Ansichten:
Die automatische Behebung ermöglicht es Kunden, selbstheilende Lambda-Funktionen auf ihrer Infrastruktur auszuführen, die Sicherheits- und Governance-Fehler in Echtzeit beheben können. Besuchen Sie unsere GitHub-Seite für eine Liste der unterstützten automatisch behebenden Lambda-Funktionen.
Weitere Informationen zur Implementierung der automatischen Behebung für ein großes Unternehmen und zum Schreiben benutzerdefinierter Lambdas zur Schließung von Sicherheitslücken finden Sie unter: So fügen Sie Sicherheits- und Compliance-Auto-Remediation mit der Cloud Risk Management Plattform hinzu.
Hinweis
Hinweis
Example Scenario: Ein Benutzer macht einen S3-Bucket über S3-Zugriffskontrolllisten (ACLs) öffentlich lesbar.

Wie funktioniert die automatische Behebung Übergeordnetes Thema

Prozedur

  1. Cloud Risk Management identifiziert das Risiko als Regelverstoß
  2. Cloud Risk Management sendet Benachrichtigungen an den angegebenen SNS-Kanal.
  3. SNS-Thema löst die Orchestrator-Lambda-Function aus, die wiederum die S3-Bucket-Auto-Remediate-Funktion aufruft.
  4. AutoRemediateS3-001 Funktion aktualisiert die S3-Bucket-ACL und behebt den Regelverstoß, wodurch die Sicherheitslücke geschlossen wird.

Nächste Schritte

auto-remediate-y5t5mt=985a7f48-3a9e-4c13-847a-16665b7e885b.png

Automatische Behebung einrichten Übergeordnetes Thema

Prozedur

  1. Befolgen Sie die Anweisungen in der offiziellen Serverless-Dokumentation, um Ihr AWS-Konto für das Serverless Framework zu installieren und Zugriff darauf zu gewähren. Erstellen Sie eine Arbeitskopie des Auto-Remediation-Repositorys und befolgen Sie die folgenden Anweisungen:
  2. Erstellen Sie eine Arbeitskopie des Auto-Remediation-Repositorys:
    1. Installieren Sie Git auf Linux / Mac OS X / Windows, wenn es nicht auf Ihrem System vorhanden ist
    2. Führen Sie den folgenden Git-Befehl aus: git clone https://github.com/cloudconformity/auto-remediate.git
    step-2-set-up-auto-remediate-gszqhf=8dcfead7-491a-47c6-9ab7-29f80fe14a4c.png
    3. Wechseln Sie in das Verzeichnis "functions" innerhalb des Ordners "auto-remediation": cd auto-remediate/functions
    4. Zugriff auf die Konfigurationsregeln mit dem Befehl: nano config.js
    step-4-set-up-auto-remediate-sxxhts=4984f86d-5d6d-4459-979c-18f09138ead2.png
    {.zoom}
    5. Alle Regeln in der config.js-Datei sind auf
    'enabled': false ist standardmäßig deaktiviert, um Fehlkonfigurationen zu vermeiden. Sie müssen die Regeln manuell aktivieren, indem Sie den Wert ändern zu
    'enabled': true
    step-5-set-up-auto-remediate-cgtgyl=d1164a6c-e6dc-4f0b-b1f1-68b25bddd478.png
    6. Nach dem Ändern der Einstellungen:
    • Führen Sie die Tastaturaktion Ctrl-O aus, um die Änderungen zu speichern
    • Drücken Sie Eingabe, um die Änderungen zu bestätigen
    • Verlassen Sie den Befehlszeilen-Editor durch die Tastatureingabe Ctrl-X.
    7. Führen Sie die folgenden Befehle aus:
    -  Move one level up to the "auto-remediate" folder using the command:
 `cd ..`
-  Make node:modules folder available to AWS using the command:
`npm install`  

![](img/rules/step-7=25759750-007c-4e3c-9a01-e896e23815a1-set-up-auto-remediate-gcsmxd=3df4e1ab-863d-4cf9-b019-43fb485f8103.png){.zoom}
    8. Führen Sie die automatische Behebung durch Ausführen des folgenden Befehls aus:
    serverless deploy --region [Ihre AWS-Kontoregion]
    Zum Beispiel
    serverless deploy --region us-east-2
    Hinweis
    Hinweis
    !!! Hinweis "" Für Selbstheilungsfunktionen empfehlen wir, die automatische Behebung im selben Gebiet wie Ihr AWS-Konto zu implementieren. Die Erkennung von Prüfungsfehlern ist unabhängig von der Region der Implementierung, da sie von RTM und Cloud Risk Management Bot durchgeführt wird.
    step-8-set-up-auto-remediate-y2seyb=cffae1c6-588f-43e4-a758-d01603986b62.png
    9. Bei erfolgreicher Bereitstellung:
    - An SNS topic named **CloudConformity** is automatically created in your AWS account.
    step-9a-set-up-auto-remediate-vennsp=a5d8e742-1d6c-45f1-85cd-93426f9cf25a.png
    • Eine Lambda Function namens autoremediate-v1-AutoRemediateOrchestrator ist automatisch beim CloudConformity SNS-Thema abonniert.
    step-9b-set-up-auto-remediate-faliqv=2ec7630e-2fad-4187-b16d-4dc0c69b51e1.png
    10. Integrieren Sie den Amazon SNS-Kommunikationskanal auf der Cloud Risk Management Plattform und wählen Sie die Benachrichtigungen aus, die Sie aktivieren möchten:
    - [Automatic notifications](toggle-automatic-notifications.xml) - failed checks are automatically resolved when a message is published to your SNS channel.
- [Manual notifications](toggle-manual-notifications.xml) - you can view the **Send via SNS** button on Check failures. Click on the button to resolve the failure.

Nächste Schritte

Regeln nach der Bereitstellung der automatischen Behebung aktivieren oder deaktivieren Übergeordnetes Thema

Prozedur

  1. Auf Ihrer AWS Console, gehen Sie zu: DiensteComputeLambdaFunctions
  2. Suchen und auswählen: auto-remediate-v1-AutoRemediateOrchestrator
    step-2-enable-rules-d3pv6x=63a048ba-b6f4-4472-9a89-1075cb8e6090.png
  3. Änderungen an der Konfiguration vornehmen:
    Gehe zu KonfigurationFunktionscodeUmgebungauto-remediate-v1functions.
  4. Wählen Sie config.js aus und ändern Sie Ihre Konfigurationen für die automatische Behebung von Regeln.
    step-4-enable-rules-ij5zyy=0eb1ba5f-f4b2-4814-83c7-386d16f0efdb.png

Testen der automatischen Bereitstellung von Abhilfemaßnahmen Übergeordnetes Thema

Prozedur

  1. Überprüfen Sie, dass der Kommunikationstrigger, den Sie bei der Konfiguration eines Amazon SNS-Kanals ausgewählt haben, folgendermaßen lautet:
    Entweder auf Standard einstellen, um Benachrichtigungen für alle Überprüfungen zu senden, oder
    Sie können EC2-002 speziell unter Regeln auswählen
  2. Überprüfen Sie, ob die AutoRemediateEC2-002-Regel aktiviert ist, indem Sie den Anweisungen zum Aktivieren einer Regel folgen.
    step-2-test-deployment-f4xygj=8d6a2ded-6c72-440c-9ea1-617a2b6d9673.png
  3. Navigieren Sie in Ihrer AWS Console zu: DiensteComputeEC2 Security Groups
    step-3-test-deployment-bydcts=73d91ddc-c13d-4a28-84e3-7c3c295097ab.png
  4. Klicken Sie auf Create Security Group
    1. Geben Sie Name, Beschreibung ein und wählen Sie VPC aus
    2. Klicken Sie unter Security group rulesInbound, auf Regel hinzufügen:
      • Typ auswählen: SSH
      • Quelle: Anywhere
      • Klicken Sie auf Erstellen !!! Hinweis ""

Lösung durch manuelle Benachrichtigungen Übergeordnetes Thema

Wenn Sie nur Manuelle Benachrichtigungen aktiviert haben, folgen Sie den untenstehenden Schritten, um den Fehler zu beheben:

Prozedur

  1. Gehen Sie zum Bericht über alle Prüfungen und filtern Sie die Regeln nach:
    • Regeln: EC2-002 (Unbeschränkter SSH-Zugriff)
    • Only show checks created less than: 1Tag
  2. Bei einem Prüfungsfehler klicken Sie auf Send via SNS.

Überprüfen Sie die automatische Behebungsauflösung Übergeordnetes Thema

Prozedur

  1. Gehen Sie in Ihrer AWS Console zu DiensteComputeEC2Security Groups.. Sie werden feststellen, dass die Sicherheitsgruppe, die Sie in Schritt 4 erstellt haben, nicht mehr verfügbar ist.
    step-1-verify-resolution-y1iv54=e1e0a43c-ba7b-4eb0-b9f0-2a6b811617d4.png
  2. Gehen Sie in Ihrer AWS Console zu **Services > Compute > Lambda > Funktionen > {auto-remediate function} auswählen > Überwachung.** Sie können auch die Überwachungsdiagramme von Lambda überprüfen, um zu verstehen, ob auto-remediate-v1-AutoRemediateOrchestrator und seine Unterfunktionen ausgelöst werden.
    step-2-verify-resolution-ljjg9w=9d6d5c2c-f4fd-467d-8e6c-4e7f3e12fa4e.png

Beitrag zum Auto-Remediation-Projekt Übergeordnetes Thema

Sie können unseren eigenen Auto-Remediation-Code forken und modifizieren, aber Cloud Risk Management bietet keinen Support für geforkte Codes. Sie können jedoch Pull-Requests zu unserem Auto-Remediation-Code einreichen, und wenn diese genehmigt werden, wird der Code von unserem Customer Success Team unterstützt.