Übersicht Voraussetzungen und Einschränkungen Architektur Tools Epen Zugehörige Ressourcen Anlagen

Suchen Sie in den Eingangsregeln für Sicherheitsgruppen nach Einzelhost-Netzwerkeinträgen für und IPv4 IPv6

Erstellt von SaiJeevan Devireddy (AWS), Ganesh Kumar () und John Reynolds () AWS AWS

Übersicht

Dieses Muster bietet eine Sicherheitskontrolle, die Sie benachrichtigt, wenn Amazon Web Services (AWS) -Ressourcen nicht Ihren Spezifikationen entsprechen. Es bietet eine AWS Lambda-Funktion, die sowohl in den Quelladressfeldern Internet Protocol Version 4 (IPv4) als auch in den Quelladressfeldern der IPv6 Sicherheitsgruppe nach Netzwerkeinträgen für einzelne Hosts sucht. Die Lambda-Funktion wird ausgelöst, wenn Amazon CloudWatch Events den Amazon Elastic Compute Cloud (AmazonEC2) AuthorizeSecurityGroupIngressAPI-Aufruf erkennt. Die benutzerdefinierte Logik in der Lambda-Funktion wertet die Subnetzmaske des CIDR Blocks der Sicherheitsgruppeneingangsregel aus. Wenn festgestellt wird, dass die Subnetzmaske etwas anderes als /32 (IPv4) oder /128 (IPv6) ist, sendet die Lambda-Funktion mithilfe von Amazon Simple Notification Service (Amazon) eine Benachrichtigung über einen Verstoß. SNS

Voraussetzungen und Einschränkungen

Voraussetzungen

Ein aktives Konto AWS
Eine E-Mail-Adresse, an die Sie Benachrichtigungen über Verstöße erhalten möchten

Einschränkungen

Diese Sicherheitsüberwachungslösung ist regional und muss in jeder AWS Region eingesetzt werden, die Sie überwachen möchten.

Architektur

Zieltechnologie-Stack

Lambda-Funktion
SNS-Thema
EventBridge Amazon-Regel

Zielarchitektur

CloudWatch Events initiiert eine Lambda-Funktion, um Amazon zum Senden einer SNS Sicherheitsbenachrichtigung zu verwenden.

Automatisierung und Skalierung

Wenn Sie AWS Organizations verwenden, können Sie AWSCloudformation verwenden, StackSets um diese Vorlage für mehrere Konten bereitzustellen, die Sie überwachen möchten.

Tools

AWS-Services

AWS CloudFormationist ein Service, der Ihnen hilft, AWS Ressourcen zu modellieren und einzurichten, indem er Infrastruktur als Code verwendet.
Amazon EventBridge stellt einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, SaaS-Anwendungen (Software as a Service) und AWS Diensten bereit und leitet diese Daten an Ziele wie Lambda-Funktionen weiter.
AWSLambda unterstützt die Ausführung von Code ohne Bereitstellung oder Verwaltung von Servern.
Amazon Simple Storage Service (Amazon S3) ist ein hoch skalierbarer Objektspeicherservice, der für eine Vielzahl von Speicherlösungen verwendet werden kann, darunter Websites, mobile Anwendungen, Backups und Data Lakes.
Amazon SNS koordiniert und verwaltet die Zustellung oder den Versand von Nachrichten zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen. Abonnenten erhalten die veröffentlichten Mitteilungen zu den Themen, die sie abonniert haben. Alle Abonnenten eines Themas erhalten dieselben Mitteilungen.

Code

Der beigefügte Code beinhaltet:

Eine ZIP-Datei, die den Lambda-Sicherheitskontrollcode () enthält index.py
Eine CloudFormation Vorlage (security-control.ymlDatei), die Sie ausführen, um den Lambda-Code bereitzustellen

Epen

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie den S3-Bucket für den Lambda-Code.	Erstellen Sie auf der Amazon S3 S3-Konsole einen S3-Bucket mit einem eindeutigen Namen, der keine führenden Schrägstriche enthält. Ein S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS Konten gemeinsam genutzt. Ihr S3-Bucket muss sich in der AWS Region befinden, in der Sie die Sicherheitsgruppen-Eingangsprüfung bereitstellen möchten.	Cloud-Architekt
Laden Sie den Lambda-Code in den S3-Bucket hoch.	Laden Sie den Lambda-Code (`security-control-lambda.zip`Datei), der im Abschnitt Anlagen bereitgestellt wird, in den S3-Bucket hoch, den Sie im vorherigen Schritt erstellt haben.	Cloud-Architekt

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Ändern Sie die Python-Version.	Laden Sie die CloudFormation Vorlage (`security-control.yml`) herunter, die im Abschnitt Anlagen bereitgestellt wird. Öffnen Sie die Datei und ändern Sie die Python-Version so, dass sie die neueste von Lambda unterstützte Version wiedergibt (derzeit Python 3.9). Sie können beispielsweise `python` im Code nach suchen und den Wert für `Runtime` von `python3.6` bis `python3.9` ändern. Die neuesten Informationen zur Unterstützung von Python-Laufzeitversionen finden Sie in der AWSLambda-Dokumentation.	Cloud-Architekt
Stellen Sie die AWS CloudFormation Vorlage bereit.	Stellen Sie auf der AWS CloudFormation Konsole, in derselben AWS Region wie der S3-Bucket, die CloudFormation Vorlage bereit (`security-control.yml`).	Cloud-Architekt
Geben Sie den S3-Bucket-Namen an.	Geben Sie für den S3-Bucket-Parameter den Namen des S3-Buckets an, den Sie im ersten Epic erstellt haben.	Cloud-Architekt
Geben Sie den Amazon S3 S3-Schlüsselnamen für die Lambda-Datei an.	Geben Sie für den Parameter S3 Key den Amazon S3 S3-Speicherort der Lambda-Code-.zip-Datei in Ihrem S3-Bucket an. Fügen Sie keine führenden Schrägstriche ein (Sie können beispielsweise oder eingeben`lambda.zip`). `controls/lambda.zip`	Cloud-Architekt
Geben Sie eine E-Mail-Adresse für Benachrichtigungen an.	Geben Sie für den Parameter Benachrichtigungs-E-Mail eine E-Mail-Adresse an, an die Sie die Benachrichtigungen über Verstöße erhalten möchten.	Cloud-Architekt
Definieren Sie die Protokollierungsebene.	Definieren Sie für den Parameter Lambda Logging Level den Logging-Level für Ihre Lambda-Funktion. Wählen Sie einen der folgenden Werte aus: INFOum detaillierte Informationsmeldungen über den Fortschritt der Anwendung zu erhalten. ERRORum Informationen über Fehlerereignisse zu erhalten, die dazu führen könnten, dass die Anwendung weiterhin ausgeführt werden kann. WARNINGum Informationen über potenziell schädliche Situationen zu erhalten.	Cloud-Architekt

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Bestätigen Sie das Abonnement.	Wenn die CloudFormation Vorlage erfolgreich bereitgestellt wurde, wird ein neues SNS Thema erstellt und eine Abonnementnachricht an die von Ihnen angegebene E-Mail-Adresse gesendet. Sie müssen dieses E-Mail-Abonnement bestätigen, um Benachrichtigungen über Verstöße zu erhalten.	Cloud-Architekt

Zugehörige Ressourcen

AWS CloudFormation Informationen
Einen Stack auf der AWS CloudFormation Konsole erstellen (AWS CloudFormation Dokumentation)
Sicherheitsgruppen für Ihre VPC (VPCAmazon-Dokumentation)
Informationen zu Amazon S3
AWSLambda-Informationen

Anlagen

Um auf zusätzliche Inhalte zuzugreifen, die mit diesem Dokument verknüpft sind, entpacken Sie die folgende Datei: attachment.zip

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Suchen Sie in einer CloudFront Amazon-Distribution nach Zugriffsprotokollierung und TLS Version HTTPS

Wählen Sie einen Amazon Cognito Cognito-Authentifizierungsablauf