Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS
Audite automaticamente grupos AWS de segurança que permitem acesso a partir de endereços IP públicos - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasPráticas recomendadasÉpicosSolução de problemasRecursos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Audite automaticamente grupos AWS de segurança que permitem acesso a partir de endereços IP públicos

PDF

Criado por Eugene Shifer (AWS) e Stephen ( DiCato AWS)

Resumo

Como prática recomendada de segurança, é crucial minimizar a exposição dos AWS recursos somente ao absolutamente necessário. Por exemplo, servidores web que atendem ao público em geral precisam permitir o acesso de entrada pela Internet, mas o acesso a outras cargas de trabalho deve ser restrito a redes específicas para reduzir a exposição desnecessária. Os grupos de segurança na Amazon Virtual Private Cloud (Amazon VPC) são um controle eficaz para ajudar você a limitar o acesso aos recursos. No entanto, avaliar grupos de segurança pode ser uma tarefa complicada, especialmente em arquiteturas com várias contas. AWS Config regras e AWS Security Hub controles podem ajudá-lo a identificar grupos de segurança que permitem o acesso da Internet pública (0.0.0.0/0) a protocolos de comunicação de rede específicos, como Secure Shell (SSH), HTTP, HTTPS e protocolo de desktop remoto (RDP) do Windows. No entanto, essas regras e controles não são aplicáveis se os serviços forem executados em portas não padrão ou se o acesso for restrito a determinados endereços IP públicos. Por exemplo, isso pode ocorrer quando um serviço Web está associado à porta TCP 8443 em vez da porta TCP padrão 443. Isso também pode ocorrer quando os desenvolvedores têm acesso ao servidor a partir de suas redes domésticas, como para fins de teste.

Para resolver isso, você pode usar a solução de infraestrutura como código (IaC) fornecida nesse padrão para identificar grupos de segurança que permitem o acesso de qualquer endereço IP não privado (não compatível com a RFC 1918) a qualquer carga de trabalho em sua organização. Conta da AWS AWS O AWS CloudFormationmodelo fornece uma AWS Config regra personalizada, uma AWS Lambdafunção e as permissões necessárias. Você pode implantá-lo como uma pilha em uma única conta ou como um conjunto de pilhas em toda a organização, gerenciado por meio de. AWS Organizations

Pré-requisitos e limitações

Pré-requisitos

  • Um ativo Conta da AWS

  • Experiência usando GitHub

  • Se você estiver implantando em um único Conta da AWS:

  • Se você estiver implantando em uma AWS organização:

    • Permissões para criar conjuntos CloudFormation de pilhas

    • Security Hub configurado com AWS Organizations integração

    • AWS Config configurado nas contas em que você está implantando essa solução

    • Designe um Conta da AWS para ser o administrador delegado do Security Hub AWS Config e do Security Hub

Limitações

  • Se você estiver implantando em uma conta individual que não tem o Security Hub ativado, você pode usar AWS Config para avaliar as descobertas.

  • Se você estiver implantando em uma organização que não tem um administrador delegado para AWS Config o Security Hub, você deve fazer login nas contas individuais dos membros para ver as descobertas.

  • Se você usa AWS Control Tower para gerenciar e governar as contas em sua organização, implante o IaC nesse padrão usando Personalizações para AWS Control Tower (cFct). O uso do CloudFormation console criaria um desvio de configuração a partir das AWS Control Tower grades de proteção e exigiria que você reinscrevesse as unidades organizacionais () OUs ou as contas gerenciadas.

  • Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para ver a disponibilidade da região, consulte Serviços da AWS por região. Para endpoints específicos, consulte a página de endpoints e cotas do serviço e escolha o link para o serviço.

Arquitetura

Implantação em um indivíduo Conta da AWS

O diagrama de arquitetura a seguir mostra a implantação dos AWS recursos em um único Conta da AWS. Você provisiona os recursos usando um CloudFormation modelo diretamente pelo CloudFormation console. Se o Security Hub estiver ativado, você poderá visualizar os resultados em um AWS Config ou no Security Hub. Se o Security Hub não estiver ativado, você poderá visualizar os resultados somente em AWS Config.

Implantação do modelo IaC como uma CloudFormation pilha em uma única conta da AWS.

O diagrama mostra o seguinte fluxo de trabalho:

  1. Você cria uma CloudFormation pilha. Isso implanta uma função Lambda e AWS Config uma regra. Tanto a regra quanto a função são configuradas com as permissões AWS Identity and Access Management (IAM) necessárias para publicar avaliações de recursos AWS Config e registros.

  2. A AWS Config regra opera no modo de avaliação de detetive e invoca a função Lambda a cada 24 horas.

  3. A função Lambda avalia os grupos de segurança e envia atualizações para o. AWS Config

  4. O Security Hub recebe todas as AWS Config descobertas.

  5. Você pode ver as descobertas no Security Hub ou no AWS Config, dependendo dos serviços que você configurou na conta.

Implantação em uma organização AWS

O diagrama a seguir mostra a implantação do padrão em várias contas gerenciadas por meio de AWS Organizations AWS Control Tower e. Você implanta o CloudFormation modelo por meio do cFct. Os resultados da avaliação são centralizados no Security Hub na conta do administrador delegado. A seção AWS CodePipeline de fluxo de trabalho do diagrama mostra as etapas em segundo plano que ocorrem durante a implantação do cFCT.

Implantação do modelo IaC como um conjunto de CloudFormation pilhas em uma organização da AWS.

O diagrama mostra o seguinte fluxo de trabalho:

  1. Na conta de gerenciamento, você carrega um arquivo compactado (ZIP) do modelo IaC em um bucket do Amazon Simple Storage Service (Amazon S3) que é implantado pelo cFCT.

  2. O pipeline cFct descompacta o arquivo, executa as verificações cfn-nag (GitHub) e implanta o modelo como um conjunto de pilhas. CloudFormation

  3. Dependendo da configuração especificada no arquivo de manifesto cFct, CloudFormation StackSets implanta pilhas em contas individuais ou especificadas. OUs Isso implanta uma função Lambda e AWS Config uma regra nas contas de destino. Tanto a regra quanto a função são configuradas com as permissões do IAM necessárias para publicar avaliações de recursos AWS Config e registros.

  4. A AWS Config regra opera no modo de avaliação de detetive e invoca a função Lambda a cada 24 horas.

  5. A função Lambda avalia os grupos de segurança e envia atualizações para o. AWS Config

  6. AWS Config encaminha todas as descobertas para o Security Hub.

  7. As descobertas do Security Hub são agregadas na conta do administrador delegado.

  8. Você pode ver as descobertas agregadas no Security Hub na conta de administrador delegado.

Ferramentas

Serviços da AWS

  • AWS CloudFormationajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em Contas da AWS e. Regiões da AWS

  • AWS Configfornece uma visão detalhada dos recursos em seu computador Conta da AWS e de como eles estão configurados. Ajuda a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo. Uma AWS Config regra define suas configurações ideais para um recurso e AWS Config pode avaliar se seus AWS recursos estão em conformidade com as condições da regra.

  • AWS Control Towerajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas. O Customizations for AWS Control Tower (cFct) ajuda você a personalizar sua AWS Control Tower landing zone e a se manter alinhado com as melhores práticas. AWS As personalizações dessa solução são implementadas por meio de CloudFormation modelos e políticas de controle AWS Organizations de serviços () SCPs.

  • O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

  • AWS Organizationsé um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.

  • AWS Security Hubfornece uma visão abrangente do seu estado de segurança em AWS. Também ajuda você a verificar seu AWS ambiente de acordo com os padrões e as melhores práticas do setor de segurança.

Outras ferramentas

  • Python é uma linguagem de programação de computador de uso geral.

Repositório de código

O código desse padrão está disponível no repositório GitHub Detectar grupos de segurança vulneráveis.

Práticas recomendadas

Recomendamos que você siga as melhores práticas dos seguintes recursos:

Épicos

TarefaDescriçãoHabilidades necessárias

Determine sua estratégia de implantação.

Analise a solução e o código para determinar a estratégia de implantação para seu AWS ambiente. Determine se você está implantando em uma única conta ou em uma AWS organização.

Proprietário do aplicativo, General AWS

Clonar o repositório.

Digite o comando a seguir para clonar o repositório Detectar grupos de segurança vulneráveis:

git clone https://github.com/aws-samples/detect-public-security-groups.git
Desenvolvedor do aplicativo, proprietário do aplicativo

Valide a versão do Python.

  1. Navegue até o diretório de nível superior no repositório clonado:

    cd detect-public-security-groups

  2. Abra Security-Group-Public-Assessment.yaml.

  3. No SgPublicAccessCheckLambdaFunction recurso, confirme se a versão do Python é compatível com seu destino. Regiões da AWS Por padrão, essa função usa o Python 3.12. Para obter mais informações, consulte AWS Lambda adiciona suporte ao Python 3.12. Se necessário, atualize a versão do Python.

  4. Salve e feche o Security-Group-Public-Assessment.yaml.

Administrador da AWS, desenvolvedor de aplicativos

Revise o CloudFormation modelo

TarefaDescriçãoHabilidades necessárias

Determine sua estratégia de implantação.

Analise a solução e o código para determinar a estratégia de implantação para seu AWS ambiente. Determine se você está implantando em uma única conta ou em uma AWS organização.

Proprietário do aplicativo, General AWS

Clonar o repositório.

Digite o comando a seguir para clonar o repositório Detectar grupos de segurança vulneráveis:

git clone https://github.com/aws-samples/detect-public-security-groups.git
Desenvolvedor do aplicativo, proprietário do aplicativo

Valide a versão do Python.

  1. Navegue até o diretório de nível superior no repositório clonado:

    cd detect-public-security-groups

  2. Abra Security-Group-Public-Assessment.yaml.

  3. No SgPublicAccessCheckLambdaFunction recurso, confirme se a versão do Python é compatível com seu destino. Regiões da AWS Por padrão, essa função usa o Python 3.12. Para obter mais informações, consulte AWS Lambda adiciona suporte ao Python 3.12. Se necessário, atualize a versão do Python.

  4. Salve e feche o Security-Group-Public-Assessment.yaml.

Administrador da AWS, desenvolvedor de aplicativos
TarefaDescriçãoHabilidades necessárias

Implante o CloudFormation modelo.

Implante o CloudFormation modelo em seu AWS ambiente. Execute um destes procedimentos:

Desenvolvedor de aplicativos, administrador da AWS, AWS geral

Verificar a implantação.

No CloudFormation console, verifique se a pilha ou o conjunto de pilhas foi implantado com êxito.

Administrador da AWS, proprietário do aplicativo

Implante o CloudFormation modelo

TarefaDescriçãoHabilidades necessárias

Implante o CloudFormation modelo.

Implante o CloudFormation modelo em seu AWS ambiente. Execute um destes procedimentos:

Desenvolvedor de aplicativos, administrador da AWS, AWS geral

Verificar a implantação.

No CloudFormation console, verifique se a pilha ou o conjunto de pilhas foi implantado com êxito.

Administrador da AWS, proprietário do aplicativo
TarefaDescriçãoHabilidades necessárias

Veja as conclusões da AWS Config regra.

No Security Hub, faça o seguinte para ver uma lista de descobertas individuais:

  1. Abra o console do Security Hub.

  2. No painel de navegação, selecione Descobertas.

  3. Na caixa Adicionar filtros, adicione os seguintes filtros:

    • O status de conformidade é FAILED

    • O título é SgPublicAccessCheck

  4. Escolha Aplicar.

No Security Hub, faça o seguinte para ver uma lista do total de descobertas agrupadas por Conta da AWS:

  1. Abra o console do Security Hub.

  2. No painel de navegação, escolha Insights.

  3. Escolha Criar insight.

  4. Para selecionar o atributo de agrupamento do insight:

    1. Escolha a caixa de pesquisa para exibir as opções de filtro.

    2. Escolha Agrupar por.

    3. Selecione AwsAccountId.

    4. Escolha Aplicar.

  5. Na caixa Adicionar filtros, adicione os seguintes filtros:

    • O título é SgPublicAccessCheck

    • O status de conformidade é FAILED

  6. Escolha Criar insight.

  7. Insira um Nome do insight e escolha Criar insight.

Em AWS Config, para ver uma lista de descobertas, siga as instruções em Exibindo informações de conformidade e resultados da avaliação na AWS Config documentação.

Administrador da AWS, administrador de sistemas da AWS, administrador da nuvem

Analise as descobertas

TarefaDescriçãoHabilidades necessárias

Veja as conclusões da AWS Config regra.

No Security Hub, faça o seguinte para ver uma lista de descobertas individuais:

  1. Abra o console do Security Hub.

  2. No painel de navegação, selecione Descobertas.

  3. Na caixa Adicionar filtros, adicione os seguintes filtros:

    • O status de conformidade é FAILED

    • O título é SgPublicAccessCheck

  4. Escolha Aplicar.

No Security Hub, faça o seguinte para ver uma lista do total de descobertas agrupadas por Conta da AWS:

  1. Abra o console do Security Hub.

  2. No painel de navegação, escolha Insights.

  3. Escolha Criar insight.

  4. Para selecionar o atributo de agrupamento do insight:

    1. Escolha a caixa de pesquisa para exibir as opções de filtro.

    2. Escolha Agrupar por.

    3. Selecione AwsAccountId.

    4. Escolha Aplicar.

  5. Na caixa Adicionar filtros, adicione os seguintes filtros:

    • O título é SgPublicAccessCheck

    • O status de conformidade é FAILED

  6. Escolha Criar insight.

  7. Insira um Nome do insight e escolha Criar insight.

Em AWS Config, para ver uma lista de descobertas, siga as instruções em Exibindo informações de conformidade e resultados da avaliação na AWS Config documentação.

Administrador da AWS, administrador de sistemas da AWS, administrador da nuvem

Solução de problemas

ProblemaSolução

A criação ou exclusão do conjunto de CloudFormation pilhas falha.

Quando AWS Control Tower implantado, ele impõe as proteções necessárias e assume o controle sobre agregadores e regras. AWS Config Isso inclui evitar quaisquer alterações diretas. CloudFormation Para implantar ou remover adequadamente esse CloudFormation modelo, incluindo todos os recursos associados, você deve usar o cFct.

O cFct não consegue excluir o CloudFormation modelo.

Se o CloudFormation modelo persistir mesmo depois de fazer as alterações necessárias no arquivo de manifesto e remover os arquivos de modelo, confirme se o arquivo de manifesto contém o enable_stack_set_deletion parâmetro e se o valor está definido como. false Para obter mais informações, consulte Excluir um conjunto de pilhas na documentação do cFct.

Recursos relacionados

Precisa de ajuda?

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.