbridge“ taisyklę.
  3. SSM automatizavimo dokumentas arba „Lambda“ funkcija: Šie veiksmai vykdomi šiame etape
    • Atšaukia viešą prieigą
    • Praneša saugumo komandai per SNS arba „Slack“

Be to, jei norite padaryti šią didesnės atitikties ir bilietų pardavimo sistemos dalį, taip pat galite prisijungti:

  • AWS sistemų valdytojo automatizavimas
  • AWS Lambda
  • „CloudWatch“ žurnalai
  • „Jira“ arba „ServiceNow“ integracijos incidentams sekti

Kaip valdyti saugumą keliose AWS paskyrose

Didelės įmonės dažnai naudoja kelias AWS paskyras, kad atskirtų darbo krūvius. Nors tai pagerina valdymą, jis apsunkina saugumo valdymą.

Dėl šios priežasties AWS siūlo įrankių ir praktikų rinkinį, skirtą centralizuotai valdyti saugumą ir atitiktį.

1. Delegato administratoriaus prieiga AWS organizacijose

Naudodamiesi AWS organizacijomis, vieną sąskaitą galite priskirti „saugos administratoriaus paskyrai“.

Ši sąskaita gauna:

  • Leidimas peržiūrėti ir valdyti saugumo duomenis visose paskyrose
  • Prieiga prie „Security Hub“, „AWS Config“ ir „CloudTail“ žurnalų iš kitų paskyrų

Ši sąranka sukuria vieną „Cloud Security“ komandos valdymo tašką, ir jums nebereikia prisijungti prie 20 skirtingų paskyrų.

2. Naudokite AWS konfigūracijos agregatorius

Kelių sąskaitų sąrankoje kiekviena paskyra turi savo AWS konfigūracijos egzempliorių. Norėdami surinkti atitikties duomenis visose paskyrose, galite nustatyti konfigūracijos agregatorių saugos paskyroje.

Tai ištraukia duomenis iš visų paskyrų ir pateikia pasaulinį vaizdą, kuris išteklius atitinka ar neatitinka jūsų saugumo taisyklių.

3. Įgalinkite „Security Hub“ kelių sąskaitų sąranką

„AWS Security Hub“ turi kelių sąskaitų sąranką, kuri centrine paskyra yra administratorius ir kitos paskyros kaip nariai. Be to, perspėjimus galite filtruoti pagal paskyrą, išteklius, sunkumą ir atitikties standartą.

4. Vykdykite saugumo taisykles visoje organizacijoje

Turite įsitikinti, kad kiekviena paskyra nuo pat pradžių yra saugiai nustatyta. Tuo tikslu galite naudoti AWS valdymo bokštą, kuris automatizuoja naujų paskyrų kūrimą su iš anksto apibrėžtomis saugos bazinėmis linijomis.

Bet jei esate pažengęs vartotojas, nuosekliam taisyklių vykdymui galite naudoti pasirinktinius diegimo scenarijus.

Geriausia CIS etalonų įgyvendinimo praktika AWS

Čia yra keletas geriausių CIS etalonų įgyvendinimo AWS aplinkoje praktiką:

Praktika Aprašymas
Pradėkite nuo valdomų taisyklių Norėdami aprėpti daugumą CIS valdiklių, naudokite AWS valdomas taisykles.
Tinkinkite, kur reikia Pridėkite pasirinktines konfigūracijos taisykles, susijusias su konkrečiai organizacijai.
Įgalinti kryžminio apskaitos agregaciją Naudokite kaupiklius, kad galėtumėte centralizuoti atitikties prietaisų skydelius.
Automatizuokite ištaisymą Naudokite „EventBridge + Lambda/SSM“ nuolatiniam vykdymui.
Nuolat stebėti Integruokite įspėjimus apie „Security Hub“ su reagavimo į įvykius platformas.

Išvada

Kibernetinių grėsmių supratimas yra tik pirmas žingsnis užtikrinant debesų infrastruktūrą. Norint užbaigti kelionę, jums reikės automatinių įrankių, kurie nustato pažeidžiamumus ir aktyviai vykdo saugumo gaires, tokias kaip CIS etalonai.

Įdiegus NVS etalonus naudojant AWS konfigūraciją ir saugos centrą, tai leidžia tai atlikti nuolatiniu, automatizuotu atitikties stebėjimu debesies aplinkoje. Kartu AWS konfigūracijos ir saugos centras sujungia taisyklėmis pagrįstą vertinimą su centralizuotomis išvadomis ir automatizuotu ištaisymu. Tai yra didžiulis derinys, suteikiantis jūsų verslui strateginį pranašumą.

Be to, šis požiūris taip pat patvirtina „DevSecops“ Principai, įgyvendinantys atitiktį kasdienes debesies operacijas, kurios užtikrina saugią, atsparią ir reikalavimus atitinkančią infrastruktūrą mastu.

„Xavor“ padeda savo partneriams įgyvendinti automatizuotus, keičiamus ir standartus skatinančius „Cloud Security“ sprendimus AWS, Azure ir kitose debesų platformose. Mūsų ekspertai suderina jūsų verslą su pasauliniais kibernetinio saugumo standartais, įskaitant CIS etalonus ir OWASP interneto saugumą.

Pasiruošę stiprinti savo saugumo laikyseną? Susisiekite su mumis (El. Paštas apsaugotas) dabar.

Nuoroda į informacijos šaltinį

Susiję įrašai

Technologijos

What is a Salesforce Admin? A comprehensive guide

Lie 6, 2025
Technologijos

Debesų testavimas: pranašumai, tipai ir iššūkiai

Bir 6, 2025
Technologijos

Kaip mūsų Kinijos komanda per mėnesį surinko du RUI padalinius

Geg 22, 2025

Praleistos naujienos

Miestų įdomybės

Lietuvos ir Europos virtuozai pasirodymais pagerbs „ANBO“ ir Lietuvos aviacijos kūrėjus

12 liepos, 2025 admin
FINANSAI

Atsakingojo skolinimo nuostatų peržiūra – daugiau galimybių perkantiesiems pirmą būstą, griežtesni investicinių sandorių reikalavimai

7 liepos, 2025 admin
Miestų įdomybės

Kauno miesto savivaldybė Dėl viešojo transporto liepos 10-ąją

7 liepos, 2025 admin
Interjeras

Kodėl mes nebeturime savo kilimėlių JAV linijos

7 liepos, 2025 admin

Draugai: - Marketingo paslaugos - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Karščiausios naujienos - Ultragarsinis tyrimas - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai -  Padelio treniruotės - Pranešimai spaudai -