Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Allegati

Verifica la presenza di voci di rete a host singolo nelle regole di ingresso dei gruppi di sicurezza per e IPv4 IPv6

Creato da SaiJeevan Devireddy (AWS), Ganesh Kumar () e John Reynolds () AWS AWS

Riepilogo

Questo modello fornisce un controllo di sicurezza che ti avvisa quando le risorse di Amazon Web Services (AWS) non soddisfano le tue specifiche. Fornisce una funzione AWS Lambda che cerca le voci di rete a host singolo nei campi dell'indirizzo di origine del protocollo Internet versione 4 (IPv4) e del gruppo IPv6 di sicurezza. La funzione Lambda viene avviata quando Amazon CloudWatch Events rileva la chiamata Amazon Elastic Compute Cloud (EC2Amazon). AuthorizeSecurityGroupIngressAPI La logica personalizzata della funzione Lambda valuta la subnet mask del CIDR blocco della regola di ingresso del gruppo di sicurezza. Se si determina che la subnet mask è diversa da /32 (IPv4) o /128 (IPv6), la funzione Lambda invia una notifica di violazione utilizzando Amazon Simple Notification Service (Amazon). SNS

Prerequisiti e limitazioni

Prerequisiti

Un account attivo AWS
Un indirizzo email a cui desideri ricevere le notifiche di violazione

Limitazioni

Questa soluzione di monitoraggio della sicurezza è regionale e deve essere implementata in ogni AWS regione che si desidera monitorare.

Architettura

Stack tecnologico Target

Funzione Lambda
Argomento SNS
EventBridge Regola Amazon

Architettura Target

CloudWatch Events avvia una funzione Lambda per utilizzare SNS Amazon per inviare una notifica di sicurezza.

Automazione e scalabilità

Se utilizzi AWS Organizations, puoi utilizzare AWSCloudformation StackSets per distribuire questo modello su più account che desideri monitorare.

Strumenti

Servizi AWS

AWS CloudFormationè un servizio che consente di modellare e configurare AWS le risorse utilizzando l'infrastruttura come codice.
Amazon EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni SaaS (SaaS) e AWS servizi e indirizza tali dati verso destinazioni come le funzioni Lambda.
AWSLambda supporta l'esecuzione del codice senza effettuare il provisioning o la gestione dei server.
Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) è un servizio di storage di oggetti altamente scalabile che può essere utilizzato per un'ampia gamma di soluzioni di storage, tra cui siti Web, applicazioni mobili, backup e data lake.
Amazon SNS coordina e gestisce la consegna o l'invio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail. I sottoscrittori ricevono tutti gli stessi messaggi pubblicati sugli argomenti ai quali sono hanno effettuato la sottoscrizione.

Codice

Il codice allegato include:

Un file.zip che contiene il codice di controllo di sicurezza Lambda () index.py
Un CloudFormation modello (security-control.ymlfile) che esegui per distribuire il codice Lambda

Epiche

Attività	Descrizione	Competenze richieste
Crea il bucket S3 per il codice Lambda.	Sulla console Amazon S3, crea un bucket S3 con un nome univoco che non contenga barre iniziali. Il nome di un bucket S3 è unico a livello globale e lo spazio dei nomi è condiviso da tutti gli account. AWS Il bucket S3 deve trovarsi nella AWS regione in cui desideri implementare il controllo di ingresso del gruppo di sicurezza.	Architetto del cloud
Carica il codice Lambda nel bucket S3.	Carica il codice Lambda (`security-control-lambda.zip`file) fornito nella sezione Allegati nel bucket S3 che hai creato nel passaggio precedente.	Architetto del cloud

Attività	Descrizione	Competenze richieste
Cambia la versione di Python.	Scarica il CloudFormation modello (`security-control.yml`) fornito nella sezione Allegati. Apri il file e modifica la versione di Python in modo che rifletta l'ultima versione supportata da Lambda (attualmente Python 3.9). Ad esempio, puoi cercare `python` nel codice e modificare il valore da a. `Runtime` `python3.6` `python3.9` Per le informazioni più recenti sul supporto della versione runtime di Python, consulta la documentazione di LambdaAWS.	Architetto del cloud
Implementa il AWS CloudFormation modello.	Sulla AWS CloudFormation console, nella stessa AWS regione del bucket S3, distribuisci il CloudFormation modello (). `security-control.yml`	Architetto del cloud
Specificate il nome del bucket S3.	Per il parametro S3 Bucket, specifica il nome del bucket S3 che hai creato nella prima epic.	Architetto del cloud
Specificare il nome della chiave Amazon S3 per il file Lambda.	Per il parametro S3 Key, specifica la posizione Amazon S3 del file.zip del codice Lambda nel tuo bucket S3. Non includere barre iniziali (ad esempio, puoi inserire o). `lambda.zip` `controls/lambda.zip`	Architetto del cloud
Fornisci un indirizzo email di notifica.	Per il parametro e-mail di notifica, fornisci un indirizzo e-mail a cui desideri ricevere le notifiche di violazione.	Architetto del cloud
Definisci il livello di registrazione.	Per il parametro Lambda Logging level, definisci il livello di registrazione per la tua funzione Lambda. Seleziona uno dei seguenti valori: INFOper ricevere messaggi informativi dettagliati sullo stato di avanzamento dell'applicazione. ERRORper ottenere informazioni sugli eventi di errore che potrebbero comunque consentire all'applicazione di continuare a funzionare. WARNINGper ottenere informazioni su situazioni potenzialmente dannose.	Architetto del cloud

Attività	Descrizione	Competenze richieste
Confermare la sottoscrizione.	Quando il CloudFormation modello è stato distribuito correttamente, viene creato un nuovo SNS argomento e viene inviato un messaggio di iscrizione all'indirizzo e-mail fornito. È necessario confermare questa iscrizione via e-mail per ricevere le notifiche di violazione.	Architetto del cloud

Risorse correlate

AWS CloudFormation informazioni
Creazione di uno stack sulla AWS CloudFormation console (AWS CloudFormation documentazione)
Gruppi di sicurezza per i tuoi VPC (VPCdocumentazione Amazon)
Informazioni su Amazon S3
AWSInformazioni Lambda

Allegati

Per accedere al contenuto aggiuntivo associato a questo documento, decomprimi il seguente file: attachment.zip

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controlla una CloudFront distribuzione Amazon per la registrazione degli accessi e HTTPS la versione TLS

Scegli un flusso di autenticazione Amazon Cognito