写点什么

通过 AWS Config 管理 AWS 服务配置

  • 2019-11-18
  • 本文字数:4481 字

    阅读完需:约 15 分钟

通过AWS Config 管理AWS服务配置

在之前的一篇安全相关的文章《从永恒之蓝开始,安全防范没有结束》中,提到通过 AWS Config 自动规范 AWS 服务的安全、合规方面的配置。


为更好遵从各行业的合规要求,构建安全的 IT 环境,企业的安全团队一般都会在明确安全/管理边界的前提下,选择相关安全框架,用对应的风险评估方法梳理出符合自身业务特点的安全模型。根据安全模型,通常也会用各种文档标准化抽象为各种管理策略,例如可能包含以下常见的内容:


  • 用户权限策略

  • 访问控制策略

  • 服务器安全策略

  • 应用接入策略

  • 网络分区策略

  • 数据传输策略

  • 数据存储策略

  • 备份归档策略

  • 日志记录策略

  • 审计管理策略


……….


在实际的应用场景中,标准策略可能会因为业务的变化或管理方式的变化动态调整,如何持续评估和审核在 AWS 云端的资源配置的合规性是否与企业规划一致?如何帮助用户在云端更好的实现变更管理,安全分析甚至自动修正不合规的配置 ?这种场景下,可以考虑用 AWS Config 服务来帮忙。

一、AWS config 是什么

AWS Config 是一项托管服务,借助 Config 您可以盘点 AWS 资源、查看配置更改以及 AWS 资源之间的关系并深入探究详细的资源配置历史记录。使用 Config,还能通过自定义规则来定义所需的资源配置、内部最佳实践和指南,并依据这些规则评估您记录的配置。


AWS Config 的主要应用功能:


  • 评估您 AWS 资源配置是否具备所需设置。

  • 获得与您的 AWS 账户关联的受支持资源的当前配置快照。

  • 检索您的账户中的一个或多个资源配置。

  • 检索一个或多个资源的历史配置。

  • 在资源被创建、修改或删除时接收通知。

  • 查看不同资源之间的关系。例如,您可能想要找到使用特定安全组的所有资源


AWS Config 工作原理



更多 AWS Config 的信息可以参考https://aws.amazon.com/cn/config/

二、 AWS config 配置测试

为了更好了解 AWS Config 的工作过程,以下 将以 AWS 安全组的配置监控为例做一个简短测试 。

1. 测试场景:

  • 一个为 web 服务器配置的安全组,该安全组策略只允许对 Internet 开放 HTTP 和 HTTPS 两个端口;

  • 配置 AWS Config 规则,当该安全组配置规则中添加了其他端口时,AWS Config 自动记录,并触发修复机制自动删除新加入的不合规的配置。

2. 配置过程

**a. 权限准备。**为成功配置 AWS Config 规则,需要创建 IAM 角色,授予 AWS Config 权限,使其可以访问 Amazon S3 存储桶、Amazon SNS 主题,获取受支持的 AWS 资源的配置详细信息。IAM 内置了一个 AWSConfigRole 的托管策略 。



新建一个 IAM Role 命名为 awsconfigrole, 可以直接附加该策略:



另外,测试过程中将使用 lambda 自动对安全组执行安全组操作,cloudwatch log 操作,也需要建立好对应的 IAM role 并编辑策略赋予对应的权限,在测试中该 IAM role 为:awsoncifgec2security



{


"Version": "2012-10-17",


"Statement": [


{


"Effect": "Allow",


"Action": [


"logs:CreateLogGroup",


"logs:CreateLogStream",


"logs:PutLogEvents"


],


"Resource": "arn:aws:logs:*:*:*"


},


{


"Effect": "Allow",


"Action": [


"config:PutEvaluations",


"ec2:DescribeSecurityGroups",


"ec2:AuthorizeSecurityGroupIngress",


"ec2:RevokeSecurityGroupIngress"


],


"Resource": "*"


}


]


}


**b. 配置 AWS Config Setting。**在 AWS 控制台,打开 AWS Config ,具体过程可以参考:http://docs.aws.amazon.com/zh_cn/config/latest/developerguide/gs-console.html


在本测试过程中,我们选择资源类型为 SecurityGroup:



在配置过程中,指定一个存储桶保存日志,并指定预先为 AWS Config 的 IAM Role ,当然也可以在这个步骤选择新建角色:



在上述页面中,可以选择是否通过 SNS 启用通知将信息流式传输到 Amazon SNS 主题,发送配置历史记录传输、配置快照传输和合规性等通知。


在 Resources 页面中验证一下,评估的对象是否能正常的筛选出来,本例中我们是对测试的安全组进行查找:



**c. AWS Config 规则配置。**AWS Config 提供一些内置的规则,也支持自定义规则创建。在前文中提及测试的背景中需要通过自动机制保证安全组规则符合设定的合规配置,我们将通过 lambda 完成该步骤。在创建规则的过程中,按向导设置规则名称,点击新建 lambda 功能按钮:




在 lambda 创建过程中,选择 blank blueprint 并为函数指定 runtime 为 python2.7 ,将准备好的代码保存在 s3(可以在 github 中找到相关代码参考,比如https://github.com/awslabs/aws-config-rules )并上传。


Lambda 函数主要完成以下工作:


  • lambda 函数中按照要求只开启 tcp 80 和 tcp 443 端口;

  • 如果有其他端口添加到配置规则中将被删除,最终保证安全组的配置规则条目中只有 tcp80 和 tcp443 相关的配置;

  • 相关的操作将记录在 cloudwath logs 中。


在创建过程中,为 lambda 指定对应的 IAM Role.



lambda 创建完成后,需要在 AWS Config 规则页面中指定 Lambda ARN, 配置触发器。本例中,当安全组配置发生变化时即触发对安全组的评估,也可以配置按照时间周期的评估对象。 另外,为了详细记录评估信息,为规则启用 debug 级别的记录。



AWS config 规则后,当前的安全组配置将自动被评估。



**d. 验证。**为触发 AWS Config 对安全组的评估, 我们在对应的安全组规则中除 tcp 80 和 tpc443,额外新添加 tcp445 端口。在 cloudwathc logs 中创建了 logs group,可以进行相关日志查看:



在日志中可以清楚看到对安全组有 revoking 的行为,操作的端口正是额外添加的 tcp445 , 并且最终将安全组只开启 tcp80 和 tcp443 端口。

三、进一步讨论

在上述测试过程中,大致可以了解 AWS Config 的工作机制和配置流程,下面进一步对一些场景的应用场景做进一步说明。

资产发现

AWS Config 不仅会发现账户中的资源、记录其当前配置并捕获对这些配置所做的任何更改,Config 还会保留已删除资源的详细配置信息。所有资源及其配置属性的完全快照在您的账户中提供完整的资源库。


持续安全分析

AWS Config 提供的数据可使您持续监控您的资源配置情况,并评估这些配置是否具有潜在的安全弱点。对您的资源配置进行更改,将触发系统发送 Amazon Simple Notification Service (SNS) 通知,这些通知可发送给您的安全团队,以便他们查看通知并采取相应措施。发生潜在的安全事件后,您可以使用 Config 查看资源的配置历史记录并检查您的安全状况。


正如测试过程中展示,企业 IT 团队只需明确制定相关的策略,配置 AWS Config 规则,AWS Config 提供了托管规则和自定义规则,能满足各种就能持续监控相关的安全标准是否合规。借助 AWS Config,利用 AWS Lambda 中的自定义规则将合规性要求编制成代码,这些代码会定义资源配置内部最佳实践和指南。您可以使用 Config 自动评估您的资源配置和资源更改,从而确保整个 AWS 基础设施实现持续合规性和自主监管。通过这个机制,为企业的安全自动化提供了一个可行选项。

变更管理

在创建、更新或删除资源时,AWS Config 会将这些配置更改流式传输到 Amazon Simple Notification Service (SNS),如此便会收到所有配置更改通知。根据通知机制也可以考虑引入基于事件触发的机制,进一步集成各个管理环节。



在 AWS Config 按照既定规则完成评估后,可以在规则的详细信息中查看到具体的变更事件记录:



审计

AWS CloudTrail 将记录账户上的用户 API 活动,将保存有关 API 操作的完整详细信息,如发起人的身份、该 API 调用的时间、请求参数和 AWS 服务返 。AWS Config 与 AWS CloudTrail 集成 ,回答“谁进行了修改此资源的 API 调用?”例如下图, 使用集成的 AWS CloudTrail 信息,可以发现是哪个用户错误配置了安全组。




综合上述讨论,企业内部资产管理团队可以清楚明确当前在 AWS 云端的数字资产,安全团队可以将严格制定的安全体系持续的在云端自动化运行,任何相关的变更和配置管理都能详尽的记录,方便后续的审计。


更多关于 AWS Config 的一些常见问题可参考:https://aws.amazon.com/cn/config/faq/


作者介绍



李艺明


AWS 解决方案架构师,负责基于 AWS 的云计算方案架构规划和咨询。在企业数字化转型,物联网和大规模并发场景有广泛的规划和实践经验。拥有超过 10 年的 IT 从业经验,为各种规模的企业客户提供 IT 项目实施和顾问服务。在加入 AWS 之前,服务于微软担任解决方案工程师,负责 Windows Azure 方案和架构设计,在此之前负责企业私有云和企业协同应用系统的架构规划和设计。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/management-by-aws-config/


2019-11-18 08:001174

评论

发布
暂无评论
发现更多内容

在 Linux 中使用 cp 命令

树上有只程序猿

Linux copy

如何选择最佳的文件传输协议?(FTP、TFTP、Raysync)

镭速

文件传输协议

【墨菲安全实验室】Smartbi未授权设置Token回调地址获取管理员权限

墨菲安全

网络安全 安全 BI

面部表情识别:心理学与计算机科学的交汇点

来自四九城儿

使用FTP文件传输协议的潜在风险

镭速

文件传输协议

SpringBoot有几种获取Request对象的方法?

王磊

java面试

学习Java 8 Stream,提升编码能力!

互联网工科生

Java stream Java11 Stream API

生成式AI发展前景展望:创新、应用与市场规模

百度开发者中心

人工智能 百度文心一言

生成式AI:未来内容产业的变革力量

百度开发者中心

人工智能 百度文心一言

软件测试/测试开发丨Python 常用第三方库 yaml

测试人

Python 程序员 软件测试 测试开发

面部表情识别研究:解读情绪的密码

来自四九城儿

React和Vue的区别,大家怎么看?

FinFish

Vue React 小程序容器 混合app

湖仓一体:国产基础软件的创新突破与弯道超车

Geek_2d6073

【墨菲安全实验室】 Apache Airflow Drill Provider < 2.4.3 存在任意文件读取漏洞(CVE-2023-39553)

墨菲安全

Apache 网络安全 安全 漏洞 apache 社区

NFTScan | 08.07~08.13 NFT 市场热点汇总

NFT Research

NFT\

亚信科技AntDB &U8 cloud联合产品亮相U8 cloud信创云ERP新品体验会(西安站)

亚信AntDB数据库

数据库 AntDB AntDB数据库 企业号 8 月 PK 榜

IT工程化,提升数科公司运营能力

用友BIP

数科公司

ByConity 首次 TPC-DS 测试结果发布 & 新活动邀请!

字节跳动开源

大数据 开源 字节跳动 数仓 社区

深度学习入门

统信软件

OpenHarmony Meetup 广州站 OpenHarmony正当时—技术开源

OpenHarmony开发者

OpenHarmony

EndNote 21 for Mac(文献管理软件) v21.0.1激活版

mac

苹果mac EndNoter 参考文献管理软件 Windows软件下载

生成式AI在电信行业的有所为与有所不为

百度开发者中心

人工智能 文心一言

生成式AI助力人工智能下半场

百度开发者中心

人工智能 百度文心一言

RHG之人工智能漏洞挖掘

云起无垠

实录分享 | 使用Prometheus和Grafana监控Alluxio运行状况

Alluxio

分布式 Grafana #Prometheus Alluxio 大数据 开源

软件测试/测试开发丨Python 模块与包 学习笔记

测试人

Python 程序员 软件测试 测试开发

软件测试/测试开发丨Python 虚拟环境及pip环境管理

测试人

Python 程序员 软件测试 测试开发

面部表情识别技术的伦理问题与应对策略

来自四九城儿

SaaS出海:黄粱易得,黄金难收

ToB行业头条

生成式AI:人工智能新生产力

百度开发者中心

人工智能 百度文心一言

通过AWS Config 管理AWS服务配置_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章