Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mendeteksi instans database Amazon RDS dan Aurora yang memiliki sertifikat CA kedaluwarsa
Stephen DiCato dan Eugene Shifer, Amazon Web Services
Ringkasan
Sebagai praktik terbaik keamanan, disarankan agar Anda mengenkripsi data dalam perjalanan antara server aplikasi dan database relasional. Anda dapat menggunakan SSL atau TLS untuk mengenkripsi koneksi ke instance database (DB) atau cluster. Protokol ini membantu memberikan kerahasiaan, integritas, dan keaslian antara aplikasi dan database. Database menggunakan sertifikat server, yang dikeluarkan oleh otoritas sertifikat (CA) dan digunakan untuk melakukan verifikasi identitas server. SSL atau TLS memverifikasi keaslian sertifikat dengan memvalidasi tanda tangan digitalnya dan memastikannya tidak kedaluwarsa.
Dalam AWS Management Console, Amazon Relational Database Service (Amazon RDS) dan Amazon Aurora memberikan pemberitahuan tentang instans DB yang memerlukan pembaruan sertifikat. Namun, untuk memeriksa pemberitahuan ini, Anda harus masuk ke masing-masing Akun AWS dan menavigasi ke konsol layanan di masing-masing Wilayah AWS. Tugas ini menjadi lebih kompleks jika Anda perlu menilai validitas sertifikat di banyak Akun AWS yang dikelola sebagai organisasi di AWS Organizations.
Dengan menyediakan infrastruktur sebagai kode (IAc) yang disediakan dalam pola ini, Anda dapat mendeteksi sertifikat CA yang kedaluwarsa untuk semua instans Amazon RDS dan Aurora DB di organisasi atau Anda. Akun AWS AWS AWS CloudFormationTemplate menyediakan AWS Config aturan, AWS Lambda fungsi, dan izin yang diperlukan. Anda dapat menerapkannya ke dalam satu akun sebagai tumpukan, atau Anda dapat menerapkannya di seluruh AWS organisasi sebagai kumpulan tumpukan.
Prasyarat dan batasan
Prasyarat
Aktif Akun AWS
Jika Anda menerapkan ke dalam satu Akun AWS:
Jika Anda menerapkan ke dalam AWS organisasi:
Batasan
Jika Anda menerapkan ke akun individual yang tidak mengaktifkan Security Hub, Anda dapat menggunakannya AWS Config untuk mengevaluasi temuan.
Jika Anda menerapkan ke organisasi yang tidak memiliki administrator yang didelegasikan untuk AWS Config dan Security Hub, Anda harus masuk ke akun anggota individu untuk melihat temuan.
Jika Anda menggunakannya AWS Control Tower untuk mengelola dan mengatur akun di organisasi Anda, gunakan IAc dalam pola ini dengan menggunakan Kustomisasi untuk (CFCT). AWS Control Tower Menggunakan CloudFormation konsol akan membuat penyimpangan konfigurasi dari AWS Control Tower pagar pembatas dan mengharuskan Anda mendaftarkan ulang unit organisasi () OUs atau akun terkelola.
Beberapa Layanan AWS tidak tersedia di semua Wilayah AWS. Untuk ketersediaan Wilayah, lihat halaman titik akhir dan kuota Layanan, dan pilih tautan untuk layanan.
Arsitektur
Menyebarkan menjadi individu Akun AWS
Diagram arsitektur berikut menunjukkan penyebaran sumber AWS daya dalam satu Akun AWS. Ini diimplementasikan dengan menggunakan CloudFormation template langsung melalui CloudFormation konsol. Jika Security Hub diaktifkan, Anda dapat melihat hasilnya di salah satu AWS Config atau Security Hub. Jika Security Hub tidak diaktifkan, Anda dapat melihat hasilnya hanya di AWS Config konsol.
Diagram menunjukkan langkah-langkah berikut:
Anda membuat CloudFormation tumpukan. Ini menyebarkan fungsi Lambda dan AWS Config aturan. Aturan dan fungsi diatur dengan izin AWS Identity and Access Management (IAM) yang diperlukan untuk mempublikasikan evaluasi sumber daya dan log AWS Config .
AWS Config Aturan ini beroperasi dalam mode evaluasi detektif dan berjalan setiap 24 jam.
Security Hub menerima semua AWS Config temuan.
Anda dapat melihat temuan di Security Hub atau di AWS Config, tergantung pada konfigurasi akun.
Menyebarkan ke dalam organisasi AWS
Diagram berikut menunjukkan penilaian kedaluwarsa sertifikat di beberapa akun yang dikelola melalui AWS Organizations dan. AWS Control Tower Anda menyebarkan CloudFormation template melalui CFCT. Hasil penilaian terpusat di Security Hub di akun administrator yang didelegasikan. AWS CodePipeline Alur kerja yang digambarkan dalam diagram menunjukkan langkah-langkah latar belakang yang terjadi selama penyebaran CFCT.
Diagram menunjukkan langkah-langkah berikut:
Bergantung pada konfigurasi untuk CFCT, di akun manajemen, Anda mendorong IAc ke AWS CodeCommit repositori atau Anda mengunggah file terkompresi (ZIP) dari IAc ke bucket Amazon Simple Storage Service (Amazon S3).
Pipeline CFCT membuka ritsleting file, menjalankan pemeriksaan cfn-nag
(GitHub), dan menerapkannya sebagai kumpulan tumpukan. CloudFormation Bergantung pada konfigurasi yang ditentukan dalam file manifes CFCT, CloudFormation StackSets menyebarkan tumpukan ke akun individual atau ditentukan. OUs Ini menyebarkan fungsi Lambda dan aturan di AWS Config akun target. Aturan dan fungsi diatur dengan izin IAM yang diperlukan untuk mempublikasikan evaluasi sumber daya dan log AWS Config .
AWS Config Aturan ini beroperasi dalam mode evaluasi detektif dan berjalan setiap 24 jam.
AWS Config meneruskan semua temuan ke Security Hub.
Temuan Security Hub dikumpulkan dalam akun administrator yang didelegasikan.
Anda dapat melihat temuan di Security Hub di akun administrator yang didelegasikan.
Alat
Layanan AWS
AWS CloudFormationmembantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan Wilayah.
AWS Configmemberikan tampilan rinci tentang sumber daya di Anda Akun AWS dan bagaimana mereka dikonfigurasi. Ini membantu Anda mengidentifikasi bagaimana sumber daya terkait satu sama lain dan bagaimana konfigurasinya telah berubah dari waktu ke waktu. AWS Config Aturan menentukan pengaturan konfigurasi ideal Anda untuk sumber daya, dan AWS Config dapat mengevaluasi apakah AWS sumber daya Anda mematuhi ketentuan dalam aturan Anda.
AWS Control Towermembantu Anda mengatur dan mengatur lingkungan AWS multi-akun, mengikuti praktik terbaik preskriptif. Kustomisasi untuk AWS Control Tower (CFCT) membantu Anda menyesuaikan AWS Control Tower landing zone dan tetap selaras dengan praktik terbaik. AWS Kustomisasi diimplementasikan dengan CloudFormation template dan kebijakan kontrol layanan ()SCPs.
AWS Lambdaadalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
AWS Organizationsadalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
AWS Security Hubmemberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
Alat lainnya
Python adalah bahasa
pemrograman komputer tujuan umum.
Repositori kode
Kode untuk pola ini tersedia di instans GitHub Deteksi Amazon RDS dengan repositori sertifikat CA yang kedaluwarsa
Praktik terbaik
Kami menyarankan Anda mematuhi praktik terbaik dalam sumber daya berikut:
Praktik Terbaik untuk Unit Organisasi dengan AWS Organizations
(AWS Cloud Operations & Migrations Blog) Panduan untuk Mendirikan Yayasan Awal menggunakan AWS Control Tower on AWS
(Perpustakaan AWS Solusi) Panduan untuk membuat dan memodifikasi AWS Control Tower sumber daya (AWS Control Tower dokumentasi)
Pertimbangan penyebaran CFCT (dokumentasi)AWS Control Tower
Epik
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Tentukan strategi penyebaran Anda. | Tinjau solusi dan kode untuk menentukan bagaimana Anda akan menerapkannya ke AWS lingkungan Anda. Tentukan apakah Anda akan menyebarkan ke dalam satu akun atau AWS organisasi. | Pemilik aplikasi, AWS Umum |
Kloning repositori. | Masukkan perintah berikut untuk mengkloning instans Deteksi Amazon RDS dengan repositori sertifikat CA yang kedaluwarsa
| Pengembang aplikasi, Pemilik aplikasi |
Validasi versi Python. |
| Pengembang aplikasi, Pemilik aplikasi |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Menyebarkan CloudFormation template. | Menyebarkan CloudFormation template ke AWS lingkungan Anda. Lakukan salah satu tindakan berikut:
| Pengembang aplikasi, administrator AWS, AWS Umum |
Verifikasi penyebaran. | Di CloudFormation konsol | Administrator AWS, Pemilik aplikasi |
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
|---|---|---|
Lihat temuan AWS Config aturan. | Di Security Hub, lakukan hal berikut untuk melihat daftar temuan individu:
Di Security Hub, lakukan hal berikut untuk melihat daftar total temuan yang dikelompokkan berdasarkan: Akun AWS
Di AWS Config, untuk melihat daftar temuan, ikuti petunjuk dalam Melihat Informasi Kepatuhan dan Hasil Evaluasi dalam AWS Config dokumentasi. | Administrator AWS, administrator sistem AWS, administrator Cloud |
Pemecahan Masalah
| Isu | Solusi |
|---|---|
CloudFormation pembuatan atau penghapusan set tumpukan gagal | Ketika AWS Control Tower dikerahkan, itu memberlakukan pagar pembatas yang diperlukan dan mengasumsikan kontrol atas agregator dan aturan. AWS Config Ini termasuk mencegah perubahan langsung melalui CloudFormation. Untuk menerapkan atau menghapus CloudFormation template ini dengan benar, termasuk semua sumber daya terkait, Anda harus menggunakan CFCT. |
CFCT gagal menghapus template CloudFormation | Jika CloudFormation template tetap ada bahkan setelah membuat perubahan yang diperlukan dalam file manifes dan menghapus file template, konfirmasikan bahwa file manifes berisi |
Sumber daya terkait
Menggunakan SSL/TLS untuk mengenkripsi koneksi ke instans atau cluster DB (dokumentasi Amazon RDS)
AWS Config Aturan Kustom (AWS Config dokumentasi)
