Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Lampiran

Periksa entri jaringan host tunggal dalam aturan masuknya grup keamanan untuk dan IPv4 IPv6

SaiJeevan Devireddy, Ganesh Kumar, dan John Reynolds, Amazon Web Services

Ringkasan

Pola ini menyediakan kontrol keamanan yang memberi tahu Anda saat sumber daya Amazon Web Services (AWS) tidak memenuhi spesifikasi Anda. Ini menyediakan fungsi AWS Lambda yang mencari entri jaringan host tunggal di bidang alamat sumber Internet Protocol versi 4 (IPv4) dan grup IPv6 keamanan. Fungsi Lambda dimulai saat Amazon CloudWatch Events mendeteksi panggilan API Amazon Elastic Compute Cloud ( EC2Amazon AuthorizeSecurityGroupIngress). Logika kustom dalam fungsi Lambda mengevaluasi subnet mask dari blok CIDR dari aturan ingress grup keamanan. Jika subnet mask ditentukan sebagai apa pun selain /32 (IPv4) atau /128 (IPv6), fungsi Lambda mengirimkan pemberitahuan pelanggaran dengan menggunakan Amazon Simple Notification Service (Amazon SNS).

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif
Alamat email tempat Anda ingin menerima pemberitahuan pelanggaran

Batasan

Solusi pemantauan keamanan ini bersifat regional dan harus diterapkan di setiap Wilayah AWS yang ingin Anda pantau.

Arsitektur

Tumpukan teknologi target

Fungsi Lambda
Topik SNS
EventBridge Aturan Amazon

Arsitektur target

CloudWatch Peristiwa memulai fungsi Lambda untuk menggunakan Amazon SNS untuk mengirim pemberitahuan keamanan.

Otomatisasi dan skala

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS Cloudformation StackSets untuk menerapkan template ini di beberapa akun yang ingin Anda pantau.

Alat

Layanan AWS

AWS CloudFormation adalah layanan yang membantu Anda memodelkan dan menyiapkan sumber daya AWS dengan menggunakan infrastruktur sebagai kode.
Amazon EventBridge memberikan aliran data real-time dari aplikasi Anda sendiri, aplikasi perangkat lunak sebagai layanan (SaaS), dan layanan AWS, serta merutekan data tersebut ke target seperti fungsi Lambda.
AWS Lambda mendukung menjalankan kode tanpa menyediakan atau mengelola server.
Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek yang sangat skalabel yang dapat digunakan untuk berbagai solusi penyimpanan, termasuk situs web, aplikasi seluler, cadangan, dan danau data.
Amazon SNS mengkoordinasikan dan mengelola pengiriman atau pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan ke suatu topik menerima pesan yang sama.

Kode

Kode terlampir meliputi:

File zip yang berisi kode kontrol keamanan Lambda () index.py
CloudFormation Template (security-control.ymlfile) yang Anda jalankan untuk menyebarkan kode Lambda

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat bucket S3 untuk kode Lambda.	Di konsol Amazon S3, buat bucket S3 dengan nama unik yang tidak mengandung garis miring di depan. Nama bucket S3 unik secara global, dan namespace dibagikan oleh semua akun AWS. Bucket S3 Anda harus berada di Wilayah AWS tempat Anda ingin menerapkan pemeriksaan masuk grup keamanan.	Arsitek awan
Unggah kode Lambda ke bucket S3.	Unggah kode Lambda (`security-control-lambda.zip`file) yang disediakan di bagian Lampiran ke bucket S3 yang Anda buat di langkah sebelumnya.	Arsitek awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Ubah versi Python.	Unduh CloudFormation template (`security-control.yml`) yang disediakan di bagian Lampiran. Buka file dan ubah versi Python untuk mencerminkan versi terbaru yang didukung oleh Lambda (saat ini Python 3.9). Misalnya, Anda dapat mencari `python` dalam kode dan mengubah nilai `Runtime` dari `python3.6` ke`python3.9`. Untuk informasi terbaru tentang dukungan versi runtime Python, lihat dokumentasi AWS Lambda.	Arsitek awan
Menerapkan CloudFormation template AWS.	Di CloudFormation konsol AWS, di Wilayah AWS yang sama dengan bucket S3, terapkan CloudFormation template ()`security-control.yml`.	Arsitek awan
Tentukan nama bucket S3.	Untuk parameter S3 Bucket, tentukan nama bucket S3 yang Anda buat di epik pertama.	Arsitek awan
Tentukan nama kunci Amazon S3 untuk file Lambda.	Untuk parameter Kunci S3, tentukan lokasi Amazon S3 dari file kode Lambda .zip di bucket S3 Anda. Jangan sertakan garis miring terdepan (misalnya, Anda dapat memasukkan `lambda.zip` atau`controls/lambda.zip`).	Arsitek awan
Berikan alamat email pemberitahuan.	Untuk parameter email Pemberitahuan, berikan alamat email tempat Anda ingin menerima pemberitahuan pelanggaran.	Arsitek awan
Tentukan tingkat logging.	Untuk parameter level Lambda Logging, tentukan level logging untuk fungsi Lambda Anda. Pilih salah satu nilai berikut: INFO untuk mendapatkan pesan informasi terperinci tentang kemajuan aplikasi. ERROR untuk mendapatkan informasi tentang peristiwa kesalahan yang masih memungkinkan aplikasi untuk terus berjalan. PERINGATAN untuk mendapatkan informasi tentang situasi yang berpotensi berbahaya.	Arsitek awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfirmasi langganan.	Ketika CloudFormation template telah berhasil digunakan, topik SNS baru dibuat dan pesan berlangganan dikirim ke alamat email yang Anda berikan. Anda harus mengonfirmasi langganan email ini untuk menerima pemberitahuan pelanggaran.	Arsitek awan

Sumber daya terkait

CloudFormation Informasi AWS
Membuat tumpukan di AWS CloudFormation Console ( CloudFormation dokumentasi AWS)
Grup keamanan untuk VPC Anda (dokumentasi Amazon VPC)
Informasi Amazon S3
Informasi AWS Lambda

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Periksa CloudFront distribusi Amazon untuk log akses, HTTPS, dan versi TLS

Pilih alur autentikasi Amazon Cognito