AWS Config verstehen: Was es ist, warum Sie es brauchen und wie Sie es verwenden

Was es ist, warum Sie es brauchen und wie Sie es verwenden

Unter allen Sicherheitsdiensten, die AWS in seiner Cloud-Umgebung anbietet, ist AWS Config einer der bemerkenswertesten. Er ermöglicht es uns, die Konfiguration von AWS-Ressourcen zu bewerten, zu prüfen und auszuwerten, wobei die Bewertung und Reaktion auf gewünschte oder unerwünschte Änderungen in den Konfigurationen automatisiert wird.

Wenn wir diesen Dienst als Teil unseres Automatisierungssicherheitsplans in der Cloud implementieren und verwenden möchten, müssen wir zunächst verstehen, aus WELCHEN Teilen er besteht und welche Rolle sie innerhalb des Dienstes spielen:

  • Ressourcen: jede AWS-Entität, mit der wir arbeiten können (WAF-Regeln, IAM-Rollen, Sicherheitsgruppen, Subnetze, S3-Buckets, RDS-Cluster …).
  • Regeln: Lambda-Funktionen, die Sie selbst erstellen (benutzerdefinierte Regel) oder die standardmäßig erstellt werden (verwaltete Regel), die die Konfiguration einer AWS-Ressource im Vergleich zu ihrem gewünschten Zustand auswerten und beurteilen, ob sie diesem entspricht oder nicht.
  • Aggregator: Multi-Account- und Multi-Region-Datensammler für AWS Config. Es ermöglicht uns, die Konfigurationsänderungen mehrerer Ressourcen in einer großen Organisation mit mehreren Konten an einem einzigen Ort zu zentralisieren, wodurch es viel einfacher wird, mögliche Fehler und Sicherheitsverletzungen zu kontrollieren und zu beheben

Um diesen Dienst zu veranschaulichen, bevor ich mit dem nächsten Abschnitt fortfahre, werde ich ein typisches Anwendungsbeispiel beschreiben; machen Sie sich keine Sorgen, wenn Sie das Gefühl haben, dass das zu viel ist, im letzten Abschnitt dieses Artikels werden wir einen weiteren Anwendungsfall Schritt für Schritt erklären: Verwenden Sie eine vordefinierte AWS-Regel, die prüft, ob ein S3-Bucket öffentlich ist, und verknüpfen Sie ihn mit einem S3-Bucket, den wir besitzen und den wir nie öffentlich machen wollen. Die Regel macht den Bucket auch privat, sobald er öffentlich wird (könnte versehentlich oder absichtlich durch einen Angriff verursacht werden, um Informationen zu leaken). Zu Beginn und vorausgesetzt, der Bucket ist privat, wird die Regel ihn prüfen und melden, dass er in Ordnung ist (KONFORM). Wenn wir die Bucket-Ressourcenrichtlinie manuell ändern und ihn öffentlich machen, wird die Regel dies automatisch erkennen und in NICHT KONFORM ändern. Sie wird den Bucket automatisch wieder privat machen und in KONFORM ändern, während diese Änderungen in einer Konfigurationszeitleiste gespeichert werden.

Nachdem wir nun einen ersten Eindruck davon haben, was AWS Config ist und welche grundlegenden Eigenschaften es hat, werden wir uns mit den erweiterten Funktionen befassen, um wirklich zu verstehen, WARUM wir es verwenden sollten:

- Umfassendes und intuitives Dashboard (auch bei Verwendung des Aggregators für Multi-Account- und Regionsstrategien). Im Handumdrehen können wir sehen, wie viele Ressourcen wir verwalten, welche Regeln konform sind und welche nicht. Außerdem erhalten wir weitere Informationen und Abhilfemaßnahmen, indem wir einfach auf jede nicht konforme Regel klicken.

Bild kann nicht eingefügt werden

- Konfigurations- und Konformitätszeitleiste, die es uns ermöglicht, für jede Ressource, die mit unseren Regeln überprüft wird, auf sehr grafische und direkte Weise einen vollständigen Verlauf der Änderungen seit dem ersten Moment anzuzeigen, in dem AWS Config aktiviert und die Ressource überprüft wurde, bis jetzt. Wir können genau sehen, wann und von wem eine Änderung in einer Ressourcenkonfiguration vorgenommen wurde, sowie ob sie automatisch behoben wurde oder wir dies manuell tun müssen. Dies ist eine der leistungsstärksten Funktionen dieses Dienstes, da diese Art von Granularität und Beobachtbarkeit mit normalen Sicherheitsautomatisierungsdiensten nur sehr schwer zu erreichen wäre.

-Wie bereits erwähnt, sind Regeln nichts anderes als Lambda-Funktionen. Wenn wir eine neue Regel hinzufügen, können wir wählen, ob wir eine von AWS verwaltete Regel verwenden oder unsere eigene erstellen möchten. Was bedeutet das? Es bedeutet, dass wir, wenn wir wissen, wie man Lambda-Funktionen erstellt, die Erkennung und Behebung absolut aller Ressourcen, die wir in AWS haben, automatisieren können. Für die gängigsten Prüfungen (Sicherheitsgruppen, Schlüsselrotationsrichtlinien …) hat AWS jedoch bereits einige vordefinierte Regeln, die wir ohne zusätzliche Kosten verwenden können.

Hier ein nützlicher Link zum GitHub-Bereich der AWS-Community bezüglich benutzerdefinierter Regeln:

https://github.com/awslabs/aws-config-rules

Wir können sogar vordefinierte Regelsätze namens „Conformance Packs“ verwenden, um die Einhaltung der betrieblichen Best Practices und Sicherheitsstandards von AWS (S3, CIS, NIST CSF, PCI DSS …) zu ermöglichen.

-AWS-Konfigurationsregeln für alle Konten in Ihrer Organisation: Dies ist etwas wirklich Wichtiges und Nützliches an diesem Dienst, aber zu meiner Überraschung ist es nur über die API verfügbar.

Aus Sicherheitsgründen kann die für die Sicherheit Ihrer AWS-Organisation verantwortliche Person AWS Config-Regeln im Stammkonto einrichten, die dann automatisch in den untergeordneten Konten bereitgestellt werden. Außer dem Ersteller können keine anderen Benutzer diese Regeln ändern oder löschen, was die Zentralisierung der Sicherheit wesentlich einfacher macht.

https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html

- Bei einem nativen AWS-Dienst wird erwartet, dass die Integration mit anderen Diensten so einfach wie möglich ist. In diesem Fall kann AWS Config problemlos mit CloudTrail (Protokollierung) und CloudWatch Events (Überwachung) integriert werden, um die Automatisierungsleistung zu erhöhen. Wie in der Abbildung zu sehen, kann AWS Config eine Ereignisregel auslösen, wenn eine konforme Änderung stattfindet (wir können sie so detailliert konfigurieren, wie wir möchten) und dann einen der vielen mit CloudWatch Events verknüpften Dienste auslösen (SNS, Lambda, SSM, SQS, EC2…). Die Möglichkeiten sind einfach endlos.

Im dritten und letzten Abschnitt dieses Artikels und nach all dem Lesen ist es an der Zeit, Ihnen zu zeigen, WIE wir eine von AWS Config verwaltete Regel (eingeschränkter SSH-Port in Sicherheitsgruppen) implementieren können und wie sie Schritt für Schritt auf eine Statusänderung reagiert:

1- Zuerst gehen wir zur AWS Config-Konsole und wenn Sie dies zum ersten Mal tun, müssen Sie eine grundlegende Konfiguration durchführen, bevor Sie mit dem Hinzufügen von Regeln beginnen (welche Ressourcen Sie überwachen möchten, den S3-Bucket, in dem der Verlauf gespeichert wird, ob Sie ihn mit einem SNS-Thema verbinden möchten und eine Rolle, um alle erforderlichen Aktionen auszuführen). Für diese Demo lasse ich alles in der Standardeinstellung.

Bild kann nicht eingefügt werden

2- Nachdem wir auf „Weiter“ geklickt haben, suchen wir nach SSH und wählen „eingeschränktes SSH“ aus. Klicken Sie auf „Weiter“ und „Bestätigen“. Dadurch wird eine Regel eingerichtet, die alle Sicherheitsgruppen in unserem Konto überprüft und uns mitteilt, ob SSH-Verbindungen eingeschränkt (KONFORM) oder nicht eingeschränkt (NICHT KOMPLIANT) sind.

3- Nach einer Minute wurde die Regel bereits ausgewertet und wir erhalten das Ergebnis: In meinem Fall ist der SSH-Zugriff in allen Sicherheitsgruppen eingeschränkt und ich erhalte den Status COMPLIANT.

Das Bild kann nicht eingefügt werden

4- Ich werde eine neue Sicherheitsgruppe namens „ConfigTrial“ erstellen, die SSH von überall (0.0.0.0/0) zulässt, und die gerade erstellte Regel erneut auswerten. Dadurch wird die Regel aufgrund dieser neu erstellten Ressource zu „NON-COMPLIANT“.

5- Sobald dies geschehen ist, haben wir zwei Möglichkeiten: Wir können ein CloudWatch-Ereignis erstellen, um auf diese Änderung der Compliance zu reagieren, das eine Lambda-Funktion auslöst, um den SSH-Port zu schließen (vollständig automatisch), oder es manuell tun. Für diese Demo werden wir es manuell tun, da wir nur zeigen möchten, wie AWS Config funktioniert, aber die beste Vorgehensweise wäre immer die Automatisierung. Ich werde jetzt den eingehenden SSH-Zugriff dieser Sicherheitsgruppe auf nur meine IP beschränken und die Regel erneut auswerten.

Nach ein paar Minuten können wir sehen, dass es wie erwartet funktioniert hat, und wir können sehen, wann die Änderungen im Rahmen der Compliance-Zeitleiste der ausgewählten Ressource wirksam wurden.

Bild kann nicht eingefügt werden

Wie bereits erwähnt, ist dies nur ein kleines Beispiel für die große Bandbreite an Möglichkeiten, die Sie mit AWS Config nutzen können.

Jetzt ist es an der Zeit, praktische Erfahrungen mit diesem großartigen Service von AWS zu sammeln, alle seine Möglichkeiten zu entdecken und Ihre Cloud-Infrastruktur so sicher wie möglich zu machen.

Weitere Blogbeiträge zu diesem Thema

Du hast Fragen? Schreib uns!
Hiermit akzeptiere ich die Datenschutzbestimmungen der Alice&Bob.Company GmbH.
Du hast Fragen? Schreib uns!
Sebastian Schäffer
Head of Business Operations & Growth
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.