Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados Anexos

Verifique se os balanceadores de carga ELB exigem terminação TLS

Criado por Priyanka Chaudhary (AWS)

Resumo

Na nuvem da Amazon Web Services (AWS), o Elastic Load Balancing (ELB) distribui automaticamente o tráfego de entrada do aplicativo em vários destinos, como instâncias do Amazon Elastic Compute Cloud (Amazon EC2), contêineres, endereços IP e funções do AWS Lambda. Os balanceadores de carga usam receptores para definir as portas e os protocolos que o balanceador de carga usa para aceitar o tráfego dos usuários. Os balanceadores de carga de aplicativos tomam decisões de roteamento na camada do aplicativo e usam o. HTTP/HTTPS protocols. Classic Load Balancers make routing decisions at either the transport layer, by using TCP or Secure Sockets Layer (SSL) protocols, or at the application layer, by using HTTP/HTTPS

Esse padrão fornece um controle de segurança que examina vários tipos de eventos para Application Load Balancers e Classic Load Balancers. Quando a função é invocada, o AWS Lambda inspeciona o evento e garante que o balanceador de carga esteja em conformidade.

A função inicia um evento Amazon CloudWatch Events nas seguintes chamadas de API: CreateLoadBalancer CreateLoadBalancerListeners, DeleteLoadBalancerListeners, CreateLoadBalancerPolicy, SetLoadBalancerPoliciesOfListener, CreateListener, DeleteListener, e. ModifyListener Quando o evento detecta um deles APIs, ele chama o AWS Lambda, que executa um script Python. O script Python avalia se o receptor contém um certificado SSL e se a política aplicada está usando Transport Layer Security (TLS). Se a política SSL for determinada como diferente de TLS, a função enviará uma notificação do Amazon Simple Notiﬁcation Service (Amazon SNS) ao usuário com as informações relevantes.

Pré-requisitos e limitações

Pré-requisitos

Uma conta AWS ativa

Limitações

Esse controle de segurança não verifica os balanceadores de carga existentes, a menos que seja feita uma atualização nos receptores do balanceador de carga.
Esse controle de segurança é regional. Você deve implantá-lo em cada região da AWS que você deseja monitorar.

Arquitetura

Arquitetura de destino

Garantir que os balanceadores de carga exijam a terminação de TLS.

Automação e escala

Se você estiver usando o AWS Organizations, poderá usar o AWS Cloudformation StackSets para implantar esse modelo em várias contas que você deseja monitorar.

Ferramentas

Serviços da AWS

AWS CloudFormation — CloudFormation A AWS ajuda você a modelar e configurar seus recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente.
Amazon CloudWatch Events — O Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos recursos da AWS.
AWS Lambda: o AWS Lambda é um serviço de computação que permite a execução do código sem provisionar ou gerenciar servidores
Amazon S3: o Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos altamente escalável que pode ser usado para uma ampla variedade de soluções de armazenamento, incluindo sites, aplicativos móveis, backups e data lakes.
Amazon SNS: o Amazon Simple Notiﬁcation Service (Amazon SNS) é um serviço da Web que coordena e gerencia a entrega ou o envio de mensagens entre publicadores e clientes, incluindo servidores da Web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.

Código

Esse padrão inclui os seguintes anexos:

ELBRequirestlstermination.zip: o código Lambda para o controle de segurança.
ELBRequirestlstermination.yml— O CloudFormation modelo que configura o evento e a função Lambda.

Épicos

Tarefa	Descrição	Habilidades necessárias
Definir o bucket do S3.	No console do Amazon S3, escolha ou crie um bucket do S3 para hospedar o arquivo .zip do código do Lambda. Esse bucket do S3 deve estar na mesma região da AWS que o balanceador de carga que você deseja avaliar. Um nome de bucket do S3 é globalmente exclusivo, e o namespace é compartilhado por todas as contas da AWS. O nome do bucket do S3 não pode incluir barras iniciais.	Arquiteto de nuvem
Faça o upload do código do Lambda.	Faça upload do código do Lambda (arquivo `ELBRequirestlstermination.zip`) fornecido na seção Anexos para o bucket do S3.	Arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Inicie o CloudFormation modelo da AWS.	Abra o CloudFormation console da AWS na mesma região da AWS do seu bucket do S3 e implante o modelo `ELBRequirestlstermination.yml` anexado. Para obter mais informações sobre a implantação de CloudFormation modelos da AWS, consulte Como criar uma pilha no CloudFormation console da AWS na CloudFormation documentação.	Arquiteto de nuvem
Preencher os parâmetros no modelo.	Ao iniciar o modelo, você será solicitado a fornecer as seguintes informações: Bucket do S3: especifique o bucket que você criou ou selecionou no primeiro épico. É aqui que você fez o upload do código do Lambda anexado (arquivo `ELBRequirestlstermination.zip`). Chave do S3: especifique a localização do arquivo .zip do Lambda em seu bucket do S3 (por exemplo, `ELBRequirestlstermination.zip` ou `controls/ELBRequirestlstermination.zip`). Não inclua barras iniciais. E-mail de notificação: forneça um endereço de e-mail ativo para receber notificações do Amazon SNS. Nível de registro do Lambda: especifique o nível de registro em log e a frequência da função do Lambda. Use Informações para registrar em log mensagens informativas detalhadas sobre o progresso, Erro para eventos de erro que ainda permitiriam a continuidade da implantação e Aviso sobre situações potencialmente prejudiciais.	Arquiteto de nuvem

Tarefa	Descrição	Habilidades necessárias
Confirmar a assinatura.	Quando o CloudFormation modelo é implantado com sucesso, ele envia um e-mail de assinatura para o endereço de e-mail que você forneceu. Você deve confirmar essa assinatura de e-mail para começar a receber notificações de violação.	Arquiteto de nuvem

Recursos relacionados

Criação de uma pilha no CloudFormation console da AWS ( CloudFormation documentação da AWS)
O que é o AWS Lambda? (Documentação do AWS Lambda)
O que é um Classic Load Balancer? (Documentação do ELB)
O que é um Application Load Balancer? (Documentação do ELB)

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configure a resolução de DNS para redes híbridas em um ambiente com várias contas AWS

Visualize registros e métricas do AWS Network Firewall usando o Splunk