Récapitulatif Conditions préalables et limitations Architecture Outils Épopées Ressources connexes Pièces jointes

Vérifiez que les équilibreurs ELB de charge doivent être interrompus TLS

Créée par Priyanka Chaudhary () AWS

Récapitulatif

Sur le cloud Amazon Web Services (AWS), Elastic Load Balancing (ELB) distribue automatiquement le trafic applicatif entrant sur plusieurs cibles, telles que les instances Amazon Elastic Compute Cloud (AmazonEC2), les conteneurs, les adresses IP et les fonctions AWS Lambda. Les équilibreurs de charge utilisent des écouteurs pour définir les ports et les protocoles utilisés par l'équilibreur de charge pour accepter le trafic provenant des utilisateurs. Les équilibreurs de charge d'application prennent les décisions de routage au niveau de la couche application et utilisent leHTTP/HTTPS protocols. Classic Load Balancers make routing decisions at either the transport layer, by using TCP or Secure Sockets Layer (SSL) protocols, or at the application layer, by using HTTP/HTTPS.

Ce modèle fournit un contrôle de sécurité qui examine plusieurs types d'événements pour les équilibreurs de charge d'application et les équilibreurs de charge classiques. Lorsque la fonction est invoquée, AWS Lambda inspecte l'événement et s'assure que l'équilibreur de charge est conforme.

La fonction lance un événement Amazon CloudWatch Events sur les API appels suivants : CreateLoadBalancer, CreateLoadBalancerListeners, DeleteLoadBalancerListeners, CreateLoadBalancerPolicy, SetLoadBalancerPoliciesOfListener, CreateListener DeleteListener, et ModifyListener. Lorsque l'événement détecte l'un d'entre euxAPIs, il appelle AWS Lambda, qui exécute un script Python. Le script Python évalue si l'écouteur contient un SSL certificat et si la politique appliquée utilise Transport Layer Security ()TLS. S'il est déterminé que la SSL politique est autre choseTLS, la fonction envoie une notification Amazon Simple Notification Service (AmazonSNS) à l'utilisateur avec les informations pertinentes.

Conditions préalables et limitations

Prérequis

Un AWS compte actif

Limites

Ce contrôle de sécurité ne vérifie pas les équilibreurs de charge existants, à moins qu'une mise à jour ne soit apportée aux écouteurs des équilibreurs de charge.
Ce contrôle de sécurité est régional. Vous devez le déployer dans chaque AWS région que vous souhaitez surveiller.

Architecture

Architecture cible

S'assurer que les équilibreurs de charge doivent être TLS raccordés.

Automatisation et mise à l'échelle

Si vous utilisez AWSOrganizations, vous pouvez utiliser AWSCloudformation StackSets pour déployer ce modèle sur plusieurs comptes que vous souhaitez surveiller.

Outils

Services AWS

AWS CloudFormation— vous AWS CloudFormation aide à modéliser et à configurer vos AWS ressources, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie. Vous pouvez utiliser un modèle pour décrire vos ressources et leurs dépendances, puis les lancer et les configurer ensemble sous forme de pile, au lieu de gérer les ressources individuellement.
Amazon CloudWatch Events — Amazon CloudWatch Events fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux AWS ressources.
AWSLambda — AWS Lambda est un service de calcul qui prend en charge l'exécution de code sans provisionner ni gérer de serveurs.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets hautement évolutif qui peut être utilisé pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) coordonne et gère la livraison ou l'envoi de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.

Code

Ce modèle inclut les pièces jointes suivantes :

ELBRequirestlstermination.zip— Le code Lambda pour le contrôle de sécurité.
ELBRequirestlstermination.yml— Le CloudFormation modèle qui définit l'événement et la fonction Lambda.

Épopées

Tâche	Description	Compétences requises
Définissez le compartiment S3.	Sur la console Amazon S3, choisissez ou créez un compartiment S3 pour héberger le fichier .zip de code Lambda. Ce compartiment S3 doit se trouver dans la même AWS région que l'équilibreur de charge que vous souhaitez évaluer. Le nom d'un compartiment S3 est unique au monde et l'espace de noms est partagé par tous les AWS comptes. Le nom du compartiment S3 ne peut pas inclure de barres obliques en tête.	Architecte du cloud
Téléchargez le code Lambda.	Téléchargez le code Lambda (`ELBRequirestlstermination.zip`fichier) fourni dans la section Pièces jointes dans le compartiment S3.	Architecte du cloud

Tâche	Description	Compétences requises
Lancez le AWS CloudFormation modèle.	Ouvrez la AWS CloudFormation console dans la même AWS région que votre compartiment S3 et déployez le modèle joint`ELBRequirestlstermination.yml`. Pour plus d'informations sur le déploiement AWS CloudFormation de modèles, consultez la section Création d'une pile sur la AWS CloudFormation console dans la CloudFormation documentation.	Architecte du cloud
Complétez les paramètres du modèle.	Lorsque vous lancez le modèle, les informations suivantes vous sont demandées : Compartiment S3 : Spécifiez le compartiment que vous avez créé ou sélectionné dans le premier épisode épique. C'est ici que vous avez chargé le code Lambda joint (`ELBRequirestlstermination.zip`fichier). Clé S3 : Spécifiez l'emplacement du fichier Lambda .zip dans votre compartiment S3 (par exemple, `ELBRequirestlstermination.zip` ou). `controls/ELBRequirestlstermination.zip` N'incluez pas de barres obliques en tête. E-mail de notification : indiquez une adresse e-mail active à laquelle vous souhaitez recevoir des SNS notifications Amazon. Niveau de journalisation Lambda : Spécifiez le niveau et la fréquence de journalisation pour la fonction Lambda. Utilisez Info pour consigner des messages d'information détaillés sur la progression, Erreur pour les événements d'erreur susceptibles de permettre la poursuite du déploiement et Avertissement pour les situations potentiellement dangereuses.	Architecte du cloud

Tâche	Description	Compétences requises
Confirmez votre abonnement.	Lorsque le CloudFormation modèle est déployé avec succès, il envoie un e-mail d'abonnement à l'adresse e-mail que vous avez fournie. Vous devez confirmer cet abonnement par e-mail pour commencer à recevoir des notifications de violation.	Architecte du cloud

Ressources connexes

Création d'une pile sur la AWS CloudFormation console (AWS CloudFormation documentation)
Qu'est-ce que AWS Lambda ? (Documentation AWS Lambda)
Qu'est-ce qu'un Classic Load Balancer ? (ELBdocumentation)
Qu'est-ce qu'un Application Load Balancer ? (ELBdocumentation)

Pièces jointes

Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étiquetez automatiquement les pièces jointes de Transit Gateway

Afficher les journaux et les statistiques de AWS Network Firewall à l'aide de Splunk