Implemente controles de acesso baseados em atributos de detetive para sub-redes públicas usando Config AWS - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasPráticas recomendadasÉpicosRecursos relacionadosMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Implemente controles de acesso baseados em atributos de detetive para sub-redes públicas usando Config AWS

Criado por Alberto Menendez () AWS

Resumo

As arquiteturas de rede de borda distribuída dependem da segurança de borda da rede que funciona junto com as cargas de trabalho em suas nuvens privadas virtuais ()VPCs. Isso fornece escalabilidade sem precedentes em comparação com a abordagem centralizada mais comum. Embora a implantação de sub-redes públicas em contas de workload possa oferecer benefícios, ela também introduz novos riscos de segurança, pois aumenta a superfície de ataque. Recomendamos que você implante somente recursos do Elastic Load Balancing (ELB), como Application Load Balancers, ou NAT gateways nas sub-redes públicas desses. VPCs O uso de balanceadores de carga e NAT gateways em sub-redes públicas dedicadas ajuda a implementar um controle refinado do tráfego de entrada e saída.

Recomendamos que você implemente controles preventivos e de detetive para limitar os tipos de recursos que podem ser implantados em sub-redes públicas. Para obter mais informações sobre o uso do controle de acesso baseado em atributos (ABAC) para implantar controles preventivos para sub-redes públicas, consulte Implantar controles de acesso preventivos baseados em atributos para sub-redes públicas. Embora sejam eficazes na maioria das situações, esses controles preventivos podem não abordar todos os casos de uso possíveis. Portanto, esse padrão se baseia na ABAC abordagem e ajuda a configurar alertas sobre recursos não compatíveis que são implantados em sub-redes públicas. A solução verifica se as interfaces de rede elástica pertencem a um recurso que não é permitido em sub-redes públicas.

Para conseguir isso, esse padrão usa as regras personalizadas AWS do Config e. ABAC A regra personalizada processa a configuração de uma interface de rede elástica sempre que ela é criada ou modificada. Em um alto nível, essa regra executa duas ações para determinar se a interface de rede é compatível:

  1. Para determinar se a interface de rede está no escopo da regra, a regra verifica se a sub-rede tem AWStags específicas que indicam que é uma sub-rede pública. Por exemplo, essa tag pode serIsPublicFacing=True.

  2. Se a interface de rede for implantada em uma sub-rede pública, a regra verificará qual AWS serviço criou esse recurso. Se o recurso não for um ELB recurso ou NAT gateway, ele marcará o recurso como não compatível.

Pré-requisitos e limitações

Pré-requisitos

  • Uma AWS conta ativa

  • AWSConfig, configure na conta de carga de trabalho

  • Permissões para implantar os recursos necessários na conta de carga de trabalho

  • A VPC com sub-redes públicas

  • Tags aplicadas corretamente para identificar as sub-redes públicas de destino

  • (Opcional) Uma organização em AWS Organizations

  • (Opcional) Uma conta de segurança central que é o administrador delegado do AWS Config AWS and Security Hub

Arquitetura

Arquitetura de destino

Usando uma regra personalizada AWS do Config para detectar recursos não compatíveis em sub-redes públicas

O diagrama ilustra o seguinte:

  1. Quando um recurso de interface de elastic network (AWS::EC2::NetworkInterface) é implantado ou modificado, o AWS Config captura o evento e a configuração.

  2. AWSConfig compara esse evento com a regra personalizada usada para avaliar a configuração.

  3. A função AWS Lambda associada a essa regra personalizada é invocada. A função avalia o recurso e aplica a lógica especificada para determinar se a configuração do recurso é COMPLIANT NON_COMPLIANT ouNOT_APPLICABLE.

  4. Se um recurso for determinado como sendoNON_COMPLIANT, o AWS Config enviará um alerta por meio do Amazon Simple Notification Service (AmazonSNS).

    nota

    Se essa conta for uma conta membro no AWS Organizations, você poderá enviar dados de conformidade para uma conta de segurança central por meio do AWS Config ou do AWS Security Hub.

Lógica de avaliação da função Lambda

O diagrama a seguir mostra a lógica aplicada pela função Lambda para avaliar a conformidade da interface de rede elástica.

Diagrama da lógica da função Lambda

Automação e escala

Esse padrão é uma solução de detetive. Você também pode complementá-lo com uma regra de remediação para resolver automaticamente quaisquer recursos não compatíveis. Para obter mais informações, consulte Como corrigir recursos não compatíveis com o Config AWS Rules.

Você pode escalar essa solução da seguinte forma:

  • Impondo a aplicação das AWS tags correspondentes que você estabelece para identificar sub-redes voltadas para o público. Para obter mais informações, consulte Políticas de tags na documentação da AWS Organizations.

  • Configurar uma conta de segurança central que aplique a regra personalizada AWS Config a cada conta de carga de trabalho na organização. Para obter mais informações, consulte Automatizar a conformidade da configuração em grande escala AWS (postagem no AWS blog).

  • Integrando o AWS Config com o Security AWS Hub para capturar, centralizar e notificar em grande escala. Para obter mais informações, consulte Configurando o AWS Config na documentação do Security AWS Hub.

Ferramentas

  • AWSConfig fornece uma visão detalhada dos recursos em sua AWS conta e como eles estão configurados. Ajuda a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo.

  • O Elastic Load Balancing (ELB) distribui o tráfego de entrada de aplicativos ou de rede em vários destinos. Por exemplo, você pode distribuir tráfego entre instâncias, contêineres e endereços IP do Amazon Elastic Compute Cloud (AmazonEC2) em uma ou mais zonas de disponibilidade.

  • AWSO Lambda é um serviço de computação que ajuda você a executar código sem precisar provisionar ou gerenciar servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

  • O Amazon Simple Notification Service (AmazonSNS) ajuda você a coordenar e gerenciar a troca de mensagens entre editores e clientes, incluindo servidores web e endereços de e-mail. 

  • A Amazon Virtual Private Cloud (AmazonVPC) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS.

Práticas recomendadas

Para ver mais exemplos e melhores práticas para desenvolver regras de AWS configuração personalizadas, consulte o repositório oficial de regras de AWSconfiguração em. GitHub

Épicos

TarefaDescriçãoHabilidades necessárias

Criar a função do Lambda.

  1. Faça login no AWS Management Console e, em seguida, abra o console AWS Lambda.

  2. Na página Functions (Funções), escolha Create function (Criar função).

  3. Selecione Criar do zero.

  4. No painel Informações básicas, em Nome da função, insira um nome.

  5. Em Runtime, selecione Python 3.12.

  6. Deixe a arquitetura definida como x86_64.

  7. Escolha a opção Criar função.

  8. Escolha a guia Código.

  9. No explorador de arquivos, escolha lambda_function.py.

  10. Cole o código de amostra fornecido na seção Informações adicionais desse padrão na guia lambda_function.py. Personalize o código de amostra para identificar qualquer lógica de avaliação personalizada na evaluate_change_notification_compliance função.

  11. Escolha Implantar.

Geral AWS

Adicione permissões à função de execução da função Lambda.

  1. Selecione Funções no painel de navegação.

  2. Escolha a função que você acabou de criar.

  3. Escolha Configuration (Configuração) e depois Permissions (Permissões).

  4. Escolha o nome da função para abrir a função no console AWS Identity and Access Management (IAM).

  5. Em Políticas de permissões, escolha Adicionar permissões e, em seguida, escolha Criar política embutida.

  6. Selecione JSON.

  7. Cole a política a seguir no editor de políticas. Isso permite que a função Lambda:

    • Veja os detalhes das tags de sub-rede.

    • Envie o resultado da conformidade de volta para o AWS Config.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "config:PutEvaluations",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

  8. Escolha Próximo.

  9. Insira um nome para a política e escolha Create policy (Criar política).

Geral AWS

Recupere a função Lambda Amazon Resource Name ARN ().

  1. Abra o console do lambda.

  2. Selecione Funções no painel de navegação.

  3. Escolha a função que você acabou de criar.

  4. Na seção Visão geral da função, em Função ARN, copie o valor.

Geral AWS

Crie a AWS regra personalizada Config.

  1. Abra o console AWS Config em. https://console.aws.amazon.com/config/

  2. Na página Rules (Regras), selecione Add rule (Adicionar regra).

  3. Na página Especificar tipo de regra, escolha Criar regra personalizada do Lambda e escolha Avançar.

  4. Na página Configurar regra, faça o seguinte:

    1. Insira um nome e uma descrição.

    2. Para a função AWS Lambda ARN, cole o ARN que você copiou anteriormente.

    3. Para Tipo de gatilho, escolha Quando a configuração muda.

    4. Em Escopo das alterações, selecione Recursos.

    5. Em Tipo de recurso, escolha AWSEC2 NetworkInterface.

    6. Escolha Próximo.

  5. Na página Revisar e criar, verifique sua regra e escolha Salvar.

Geral AWS

Configure as notificações.

  1. Siga as instruções em Criar um SNS tópico na Amazon para criar um SNS tópico na Amazon.

  2. Siga as instruções em Inscrever-se em um SNS tópico da Amazon para configurar um endpoint que receba notificações para o tópico da AmazonSNS.

  3. Siga as instruções em Como posso ser notificado quando um AWS recurso não está em conformidade usando o AWS Config para configurar uma EventBridge regra personalizada da Amazon para seus recursos não compatíveis.

Geral AWS
TarefaDescriçãoHabilidades necessárias

Crie um recurso compatível.

  1. Use as instruções a seguir para criar um dos recursos compatíveis em uma sub-rede pública:

  2. Depois que o recurso é criado, a regra personalizada AWS Config avalia as interfaces de rede elástica associadas ao recurso. Ele marca essas interfaces de rede comoCOMPLIANT. Você pode visualizar os recursos no AWS Config seguindo estas etapas:

    1. Abra o console AWS Config em. https://console.aws.amazon.com/config/

    2. Na página Regras, escolha sua regra.

    3. Na página de detalhes da regra, vá até a parte inferior da página.

    4. Em Recursos no escopo, selecione Compatível. Confirme se você vê as interfaces IDs de rede que foram criadas.

    5. Para obter mais detalhes sobre a configuração da interface de rede, escolha a ID do recurso.

Geral AWS

Crie um recurso não compatível.

  1. Use as instruções a seguir para criar um recurso não compatível em uma sub-rede pública:

  2. Depois que o recurso é criado, a regra personalizada AWS Config avalia as interfaces de rede elástica associadas ao recurso. Ele marca essas interfaces de rede comoNON_COMPLIANT. Você pode visualizar os recursos no AWS Config seguindo estas etapas:

    1. Abra o console AWS Config em. https://console.aws.amazon.com/config/

    2. Na página Regras, escolha sua regra.

    3. Na página de detalhes da regra, vá até a parte inferior da página.

    4. Em Recursos no escopo, selecione NonCompliant. Confirme se você vê as interfaces IDs de rede que foram criadas.

    5. Para obter mais detalhes sobre a configuração da interface de rede, escolha a ID do recurso.

  3. Confirme se você recebeu a notificação no endpoint que você configurou na AmazonSNS.

Geral AWS

Crie um recurso que não seja aplicável.

  1. Em uma sub-rede privada, crie qualquer recurso que exija uma interface de rede elástica.

  2. Depois que o recurso é criado, a regra personalizada AWS Config avalia as interfaces de rede elástica associadas ao recurso. Ele marca essas interfaces de rede comoNOT_APPLICABLE. Esses recursos não são mostrados no console AWS Config.

Geral AWS

Recursos relacionados

Documentação da AWS

Outros AWS recursos

Mais informações

Veja a seguir uma amostra da função Lambda fornecida para fins de demonstração.

import boto3
import json
import os

# Init clients
config_client = boto3.client('config')
ec2_client = boto3.client('ec2')

def lambda_handler(event, context):

    # Init values
    compliance_value = 'NOT_APPLICABLE'
    invoking_event = json.loads(event['invokingEvent'])
    configuration_item = invoking_event['configurationItem']
    
    status = configuration_item['configurationItemStatus']
    eventLeftScope = event['eventLeftScope']

    # First check if the event configuration applies. Ex. resource event is not delete
    if (status == 'OK' or status == 'ResourceDiscovered') and not eventLeftScope:
        compliance_value = evaluate_change_notification_compliance(configuration_item)
    
    
    config_client.put_evaluations(
       Evaluations=[
           {
               'ComplianceResourceType': invoking_event['configurationItem']['resourceType'],
               'ComplianceResourceId': invoking_event['configurationItem']['resourceId'],
               'ComplianceType': compliance_value,
               'OrderingTimestamp': invoking_event['configurationItem']['configurationItemCaptureTime']
           },
       ],
       ResultToken=event['resultToken'])
    
# Function with the logs to evaluate the resource
def evaluate_change_notification_compliance(configuration_item):
    is_in_scope = is_in_scope_subnet(configuration_item['configuration']['subnetId'])
    
    if (configuration_item['resourceType'] != 'AWS::EC2::NetworkInterface') or not is_in_scope:
        return 'NOT_APPLICABLE'

    else:
        alb_condition = configuration_item['configuration']['requesterId'] in ['amazon-elb']
        nlb_condition = configuration_item['configuration']['interfaceType'] in ['network_load_balancer']
        nat_gateway_condition = configuration_item['configuration']['interfaceType'] in ['nat_gateway']

        if alb_condition or nlb_condition or nat_gateway_condition:
            return 'COMPLIANT'
    return 'NON_COMPLIANT'

# Function to check if elastic network interface is in public subnet
def is_in_scope_subnet(eni_subnet):

    subnet_description = ec2_client.describe_subnets(
        SubnetIds=[eni_subnet]
    )

    for subnet in subnet_description['Subnets']:
        for tag in subnet['Tags']:
            if tag['Key'] == os.environ.get('TAG_KEY') and tag['Value'] == os.environ.get('TAG_VALUE'):
                return True
    
    return False