محلل الامتثال لمركز الأمان

يقوم محلل الامتثال لمركز الأمان (SHCA) بإنشاء عناصر لدعم اعتماد نظام معلومات إطار إدارة المخاطر التابع لوزارة الدفاع (RMF). باستخدام الوثائق المقدمة من Amazon Web Services، وتعيين عناصر التحكم NIST800-53-Rev-5 لمعرفات التحكم في أمان AWS Security Hub، تطلب SHCA الامتثال للبيئة الحالية من Security Hub وتقوم بإنشاء ملف مضغوط مخزن في Amazon S3 يحتوي على عناصر منفصلة بتنسيق CSV وJSON و يقوم OCSF بتزويد SecOps بالعناصر لاستيرادها إلى أداة RMF.

مركز الأمان مع NIST Special Publication 800-53 Revision 5 Security Standard ويعمل لمدة 24 ساعة على الأقل للحصول على النتائج

** لمزيد من المعلومات حول تمكين هذا المعيار، قم بزيارة تمكين وتعطيل معايير الأمان )

يتم استخراج جميع النتائج الموجودة داخل Security Hub وحفظها بتنسيق JSON.

تتم كتابة أحدث النتائج من كل معرف تحكم/مورد في JSON إلى ملف CSV لتحسين التحليل وسهولة القراءة

يتم إنشاء ملخص لجميع عناصر التحكم من ملف CSV باتباع المنهجية التالية

• متوافق = جميع نتائج عنصر التحكم لها قيمة PASSED أو تحتوي على مزيج من PASSED وNOT_AVAILABLE
• غير متوافق = جميع نتائج عنصر التحكم لها قيمة "فشل" أو تحتوي على مزيج من "فشل" و"غير متاح"
• متوافق جزئيًا = تحتوي نتائج عنصر التحكم على نتيجة واحدة فاشلة على الأقل واكتشاف ناجح واحد على الأقل وربما نتائج NOT_AVAILABLE

تقوم هذه الخطوة بإنشاء ملف لكل عنصر تحكم NIST SP 800-53 بناءً على حالة عنصر التحكم هذا وتخزينه في مجلدين:

• control_ready_to_import_into_rmf_tool
  • يحتوي على عناصر تحكم تحتوي على نتائج تم تمريرها فقط
• الضوابط_التي_تتطلب_الانتباه
  • يحتوي على عناصر التحكم التي تحتوي على نتائج فاشلة

بالإضافة إلى ذلك، تسترد هذه الخطوة ملفات متنوعة من حاوية S3 وتتضمنها. المجلدات ومحتوياتها هي:

• aws/ato_next_securityhub_rules_nist_800_53_rev_5
  • يحتوي الملف على aws_securityhub_controls.csv، ويوفر مرجعًا لمعرف Security Hub SecurityControlID وأسماء قواعد AWS Config المرتبطة وعناصر تحكم NIST SP 800-53r5 ذات الصلة.
• original_findings_from_securityhub_in_json
  • يحتوي على ملفات json الأصلية (securityhub_original_findings_asff.json وsecurityhub_original_findings_ocsf.json) بعد الاستعلام عن قاعدة بيانات Security Hub.
• condensed_findings_from_securityhub_in_csv
  • يحتوي على نسخة مختصرة من النتائج الأصلية بتنسيق CSV (securityhub_nist80053_findings_condensed.csv)، مع أحدث النتائج التي تمت ملاحظتها فقط لكل عنصر تحكم/مورد.
• control_summary_of_findings_from_securityhub_in_csv
  • يحتوي على ملخص لحالة الامتثال لجميع عناصر التحكم، حسب التحكم، في الملف Securityhub_nist80053_findings_summary.csv.

توفر هذه الملفات بيانات شاملة حول الحالة الأمنية لموارد AWS، استنادًا إلى فحوصات الأمان الآلية NIST SP 800-53 الخاصة بـ Security Hub.

إليك ما تحتاج إلى تثبيته لاستخدام AWS CDK.

التحقق من صحة تثبيت Python 3.7 أو الأحدث، وpip، وvirtualenv، وNode.js على Linux

node --version

يحتاج جميع مطوري AWS CDK، حتى أولئك الذين يعملون في Python أو Java أو C#، إلى Node.js 14.15.0 أو إصدار أحدث. تستخدم جميع اللغات المدعومة نفس الواجهة الخلفية، والتي تعمل على Node.js. نوصي بإصدار في الدعم النشط على المدى الطويل. قد يكون لدى مؤسستك توصية مختلفة.

تعتمد المتطلبات الأساسية الأخرى على اللغة التي تقوم بتطوير تطبيقات AWS CDK بها وهي كما يلي:

• Python 3.7 أو الأحدث بما في ذلك pip و virtualenv

python3 --version

pip3 --version

virtualenv --version

wget --version

jq --version

npm install -g aws-cdk

قم بتشغيل الأمر التالي للتحقق من التثبيت الصحيح وطباعة رقم إصدار AWS CDK.

cdk --version

يخبر ملف cdk.json مجموعة أدوات CDK بكيفية تنفيذ التطبيق.

تم إعداد هذا المشروع مثل مشروع بايثون القياسي. تقوم عملية التهيئة أيضًا بإنشاء virtualenv ضمن هذا المشروع، ويتم تخزينها ضمن الدليل .venv . لإنشاء Virtualenv، يفترض وجود python3 (أو python لنظام التشغيل Windows) قابل للتنفيذ في المسار الخاص بك مع إمكانية الوصول إلى حزمة venv . إذا فشل الإنشاء التلقائي لـ virtualenv لأي سبب من الأسباب، فيمكنك إنشاء virtualenv يدويًا.

لإنشاء Virtualenv يدويًا على نظامي التشغيل MacOS وLinux:

 $ python3 -m venv .venv

بعد اكتمال عملية init وإنشاء virtualenv، يمكنك استخدام الخطوة التالية لتنشيط virtualenv الخاص بك.

 $ source .venv/bin/activate

إذا كنت تستخدم نظام التشغيل Windows، فستقوم بتنشيط virtualenv كما يلي:

 % .venvScriptsactivate.bat

بمجرد تنشيط Virtualenv، يمكنك تثبيت التبعيات المطلوبة.

 $ pip install -r requirements-deploy.txt

قم بتنزيل AWS Lambda Layer for AWS SDK for Pandas (AWS Wrangler) وضعه في الموقع التالي: راجع README.md لمزيد من المعلومات.

 bash update_aws_wrangler.sh

يتطلب نشر الحزم المكدسة باستخدام AWS CDK إتاحة حاويات Amazon S3 وحاويات أخرى مخصصة لـ AWS CloudFormation أثناء النشر. إنشاء هذه يسمى bootstrapping. للتمهيد، قم بإصدار:

 cdk bootstrap aws://ACCOUNT-NUMBER/REGION

عند هذه النقطة يمكنك الآن تجميع قالب CloudFormation لهذا الكود.

 $ cdk synth

قم بتعديل القيم التالية في cdk.json - "environment": "shca" - أعط هذا اسمًا وصفيًا لنشر SHCA. يمكن أن يكون هذا بأي قيمة ولا يؤثر على الوظيفة. إنه لتسمية موارد SHCA داخل حساب AWS. - "vpc_cidr": "10.30.0.0/24" - يضبط نطاق CIDR لـ VPC صغير تم إنشاؤه لتشغيل وظائف Lambda، بحيث لا يتم إنشاء [Lambda.3] وظائف Lambda التي يجب أن تكون في نتيجة VPC. حدد نطاق CIDR غير مستخدم بالفعل في بيئتك. - "schedule_frequency_days": 7 - يحدد هذا الإعداد عدد المرات التي تريد فيها أن تقوم SHCA بإنشاء تقارير الامتثال. - "send_failure_notification_email": true أم false - إذا كان true ، فسيتم إرسال البريد الإلكتروني إلى العنوان المذكور في failure_notification_email . - "failure_notification_email": [email protected] - سيتلقى عنوان البريد الإلكتروني هذا إشعارات عند الفشل في تنفيذ SHCA.

من هنا لديك خياران حول كيفية تثبيت SHCA (CloudShell أو CDK)

إذا لم يكن لديك إمكانية الوصول إلى جهاز كمبيوتر محمول أو بيئة تطوير حيث يمكنك تثبيت المتطلبات المسبقة أعلاه، فيمكن استخدام خدمة CloudShell لنشر SHCA. بالإضافة إلى ذلك، باستخدام بيانات الاعتماد المؤقتة من AWS IAM Identity Center، يمكننا استخدام CloudShell واحد في الحساب لإجراء مكالمات CloudFormation API ونشر التعليمات البرمجية في أي حساب يمكنك الوصول إليه.

تم اعتماد CloudShell من قبل DISA للاستخدام في بيئات IL2-IL5، بما في ذلك المناطق التجارية وGovCloud. يرجى استشارة موظفي الامتثال في مؤسستك للتأكد من اعتماد CloudShell للاستخدام في نشر AWS الخاص بمؤسستك.

1. قم بتنزيل الكود المصدري مثل shca-main.zip، من الفرع الرئيسي لهذا الريبو.

2. انتقل إلى خدمة CloudShell في حساب AWS الذي ستستخدمه ليكون بمثابة بيئة النشر الخاصة بك. تأكد من أن لديك مساحة كافية في CloudShell الخاص بك قبل إجراء النشر. إذا نفدت المساحة فسوف تفشل.

3. قم بتحميل الكود المصدري إلى CloudShell. قم بفك ضغط الملفات والأقراص المضغوطة في الدليل shca-main :

unzip shca-main.zip && cd shca-main

3. الصق بيانات الاعتماد المؤقتة من AWS IAM Identity Center للحساب الذي تريد نشر SHCA فيه . سيستخدم AWS CDK بيانات الاعتماد المؤقتة هذه (التي تم تعيينها الآن كمتغيرات بيئة) لنشر التعليمات البرمجية في الحساب الصحيح والمستهدف، حتى إذا كنت تستخدم CloudShell من حساب آخر.

4. قم بتشغيل aws sts get-caller-identity وتحقق من تطابق الرقم الرئيسي ورقم الحساب مع القيم المتوقعة.

5. امنح أذونات التنفيذ وقم بتشغيل ./cloud_shell_deployment.sh

chmod +x cloud_shell_deployment.sh && ./cloud_shell_deployment.sh

أدخل y عندما يطالبك CDK في الصدفة في المرتين .

6. تحقق من نجاح CDK في نشر كافة الحزم المكدسة.

1.  $ cdk deploy
   

• يسرد cdk ls جميع الأكوام الموجودة في التطبيق
• يقوم cdk synth بإصدار قالب CloudFormation المركب
• cdk deploy نشر هذا المكدس على حساب/منطقة AWS الافتراضية الخاصة بك
• يقارن cdk diff المكدس المنشور بالحالة الحالية
• تفتح مستندات cdk cdk docs

بمجرد نشر SHCA:

1. انتقل إلى خدمة Step Functions/State Machines Service:

2. حدد YOUR-ENVIRONMENT-NAME-State-Machine

3. إذا قمت للتو بنشر SHCA للمرة الأولى، فتأكد من تشغيل جهاز الحالة بنجاح من خلال عرض التنفيذ. إذا تم تشغيل جهاز الحالة بنجاح، فانتقل إلى الخطوة 6 . بخلاف ذلك، لتشغيل SHCA عند الطلب، حدد "بدء التنفيذ":

4. حدد "بدء التنفيذ" مرة أخرى في النافذة المنبثقة. اترك كافة القيم الافتراضية.

5. انتقل إلى أسفل الصفحة وانتظر حتى تكتمل جميع الخطوات بنجاح. سترى "تم التنفيذ بنجاح" في الأسفل بمجرد اكتماله.

6. انتقل إلى وحدة تحكم Amazon S3 وابحث عن الحاوية المسماة "-resources-%YOUR_ACCOUNT_NUMBER%" وحدِّدها

7. في هذه المجموعة انتقل إلى customer/compliance_scraper/

8. قم بتنزيل أحدث ملف مضغوط للتحف.

9. قم بمراجعة الملفات الموجودة داخل الملف المضغوط

انظر المساهمة لمزيد من المعلومات.

تم ترخيص هذا المشروع بموجب ترخيص Apache-2.0.