Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Bloquee el acceso público a Amazon RDS mediante Cloud Custodian
Creado por abhay kumar (AWS) y Dwarika Patra (AWS)
Resumen
Muchas organizaciones ejecutan sus cargas de trabajo y servicios en múltiples proveedores de nube. En estos entornos de nube híbrida, la infraestructura de nube necesita un gobierno estricto, además de la seguridad proporcionada por los proveedores de nube individuales. Una base de datos en la nube, como Amazon Relational Database Service (Amazon RDS), es un servicio importante que debe supervisarse para detectar cualquier vulnerabilidad de acceso y permisos. Si bien puede restringir el acceso a la base de datos de Amazon RDS configurando un grupo de seguridad, también puede añadir un segundo nivel de protección para prohibir acciones como el acceso público. Bloquear el acceso público le ayuda a cumplir con el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA), el Instituto Nacional de Estándares y Tecnología (NIST) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Cloud Custodian es un motor de reglas de código abierto que puede utilizar para hacer cumplir las restricciones de acceso a los recursos de Amazon Web Services (AWS), como Amazon RDS. Cloud Custodian le permite establecer reglas que validen el entorno según los estándares de seguridad y conformidad definidos. Puede usar Cloud Custodian para administrar sus entornos de nube y así garantizar el cumplimiento de las políticas de seguridad, las políticas de etiquetado, la recopilación de elementos no utilizados y la administración de costos. Con Cloud Custodian puede usar una única interfaz para implementar la gobernanza en su entorno de nube híbrida. Por ejemplo, puede usar la interfaz Cloud Custodian para interactuar con Microsoft Azure AWS y reducir el esfuerzo de trabajar con mecanismos como AWS Config los grupos de AWS seguridad y las políticas de Azure.
Este patrón proporciona instrucciones para usar Cloud Custodian AWS para imponer la restricción de la accesibilidad pública en las instancias de Amazon RDS.
Requisitos previos y limitaciones
Requisitos previos
Un activo Cuenta de AWS
AWS Lambda instalado
Arquitectura
En el siguiente diagrama AWS Lambda, se muestra a Cloud Custodian implementando la política AWS CloudTrail e iniciando el CreateDBInstance evento y configurando la función Lambda en PubliclyAccessible false en Amazon RDS.
Herramientas
Servicios de AWS
AWS CloudTraille ayuda a auditar la gobernanza, el cumplimiento y el riesgo operativo de su empresa. Cuenta de AWS
AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que le ayuda a interactuar Servicios de AWS mediante comandos en su consola de línea de comandos.
AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
Amazon Relational Database Service (Amazon RDS) le ayuda a configurar, operar y escalar una base de datos relacional en. Nube de AWS
Otras herramientas
Cloud Custodian
unifica las herramientas y scripts que emplean muchas organizaciones para administrar sus cuentas de nube pública en una sola herramienta de código abierto. Emplea un motor de reglas sin estado para la definición y aplicación de las políticas con métricas, resultados estructurados e informes detallados de la infraestructura de la nube. Se integra perfectamente con tiempos de ejecución sin servidor para proporcionar soluciones y respuestas en tiempo real con una baja sobrecarga operativa.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Instale el AWS CLI. | Para instalar el AWS CLI, siga las instrucciones de la AWS documentación. | Administrador de AWS |
Configure AWS las credenciales. | Configure los ajustes AWS CLI con los que interactuarán AWS, incluidos el Región de AWS formato de salida que desee utilizar.
Para obtener más información, consulte la Documentación de AWS. | Administrador de AWS |
Crear un rol de IAM. | Para crear un rol de IAM con el rol de ejecución de Lambda, ejecute el siguiente comando.
| AWS DevOps |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Instale Cloud Custodian. | Para instalar Cloud Custodian en su sistema operativo y entorno, siga las instrucciones de la documentación de Cloud Custodian | DevOps ingeniero |
Consulte el esquema de Cloud Custodian. | Para ver una lista completa de los recursos de Amazon RDS con los que puede ejecutar políticas, introduzca el siguiente comando.
| DevOps ingeniero |
Cree la política de Cloud Custodian. | Guarda el código que se encuentra en el archivo de políticas de Cloud Custodian en la sección de Información adicional con una extensión YAML. | DevOps ingeniero |
Defina las acciones de Cloud Custodian para cambiar el indicador de acceso público. |
| DevOps ingeniero |
Ejecute una prueba. | (Opcional) Para comprobar qué recursos identifica la política sin ejecutar ninguna acción en ellos, emplee el siguiente comando.
| DevOps ingeniero |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Implemente la política mediante Lambda. | Para crear la función de Lambda que ejecutará la política, introduzca el siguiente comando.
Luego, el AWS CloudTrail Como resultado, AWS Lambda configurará el indicador de acceso público | DevOps ingeniero |
Recursos relacionados
Información adicional
Archivo YAML de política de Cloud Custodian
policies: - name: "block-public-access" resource: rds description: | This Enforcement blocks public access for RDS instances. mode: type: cloudtrail events: - event: CreateDBInstance # Create RDS instance cloudtrail event source: rds.amazonaws.com ids: requestParameters.dBInstanceIdentifier role: arn:aws:iam::1234567890:role/Custodian-compliance-role filters: - type: event key: 'detail.requestParameters.publiclyAccessible' value: true actions: - type: set-public-access state: false
Archivo rds.py de recursos de c7n
@actions.register('set-public-access') class RDSSetPublicAvailability(BaseAction): schema = type_schema( "set-public-access", state={'type': 'boolean'}) permissions = ('rds:ModifyDBInstance',) def set_accessibility(self, r): client = local_session(self.manager.session_factory).client('rds') waiter = client.get_waiter('db_instance_available') waiter.wait(DBInstanceIdentifier=r['DBInstanceIdentifier']) client.modify_db_instance( DBInstanceIdentifier=r['DBInstanceIdentifier'], PubliclyAccessible=self.data.get('state', False)) def process(self, rds): with self.executor_factory(max_workers=2) as w: futures = {w.submit(self.set_accessibility, r): r for r in rds} for f in as_completed(futures): if f.exception(): self.log.error( "Exception setting public access on %s \n %s", futures[f]['DBInstanceIdentifier'], f.exception()) return rds
Integración de Security Hub
Se puede integrar Cloud Custodian AWS Security Hub
