AWS DevOps 通过Config自动审计Security Group配置——上篇

最新推荐文章于 2024-02-19 09:15:12 发布
最新推荐文章于 2024-02-19 09:15:12 发布
阅读量515 收藏 2
点赞数
分类专栏: 云安全Security 文章标签: aws devops
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010478127/article/details/107948415
版权
这个实验的一个场景是,运维同事设计安全组Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了)

逻辑是:

修改,添加或已有的Security —— 触发Config的审计—— 触发Lambda来修改正确的规则(这个实验是自定义rule,AWS Config提供了90几个rule可以满足大部分场景的需求)

先决条件:

  1. 了解AWS Lambda
  2. 了解IAM role、Policy等
  3. 了解VPC和Security Group

Task1:创建一个名字为:AwsConfigLambdaEc2SecuritygroupRole 的角色:

绑定名为awsconfig_lambda_ec2_security_group_role_policy 的Policy如下(直接copy这个JSON就好):

主要是允许Lambda函数创建和编写安全组Security Group event到LogStream。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "config:PutEvaluations",
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "ec2:InstanceType": [
                        "t2.micro"
                    ]
                }
            },
            "Action": [
                "ec2:RunInstances"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Effect": "Deny"
        },
        {
            "Action": [
                "ec2:*Spot*"
            ],
            "Resource": "*",
            "Effect": "Deny"
        }
    ]
}

Task2:创建一个S3Access和默认Config的Policy的config role:AWS config role.

这里已经创建好了,所以创建步骤略过,部分截图。

——————

——————

——————

附件完成后,我们会看到AwsConfigRole包括:
——————

Task3:通过AWS Config监控安全组的规则

——————

——————

——————

AWS Config rules 定义了很多默认的规则目前94个rule,可以满足大多数场景。我们自定义,将这一步skip掉。

——————

——————

——————

Task4:修改EC2的安全组Security Group

不要修改default VPC的SG,找一个测试Lab VPC或自定义的一个,选择该SG。

添加HTTP,HTTPS,SMTPS,IMAP等协议(不要删除默认的那条rule),inbound source 为anywhere:

写不下了,再写下篇吧。
栗子哥BroLiz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AWS - Security Group安全
qq_44356236的博客
06-25 593
EC2实例的安全相关的知识点。
awsconfig_lambda_security_group
08-12
AWS DevOps 通过Config自动审计Security Group配置. https://blog.csdn.net/u010478127/article/details/107948415 这个实验的一个场景是,运维同事设计安全Security Group的时候,打开了除了HTTP和HTTPS的入口...
AWS security group 和 network ACL
Tom098的博客
05-23 2512
AWS security group 和 network ACL都定义了网络访问规则,用于控制哪些inbond和outbond traffic被允许或者被禁止。不同之处在于: AWS security group:应用于主机的流量访问控制。同一个security group可以跨不同的subnet甚至availability zone,但是不能跨VPC。(一个VPC可以跨多个Availability zone, 一个Availability zone就是一个数据中心,一个region下边可以有多个Ava.
AWS DevOps 通过Config自动审计Security Group配置——下篇
栗子哥的云计算博客
08-12 209
再讲一下背景, 这个实验的一个场景是,运维同事设计安全Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了) 逻辑是: 修改,添加或已有的Security —— 触发Config审计—— 触发Lambda来修改正确的规则(这个实验是自定义rule,AWS Config提供了90几个rule可以满足大部分场景的需求) AWS DevO
AWS-安全-学习笔记
weixin_42230010的博客
02-08 1350
在每一个EC2实例创建的过程中,你都会被要求为其指定一个。这个安全充当了主机的虚拟防火墙作用,能根据协议、端口、源IP地址来过滤EC2实例的入向和出向流量。通过安全,你可以定义该EC2实例对外开放哪一些服务端口。比如你可以开放TCP/22端口来用于SSH登陆,或者开放TCP/80端口来用于HTTP服务。除了使用安全之外,你还可以继续保留系统原生的防火墙(Linux下的iptable和Windows的防火墙)。安全是有状态的。
AWS security group允许同内主机访问
梦见唐朝的故事
11-02 1580
其实设置起来很简单,就是在添加端口规则的时候把自己这个security group添加进去就可以了,但是之前添加后也一直没能成功访问,今天终于找到了原因:访问时候要使用内网IP地址,因为如果使用外网IP地址的话,就会先经过路由到外网后再访问回来,就导致不是同一个security group内的地址了,所以访问失败。
AWS DevOps Engineer Professional (DOP-C02)认证考试资料整理中文-系列一
10-21
AWS DevOps Engineer Professional (DOP-C02)认证考试资料整理中文-系列一
AWS DevOps学习资料
11-09
AWS DevOps学习资料
devops-capstone:Udacity AWS DevOps Capstone项目
03-27
Udacity AWS DevOps工程师Capstone项目 项目概况 该顶峰项目展示了计划中涵盖的几种CI / CD工具和云服务的使用 介绍 项目任务 使用CircleCI和部署到AWS EKS的来运行示例python / flask演示应用程序hello_app示例 ...
terraform-aws-security-group:Terraform模块,可在AWS上创建EC2-VPC安全
01-30
terraform-aws-security-group:Terraform模块,可在AWS上创建EC2-VPC安全
AWS_Security_Best_Practices_CN(AWS安全最佳实践).pdf
07-10
本白皮书提供AWS云上安全最佳实践,有助于您定义云上信息安全管理体系,并为您信息安全管理体系构建提供一安全策略和流程,例如,对您在AWS上资产进行标识、分类和保护,使用账户、用户和角色来管理云上的各种资源的访问和权限,并对您在云中的数据、操作系统和应用程序以及整体基础设施提供多种保护方式和方案。
AWS SSA 图片系列 之 Security Group VS ACL
fddqfddq的专栏
09-09 220
ACL rule
openstack的security group的正确配置
云计算架构
03-02 1765
最近发现我们的环境就算配置security group外界也无法访问vm,但是vm能够访问外网,这个就很诡异了。 后来发现应该是配置的问题。 修改controller和compute的nova.conf文件,修改或者添加下列内容: firewall_driver = nova.virt.firewall.NoopFirewallDriver security_group_api=neu
安全DevOps –看起来很简单
danpob13624的博客
04-05 560
DevOps安全故事看似简单。 它基于一些基本,直接的想法和实践: 较小的发行版更安全 这些想法之一是,与大爆炸的更改相比, 较小的,增量的和更频繁的发行版更安全并且所引起的问题更少。 说得通。 较小的版本包含较少的代码更改。 更少的代码意味着更少的复杂性和更少的错误。 风险也较小,因为较小的发行版更易于理解,易于计划,易于测试,易于查看,并且在出现问题时也易于回滚。 通过留意代...
[AWS][安全] 通过 AWS Config 服务检查配置是否合规
栗子哥的云计算博客
06-19 488
AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息,您可以查看准备 修改的资源如何与其他资源相关联,并评估更改所产生的影响。同时利用 AWS Config 的 预定义规则,您也可以监控资源是否合规,比如是否开启了 AWS CloudTrail,RDS 是否开启了备份,IAM 用户的密码策略是否符合要求等。本次示例中,我们将用 AWS Config 来 检查 AWS 账号内是否都开启了 S3 存储桶日志记录。 在 AWS Console 界面,点击左上角”服务”----“Co
如何设置aws的instance的security group
he wolf
07-15 3885
1.如果是webserver的话一般要设置port 80的权限,可以选择HTTP, 然后输入自己的IP或者选择anywhere,这样任意ip都能access到了 2.为了能够在其他机器上ping这个instance,需要设置ICMP,同样的ip可以自己设置也可以选择anywhere 其余的TCP, UDP, HTTPS也最好设置下,如果没有隐私权限的要求,例如尚处于开发软件或者测试阶段
DevOps - SonarQube 代码质量管理
最新发布
IoTHub - 物联网开源技术社区
02-19 935
SonarQube 是一个用于管理代码质量的开放平台,可以快速的定位代码中潜在的或者明显的错误。目前支持 java,C#,C/C++,Python,PL/SQL,Cobol,JavaScrip,Groovy 等二十几种编程语言的代码质量管理与检测。
AWS网络环境搭建(一):创建VPC、子网和安全
weixin_43673156的博客
02-25 2763
一、创建VPC 1、登录AWS,点击服务中的VPC,打开 Amazon VPC 控制台; 2、在导航窗格中,选择 VPC 控制面板。在控制面板中,选择 Launch VPC Wizard (启动 VPC 向导); 3、选择带单个公有子网的VPC,点击选择; 4、在配置页面上的 VPC 名称字段中输入您的 VPC 的名称,并在子网名称字段中输入您的子网的名称,确认信息无误后点击创建; 5、创...
AWS 导出SecurityGroup和EC2关联关系至excel
baidu_31405631的博客
09-04 533
最近在做安全检查需要整理AWSsecurityGroup和ec2的关系到excel管理也算是配置管理的存档了,我的痛点是 1 AWS不提供excel下载 2 100多台机器进出站上千条inbound和outbound,还要关联到EC2 3 安全原因规则不能用http://www.esjson.com/jsontoexcel.html这种json转excel网站,比较数据上传到工具网站是不安全的 好了现在开始一台电脑搞定上面的事情 第一步 利用AWS CLI 下载Secur...
如何通过aws devops 考试
07-22
要通过 AWS DevOps 考试,以下是一些建议和步骤: 1. 熟悉 AWS 服务:了解 AWS 的不同服务、功能和用途。特别关注与 DevOps 相关的服务,例如 AWS CodePipeline、AWS CodeCommit、AWS CodeBuild、AWS CodeDeploy 等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

栗子哥BroLiz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值