Ansichten:
Die automatische Behebung ermöglicht es Kunden, selbstheilende Lambda-Funktionen auf ihrer Infrastruktur auszuführen, die Sicherheits- und Governance-Fehler in Echtzeit beheben können. Eine Liste unserer unterstützten automatischen Behebungs-Lambda-Funktionen finden Sie auf unserer GitHub-Seite.
Weitere Informationen zur Implementierung der automatischen Behebung für ein großes Unternehmen und zum Schreiben benutzerdefinierter Lambdas zur Schließung von Sicherheitslücken finden Sie unter: So fügen Sie Sicherheits- und Compliance-Auto-Remediation mit der Cloud Risk Management-Plattform hinzu.
Hinweis
Hinweis
Example Scenario: Ein Benutzer macht einen S3-Bucket über S3-Zugriffskontrolllisten (ACLs) öffentlich lesbar.

Wie funktioniert die automatische Behebung Übergeordnetes Thema

Prozedur

  1. Cloud Risk Management identifiziert das Risiko als Regelverstoß
  2. Cloud Risk Management sendet Benachrichtigungen an den angegebenen SNS-Kanal.
  3. Das SNS-Thema löst die Orchestrator-Lambda-Funktion aus, die wiederum die S3-Bucket-Auto-Remediate-Funktion aufruft.
  4. AutoRemediateS3-001-Funktion aktualisiert die S3-Bucket-ACL und behebt den Regelverstoß, wodurch die Sicherheitslücke geschlossen wird.

Nächste Schritte

auto-remediate-y5t5mt=985a7f48-3a9e-4c13-847a-16665b7e885b.png

Automatische Behebung einrichten Übergeordnetes Thema

Prozedur

  1. Befolgen Sie die Anweisungen in der offiziellen Serverless-Dokumentation, um Ihr AWS-Konto für das Serverless Framework zu installieren und Zugriff zu gewähren. Erstellen Sie eine Arbeitskopie des Auto-Remediation-Repositorys und befolgen Sie die folgenden Anweisungen:
  2. Erstellen Sie eine Arbeitskopie des Auto-Remediation-Repositorys:
    1. Installieren Sie Git auf Linux / Mac OS X / Windows, wenn es nicht auf Ihrem System vorhanden ist
    2. Führen Sie den folgenden Git-Befehl aus: git clone https://github.com/cloudconformity/auto-remediate.git
    step-2-set-up-auto-remediate-gszqhf=8dcfead7-491a-47c6-9ab7-29f80fe14a4c.png
    3. Wechseln Sie in das Verzeichnis functions innerhalb des Ordners zur automatischen Behebung: cd auto-remediate/functions
    4. Zugriffsregelkonfigurationen mit dem Befehl: nano config.js
    step-4-set-up-auto-remediate-sxxhts=4984f86d-5d6d-4459-979c-18f09138ead2.png
    {.zoom}
    5. Alle Regeln in der config.js-Datei sind auf
    'enabled': false standardmäßig, um Fehlkonfigurationen zu vermeiden. Sie müssen die Regeln manuell aktivieren, indem Sie den Wert ändern zu
    'enabled': true
    step-5-set-up-auto-remediate-cgtgyl=d1164a6c-e6dc-4f0b-b1f1-68b25bddd478.png
    6. Nach dem Vornehmen der Änderungen:
    • Führen Sie die Tastaturaktion Ctrl-O aus, um die Änderungen zu speichern
    • Drücken Sie Eingabe, um die Änderungen zu bestätigen
    • Verlassen Sie den Befehlszeilen-Editor durch die Tastaturaktion Ctrl-X.
    7. Führen Sie folgende Befehle aus:
    -  Move one level up to the "auto-remediate" folder using the command:
 `cd ..`
-  Make node:modules folder available to AWS using the command:
`npm install`  

![](img/rules/step-7=25759750-007c-4e3c-9a01-e896e23815a1-set-up-auto-remediate-gcsmxd=3df4e1ab-863d-4cf9-b019-43fb485f8103.png){.zoom}
    8. Führen Sie die automatische Behebung durch Ausführen des folgenden Befehls aus:
    serverless deploy --region [your AWS account region]
    Zum Beispiel
    serverless deploy --region us-east-2
    Hinweis
    Hinweis
    !!! Hinweis "" Für Selbstheilungsfunktionen empfehlen wir, die automatische Behebung in derselben Region wie Ihr AWS-Konto bereitzustellen. Die Erkennung von Prüfungsfehlern ist unabhängig von der Bereitstellungsregion, da sie von RTM und Cloud Risk Management Bot durchgeführt wird.
    step-8-set-up-auto-remediate-y2seyb=cffae1c6-588f-43e4-a758-d01603986b62.png
    9. Bei erfolgreicher Bereitstellung:
    - An SNS topic named **CloudConformity** is automatically created in your AWS account.
    step-9a-set-up-auto-remediate-vennsp=a5d8e742-1d6c-45f1-85cd-93426f9cf25a.png
    • Eine Lambda-Funktion namens autoremediate-v1-AutoRemediateOrchestrator ist automatisch beim SNS-Thema CloudConformity abonniert.
    step-9b-set-up-auto-remediate-faliqv=2ec7630e-2fad-4187-b16d-4dc0c69b51e1.png
    10. Integrieren Sie den Amazon SNS-Kommunikationskanal auf der Cloud Risk Management-Plattform und wählen Sie die Benachrichtigungen aus, die Sie aktivieren möchten:
    - [Automatic notifications](toggle-automatic-notifications.xml) - failed checks are automatically resolved when a message is published to your SNS channel.
- [Manual notifications](toggle-manual-notifications.xml) - you can view the **Send via SNS** button on Check failures. Click on the button to resolve the failure.

Nächste Schritte

Regeln nach der Bereitstellung der automatischen Behebung aktivieren oder deaktivieren Übergeordnetes Thema

Prozedur

  1. Navigieren Sie in Ihrer AWS-Konsole zu: DiensteComputeLambdaFunctions
  2. Suchen und auswählen: auto-remediate-v1-AutoRemediateOrchestrator
    step-2-enable-rules-d3pv6x=63a048ba-b6f4-4472-9a89-1075cb8e6090.png
  3. Änderungen an der Konfiguration vornehmen:
    Gehe zu KonfigurationFunction codeUmgebungauto-remediate-v1functions.
  4. Wählen Sie config.js und ändern Sie Ihre Konfigurationen für die automatische Behebung.
    step-4-enable-rules-ij5zyy=0eb1ba5f-f4b2-4814-83c7-386d16f0efdb.png

Testen der automatischen Behebungsbereitstellung Übergeordnetes Thema

Prozedur

  1. Überprüfen Sie, ob der Kommunikationstrigger, den Sie bei der Konfiguration eines Amazon SNS-Kanals ausgewählt haben, folgendermaßen lautet:
    Entweder auf Standard setzen, um Benachrichtigungen für alle Überprüfungen zu senden, oder
    Sie können EC2-002 speziell unter Regeln auswählen
  2. Überprüfen Sie, ob die Regel AutoRemediateEC2-002 aktiviert ist, indem Sie den Anweisungen zum Aktivieren einer Regel folgen.
    step-2-test-deployment-f4xygj=8d6a2ded-6c72-440c-9ea1-617a2b6d9673.png
  3. Navigieren Sie in Ihrer AWS-Konsole zu: DiensteComputeEC2 Security Groups
    step-3-test-deployment-bydcts=73d91ddc-c13d-4a28-84e3-7c3c295097ab.png
  4. Klicken Sie auf Create Security Group
    1. Geben Sie Name, Beschreibung ein und wählen Sie VPC aus
    2. Klicken Sie unter Security group rulesInbound, auf Regel hinzufügen:
      • Typ auswählen: SSH
      • Quelle: Anywhere
      • Klicken Sie auf Erstellen !!! Hinweis ""

Lösung mit manuellen Benachrichtigungen Übergeordnetes Thema

Wenn Sie nur manuelle Benachrichtigungen aktiviert haben, folgen Sie den untenstehenden Schritten, um den Fehler zu beheben:

Prozedur

  1. Gehen Sie zum Bericht über alle Prüfungen und filtern Sie die Regeln nach:
    • Regeln: EC2-002 (Unbeschränkter SSH-Zugriff)
    • Only show checks created less than: 1 Tag
  2. Bei einem Prüfungsfehler klicken Sie auf Send via SNS.

Überprüfen Sie die automatische Behebungsauflösung Übergeordnetes Thema

Prozedur

  1. Gehen Sie in Ihrer AWS-Konsole zu DiensteComputeEC2Security Groups.. Sie werden sehen, dass die Sicherheitsgruppe, die Sie in Schritt 4 erstellt haben, nicht mehr verfügbar ist.
    step-1-verify-resolution-y1iv54=e1e0a43c-ba7b-4eb0-b9f0-2a6b811617d4.png
  2. Öffnen Sie in Ihrer AWS-Konsole **Dienste > Rechnen > Lambda > Funktionen > Wählen Sie {auto-remediate function} > Überwachung.** Sie können auch die Lambda-Überwachungsdiagramme überprüfen, um zu verstehen, ob auto-remediate-v1-AutoRemediateOrchestrator und seine Unterfunktionen ausgelöst werden.
    step-2-verify-resolution-ljjg9w=9d6d5c2c-f4fd-467d-8e6c-4e7f3e12fa4e.png

Beitrag zum Auto-Remediation-Projekt Übergeordnetes Thema

Sie können unseren eigenen Auto-Remediation-Code forken und modifizieren, aber Cloud Risk Management bietet keinen Support für geforkte Codes. Sie können jedoch Pull-Requests für unseren Auto-Remediation-Code einreichen, und wenn diese genehmigt werden, wird der Code von unserem Customer Success Team unterstützt.