Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados Conexiones

Compruebe si hay entradas de red de un solo host en las reglas de entrada de los grupos de seguridad para y IPv4 IPv6

Creada por Devireddy (), Ganesh Kumar () y John Reynolds ( SaiJeevan ) AWS AWS AWS

Entorno: producción

Tecnologías: redes, seguridad, identidad, conformidad

AWSservicios: Amazon SNS AWS CloudFormation; Amazon CloudWatch; AWS Lambda; Amazon VPC

Resumen

Este patrón proporciona un control de seguridad que le notifica cuando los recursos de Amazon Web Services (AWS) no cumplen sus especificaciones. Proporciona una función AWS Lambda que busca entradas de red de un solo host en los campos de dirección de origen del protocolo de Internet versión 4 (IPv4) y del grupo IPv6 de seguridad. La función Lambda se inicia cuando Amazon CloudWatch Events detecta la llamada a Amazon Elastic Compute Cloud EC2 (Amazon). AuthorizeSecurityGroupIngressAPI La lógica personalizada de la función Lambda evalúa la máscara de subred del CIDR bloque de la regla de entrada del grupo de seguridad. Si se determina que la máscara de subred es distinta de /32 (IPv4) o /128 (IPv6), la función Lambda envía una notificación de infracción mediante Amazon Simple Notification Service (Amazon). SNS

Requisitos previos y limitaciones

Requisitos previos

Una cuenta activa AWS
La dirección de correo electrónico en la que desee recibir notificaciones de infracción

Limitaciones

Esta solución de monitoreo de seguridad es regional y debe implementarse en cada AWS región que desee monitorear.

Arquitectura

Pila de tecnología de destino

Función de Lambda
SNStema
EventBridge Regla de Amazon

Arquitectura de destino

CloudWatch Events inicia una función Lambda para usar SNS Amazon para enviar una notificación de seguridad.

Automatizar y escalar

Si usa AWS Organizations, puede usar AWSCloudformation StackSets para implementar esta plantilla en varias cuentas que desee monitorear.

Herramientas

AWSservicios

AWS CloudFormationes un servicio que le ayuda a modelar y configurar AWS recursos mediante el uso de la infraestructura como código.
Amazon EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones de software como servicio (SaaS) y AWS servicios, y dirige esos datos a objetivos como las funciones Lambda.
AWSLambda admite la ejecución de código sin aprovisionar ni administrar servidores.
Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos altamente escalable que se puede utilizar para una amplia gama de soluciones de almacenamiento, incluidos sitios web, aplicaciones móviles, copias de seguridad y lagos de datos.
Amazon SNS coordina y gestiona la entrega o el envío de mensajes entre editores y clientes, incluidos los servidores web y las direcciones de correo electrónico. Los suscriptores reciben todos los mensajes publicados de los temas a los que están suscritos y todos los suscriptores de un tema reciben los mismos mensajes.

Código

El código adjunto incluye:

Un archivo .zip que contiene el código de control de seguridad Lambda (index.py)
Una CloudFormation plantilla (security-control.ymlarchivo) que se ejecuta para implementar el código Lambda

Epics

Tarea	Descripción	Habilidades requeridas
Cree el bucket de S3 para el código de Lambda.	En la consola de Amazon S3, cree un bucket de S3 con un nombre único que no contenga barras diagonales en el inicio. El nombre de un bucket de S3 es único a nivel mundial y todas las cuentas comparten el espacio de nombres. AWS Su bucket de S3 debe estar en la AWS región en la que desee implementar la comprobación de ingreso del grupo de seguridad.	Arquitecto de la nube
Cargue el código de Lambda en el bucket de S3.	Cargue el código de Lambda (archivo `security-control-lambda.zip`) que se proporciona en la sección Archivos adjuntos en el bucket de S3 que creó en el paso anterior.	Arquitecto de la nube

Tarea	Descripción	Habilidades requeridas
Cambie la versión de Python.	Descarga la CloudFormation plantilla (`security-control.yml`) que se proporciona en la sección de adjuntos. Abra el archivo y modifique la versión de Python para que refleje la última versión compatible con Lambda (actualmente Python 3.9). Por ejemplo, puede buscar `python` en el código y cambiar el valor para `Runtime` de `python3.6` a`python3.9`. Para obtener la información más reciente sobre la compatibilidad con las versiones en tiempo de ejecución de Python, consulte la AWSdocumentación de Lambda.	Arquitecto de la nube
Implemente la AWS CloudFormation plantilla.	En la AWS CloudFormation consola, en la misma AWS región que el bucket de S3, implemente la CloudFormation plantilla (`security-control.yml`).	Arquitecto de la nube
Especifique el nombre del bucket de S3.	En el parámetro de Bucket de S3, especifique el nombre del bucket de S3 que creó en la primera épica.	Arquitecto de la nube
Especifique el nombre de clave de Amazon S3 para el archivo Lambda.	Para el parámetro Clave de S3, especifique la ubicación en Amazon S3 del archivo .zip de código de Lambda en su bucket de S3. No incluya barras diagonales iniciales (por ejemplo, puede escribir `lambda.zip` o `controls/lambda.zip`).	Arquitecto de la nube
Proporcione una dirección de correo electrónico para la notificación.	Para el parámetro Correo electrónico de notificación, proporcione una dirección de correo electrónico en la que le gustaría recibir las notificaciones de infracción.	Arquitecto de la nube
Defina el nivel de registro.	Para el parámetro Nivel de registro de Lambda, defina el nivel de registro de la función de Lambda. Elija uno de los valores siguientes: INFOpara recibir mensajes informativos detallados sobre el progreso de la aplicación. ERRORpara obtener información sobre los eventos de error que podrían impedir que la aplicación siguiera ejecutándose. WARNINGpara obtener información sobre situaciones potencialmente peligrosas.	Arquitecto de la nube

Tarea	Descripción	Habilidades requeridas
Confirmar la suscripción.	Cuando la CloudFormation plantilla se haya implementado correctamente, se creará un SNS tema nuevo y se enviará un mensaje de suscripción a la dirección de correo electrónico que proporcionó. Debe confirmar esta suscripción de correo electrónico para recibir las notificaciones de infracciones.	Arquitecto de la nube

Recursos relacionados

AWS CloudFormation información
Crear una pila en la AWS CloudFormation consola (AWS CloudFormation documentación)
Grupos de seguridad para su VPC (VPCdocumentación de Amazon)
Información sobre Amazon S3
AWSInformación sobre Lambda

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Consulta una CloudFront distribución de Amazon para ver el accesoHTTPS, el registro y TLS la versión

Elija un flujo de autenticación de Amazon Cognito