swasthikunder/AWS-Security-Monitoring-and-Auto-Remediation

# 🔐 AWS 云安全监控与自动修复平台      # 📌 概述 现代云环境每天都会生成数千次 API 调用和配置更改。没有持续的监控，安全配置错误和未经授权的操作可能无法被发现，从而增加了数据泄露和权限提升的风险。 该项目实现了一个专注于保护 Amazon S3 环境的实时 AWS 安全监控和自动修复平台。 该解决方案结合了基础设施即代码（Terraform）、集中式日志记录、安全警报、事件驱动自动化和自动修复，以提高云可见性和安全态势。 架构遵循以下原则： * AWS 优秀架构安全支柱 * CIS AWS 基础标准 * AWS 安全最佳实践 * 最小权限访问控制 * 深度防御原则 * 安全监控与检测工程实践 # 🚀 核心功能 ## 🔐 S3 安全加固 * 启用 S3 版本控制 * 服务器端加密（SSE-S3） * 启用公共访问阻止 * 服务器访问日志 * 遵守性资源标记 * 安全存储桶配置 ## 👤 IAM 安全 * 自定义应用程序 IAM 角色 * 最小权限访问模型 * 限界 S3 权限 * 服务信任关系 * IAM 访问分析器集成 ## 📜 日志记录与可审计性 * 多区域 CloudTrail * CloudTrail 日志验证 * CloudWatch 日志集成 * 集中式安全日志记录 * API 活动监控 * 安全事件跟踪 ## 🚨 安全监控 实时检测： * 未授权的 API 调用 * IAM 策略更改 * CloudTrail 配置更改 * S3 公共访问更改 * 根账户使用 * 无 MFA 的控制台登录 * GuardDuty 禁用尝试 * S3 存储桶删除事件 * KMS 密钥删除事件 ## 🔔 安全警报 * CloudWatch 警报 * SNS 通知 * 基于电子邮件的事件警报 * 安全事件通知 * 自动事件可见性 ## 🤖 自动修复 * EventBridge 安全自动化 * 基于 Lambda 的响应工作流程 * 实时事件处理 * 安全验证逻辑 * 自动响应操作 # 🏗️ 安全架构 ``` ┌─────────────────────┐ │ CloudTrail │ │ Security Events │ └──────────┬──────────┘ │ ▼ ┌─────────────────────┐ │ CloudWatch Logs │ │ Centralized Logging │ └──────────┬──────────┘ │ ┌────────────────┴────────────────┐ ▼ ▼ ┌──────────────────┐ ┌──────────────────┐ │ CloudWatch Alarm │ │ EventBridge │ │ Security Metrics │ │ Security Routing │ └────────┬─────────┘ └────────┬─────────┘ │ │ ▼ ▼ ┌──────────────────┐ ┌──────────────────┐ │ SNS Alerts │ │ Lambda Function │ │ Email Notification│ │ Auto Remediation │ └──────────────────┘ └────────┬─────────┘ │ ▼ ┌──────────────────┐ │ Secure S3 State │ └──────────────────┘ ``` # 🧠 现实世界用例 该项目模拟了云安全团队如何监控 AWS 环境中的可疑活动，并自动响应安全敏感事件。 架构重点在于： * 提高云可见性 * 检测风险配置更改 * 监控关键的 AWS API 活动 * 生成可操作警报 * 自动化事件响应 * 维护审计跟踪 * 减少运营响应时间 该项目可以作为： * 云安全组合项目 * 检测工程项目 * DevSecOps 学习环境 * AWS 安全监控参考架构 * 安全自动化演示 # 🛠️ 使用的技术 | 技术 | 目的 | | ------------------- | ---------------------------- | | Terraform | 基础设施即代码 | | Amazon S3 | 安全存储 | | IAM | 身份与访问管理 | | IAM Access Analyzer | 权限可见性 | | CloudTrail | 审计日志 | | CloudWatch | 监控与警报 | | SNS | 警报通知 | | EventBridge | 事件路由 | | Lambda | 自动修复 | | AWS CLI | 安全测试 | # 📂 项目结构 ``` aws-s3-iam-security/ │ ├── environments/ │ └── dev/ │ ├── modules/ │ ├── s3/ │ ├── iam/ │ ├── cloudtrail/ │ ├── cloudwatch/ │ ├── sns/ │ ├── lambda/ │ └── eventbridge/ │ ├── lambda/ │ └── auto_remediation.py │ ├── screenshots/ │ ├── README.md │ └── architecture/ ``` # ⚙️ 部署工作流程 ## 初始化 Terraform ``` terraform init ``` ## 验证配置 ``` terraform validate ``` ## 预览基础设施更改 ``` terraform plan ``` ## 部署基础设施 ``` terraform apply ``` # 📋 先决条件 在部署前确保： * Terraform >= 1.5 * 安装 AWS CLI * 配置 AWS 凭据 * 适当的 IAM 权限 * 根账户启用 MFA 验证凭据： ``` aws sts get-caller-identity ``` # 🔒 实施的安全控制 | 类别 | 控制措施 | | --------------------- | ------------------------------- | | S3 安全 | 加密、版本控制、日志 | | IAM | 最小权限角色 | | 监控 | CloudWatch 警报 | | 日志 | CloudTrail + CloudWatch | | 警报 | SNS 通知 | | 自动化 | EventBridge + Lambda | | 检测工程 | 安全指标过滤器 | | 治理 | 访问分析器 | # 🧪 安全验证执行 使用受控安全测试验证了环境。 ## 测试场景 ### 未授权 API 检测 ``` aws iam delete-user --user-name fake-user ``` ### S3 公共访问修改 ``` aws s3api delete-public-access-block \ --bucket ``` ### IAM 策略更改监控 ``` aws iam attach-role-policy ... ``` ### CloudTrail 监控验证 ``` aws cloudtrail lookup-events ``` # 🔥 安全事件模拟 通过模拟对 S3 存储桶的安全敏感更改验证了监控平台。 ## 攻击模拟 执行命令： aws s3api delete-public-access-block --bucket s3iam-sec-dev-77fb3d48 ## 检测流程 1. CloudTrail 捕获 DeletePublicAccessBlock API 调用 2. EventBridge 匹配事件模式 3. Lambda 修复函数执行 4. CloudWatch 警报进入 ALARM 状态 5. SNS 电子邮件警报送达 6. 记录安全日志以供调查 ## 结果 平台成功检测到安全事件，并为事件响应生成了实时警报。 # 📸 开发与验证证据 ## 基础设施即代码（Terraform） ### Terraform 初始化与验证

Terraform 成功初始化提供者并在部署前验证了所有基础设施配置。 ### Terraform 执行计划

Terraform 执行计划显示部署前的建议基础设施更改。 ### Terraform 部署

使用基础设施即代码成功部署 AWS 安全监控环境。 ## Amazon S3 安全加固 ### 安全 S3 存储桶配置

配置了具有公共访问限制和加固存储桶控制的安全 S3 存储。 ### 存储桶版本控制与加密

启用了对象版本控制和服务器端加密以保护数据保护和恢复。 ## IAM 安全控制 ### 最小权限应用程序角色

实现了 IAM 最小权限访问控制和信任策略以安全地交互服务。 ### IAM 角色管理

IAM Access Analyzer 连续评估资源暴露并验证访问边界。 ## CloudTrail 审计 ### CloudTrail 配置

CloudTrail 配置为捕获和保留 AWS 管理事件以进行审计和调查。 ### 安全事件捕获

CloudTrail 记录了一个用于检测和响应验证的安全敏感的 S3 配置更改事件。 ## CloudWatch 监控与检测 ### 安全警报配置

CloudWatch 警报配置为检测： - 未授权的 API 调用 - 根账户活动 - IAM 策略更改 - CloudTrail 修改 - S3 公共访问更改 - S3 存储桶删除 - KMS 密钥删除 - GuardDuty 禁用 ### 警报仪表板

集中式监控仪表板显示活动安全检测和警报状态。 ### 日志收集

CloudWatch Log Groups 收集操作、审计和修复日志以供调查和故障排除。 ## 事件驱动安全自动化 ### EventBridge 检测规则

EventBridge 规则检测安全事件并将它们路由到自动化修复工作流程。 ### 修复触发器

安全事件自动通过 EventBridge-to-Lambda 集成调用修复逻辑。 ## 自动修复 ### Lambda 安全自动化

AWS Lambda 根据检测到的事件执行自动安全响应操作。 ### Lambda 配置

环境驱动配置支持警报路由、干运行测试和受控修复行为。 ## 安全警报 ### SNS 警报主题

SNS 主题将安全通知分发到订阅的接收者。 ## CloudTrail 日志记录

## 安全警报

# 🧠 展示的技能 * AWS 云安全 * 检测工程 * 安全监控 * 安全自动化 * 基础设施即代码 * IAM 治理 * 云日志与警报 * 事件响应 * DevSecOps 实践 * 事件驱动安全架构 # 🏆 简历亮点 * 使用 Terraform 和 AWS 原生安全服务设计和实现了 AWS 安全监控和自动修复平台。 * 使用 CloudTrail、CloudWatch、SNS、EventBridge 和 Lambda 构建了实时检测管道。 * 实现了针对 S3 安全相关事件的自动警报和响应工作流程。 * 应用 IAM 最小权限原则和安全治理控制。 * 开发了使用可重用 Terraform 模块的模块化基础设施即代码架构。 * 模拟了包括检测、警报和修复在内的云安全操作工作流程。 # 经验教训 在开发过程中遇到了几个问题： - EventBridge 规则最初无法调用 Lambda - CloudTrail 事件传播引入了延迟 - Lambda 权限需要故障排除 - CloudWatch 指标过滤器需要微调 这些挑战提高了对 AWS 事件驱动安全架构的理解。 # 🚧 未来增强 - [ ] AWS 安全中心集成 - [ ] Slack 事件通知 - [ ] 自动 IAM 密钥轮换 - [ ] AWS Config 合规性监控 - [ ] 多账户安全监控 - [ ] SIEM 集成（Splunk / ELK） - [ ] 自动化 SOAR 工作流程 # 👥 贡献者 Swasthi Kunder — 项目负责人，开发与安全工程 ## Sakshat S — 贡献者（测试与文档） # 💰 成本考虑 该项目旨在尽可能保持在 AWS 免费层。 主要可计费服务： - CloudTrail - CloudWatch Logs - SNS - Lambda 估计测试成本： < $2 USD # ⭐ 最终备注 该项目展示了如何将基础设施即代码、AWS 原生安全服务和事件驱动自动化结合起来，构建一个实用的云安全监控和响应平台。 重点不仅限于部署自动化，还包括： * 安全可见性 * 威胁检测 * 监控与警报 * 治理控制 * 事件响应 * 安全自动化 * 云安全工程 如果您觉得这个项目有用，请考虑在 GitHub 上给它一个 ⭐。

标签：API监控, AWS, DevSecOps, DPI, ECS, IAM安全, Lambda函数, S3安全加固, SNS警报, Terraform, URL发现, 上游代理, 事件驱动自动化, 云监控, 人工智能安全, 公共访问控制, 合规性, 安全可观测性, 安全态势, 安全最佳实践, 安全检测, 日志验证, 最小权限访问, 服务器端加密, 服务器访问日志, 漏洞利用检测, 版本控制, 访问分析器, 资源标签, 跨区域日志, 防御深度, 集中式日志