Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Lampiran

Memantau ElastiCache cluster untuk kelompok keamanan

Susanne Kangnoh dan Archit Mathur, Amazon Web Services

Ringkasan

Amazon ElastiCache adalah layanan Amazon Web Services (AWS) yang menyediakan solusi caching berkinerja tinggi, terukur, dan hemat biaya untuk mendistribusikan penyimpanan data dalam memori atau lingkungan cache di cloud. Ini mengambil data dari throughput tinggi dan latensi rendah, penyimpanan data dalam memori. Fungsionalitas ini menjadikannya pilihan populer untuk kasus penggunaan real-time seperti caching, toko sesi, game, layanan geo-spasial, analitik real-time, dan antrian. ElastiCache menawarkan penyimpanan data Redis dan Memcached, yang keduanya menyediakan waktu respons sub-milidetik.

Grup keamanan bertindak sebagai firewall virtual untuk ElastiCache instans Anda dengan mengontrol lalu lintas masuk dan keluar. Grup keamanan bertindak pada tingkat instans, bukan pada tingkat subnet. Untuk setiap grup keamanan, Anda menambahkan satu set aturan yang mengontrol lalu lintas masuk ke instans, dan seperangkat aturan terpisah yang mengontrol lalu lintas keluar. Anda dapat menentukan aturan izinkan tetapi tidak menolak aturan.

Pola ini menyediakan kontrol keamanan yang memantau panggilan API dan menghasilkan peristiwa di Amazon CloudWatch Events pada CreateReplicationGroup, CreateCacheCluster, ModifyCacheCluster, dan ModifyReplicationGroupoperasi. Acara ini memanggil AWS Lambda fungsi, yang menjalankan skrip Python. Fungsi mendapatkan ID grup replikasi dari input JSON peristiwa, dan melakukan pemeriksaan berikut untuk menentukan apakah ada pelanggaran keamanan:

Memeriksa apakah grup keamanan klaster cocok dengan grup keamanan yang dikonfigurasi dalam fungsi Lambda.
Jika grup keamanan klaster tidak cocok, fungsi akan mengirimkan pesan pelanggaran ke alamat email yang Anda berikan, dengan menggunakan notifikasi Amazon Simple Notification Service (Amazon SNS).

Prasyarat dan batasan

Prasyarat

AWS Akun aktif.
Bucket Amazon Simple Storage Service (Amazon S3) untuk mengunggah kode Lambda yang disediakan.
Alamat email tempat Anda ingin menerima pemberitahuan pelanggaran.
ElastiCache logging diaktifkan, untuk akses ke semua log API.

Batasan

Kontrol detektif ini bersifat regional dan harus digunakan di setiap Wilayah AWS yang ingin Anda pantau.
Kontrol mendukung grup replikasi yang berjalan di cloud pribadi virtual (VPC).

Arsitektur

Arsitektur alur kerja

Alur kerja untuk memantau ElastiCache cluster untuk kelompok keamanan.

Otomatisasi dan skala

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan AWS CloudFormation StackSetsuntuk menyebarkan template ini ke beberapa akun yang ingin Anda pantau.

Alat

AWS layanan

Amazon ElastiCache memudahkan untuk mengatur, mengelola, dan menskalakan lingkungan cache dalam memori terdistribusi di AWS Cloud. Ini menyediakan cache dalam memori berkinerja tinggi, dapat diubah ukurannya, dan hemat biaya, sambil menghilangkan kompleksitas yang terkait dengan penerapan dan pengelolaan lingkungan cache terdistribusi. ElastiCache bekerja dengan mesin Redis dan Memcached.
AWS CloudFormationmembantu Anda memodelkan dan menyiapkan AWS sumber daya Anda, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya. Anda dapat menggunakan template untuk mendeskripsikan sumber daya Anda dan dependensinya, dan meluncurkan dan mengonfigurasinya bersama-sama sebagai tumpukan, alih-alih mengelola sumber daya secara individual. Anda dapat mengelola dan menyediakan tumpukan di beberapa Akun AWS dan Wilayah AWS.
Amazon CloudWatch Events memberikan aliran peristiwa sistem yang mendekati real-time yang menjelaskan perubahan AWS sumber daya. CloudWatch Peristiwa menjadi sadar akan perubahan operasional saat terjadi dan mengambil tindakan korektif seperlunya, dengan mengirim pesan untuk merespons lingkungan, mengaktifkan fungsi, membuat perubahan, dan menangkap informasi negara.
AWS Lambdaadalah layanan komputasi yang mendukung menjalankan kode tanpa menyediakan atau mengelola server. Lambda menjalankan kode Anda hanya bila diperlukan dan menskalakan secara otomatis dari beberapa permintaan per hari menjadi ribuan per detik. Anda hanya membayar untuk waktu komputasi yang Anda gunakan—tidak ada biaya saat kode Anda tidak berjalan.
Amazon Simple Notification Service (Amazon SNS) mengkoordinasikan dan mengelola pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan topik menerima pesan yang sama.

Kode

Pola ini mencakup lampiran dengan dua file:

ElastiCacheAllowedSecurityGroup.zipadalah file terkompresi yang mencakup kontrol keamanan (kode Lambda).
ElastiCacheAllowedSecurityGroup.ymladalah CloudFormation template yang menyebarkan kontrol keamanan.

Lihat bagian Epics untuk informasi tentang cara menggunakan file-file ini.

Epik

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Unggah kode ke bucket S3.	Buat bucket S3 baru atau gunakan bucket S3 yang sudah ada untuk mengunggah `ElastiCacheAllowedSecurityGroup.zip` file terlampir (kode Lambda). Bucket ini harus Wilayah AWS sama dengan sumber daya yang ingin Anda evaluasi.	Arsitek awan
Menyebarkan CloudFormation template.	Buka CloudFormation konsol Wilayah AWS sama dengan bucket S3, dan terapkan `ElastiCacheAllowedSecurityControl.yml` file yang disediakan di lampiran. Dalam epik berikutnya, berikan nilai untuk parameter template.	Arsitek awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Berikan nama bucket S3.	Masukkan nama bucket S3 yang Anda buat atau pilih di epik pertama. Bucket S3 ini berisi file.zip untuk kode Lambda dan harus Wilayah AWS sama dengan CloudFormation template dan sumber daya yang akan dievaluasi.	Arsitek awan
Berikan kunci S3.	Berikan lokasi file kode Lambda .zip di bucket S3 Anda, tanpa garis miring di depan (misalnya, atau). `ElasticCacheAllowedSecurityGroup.zip` `controls/ElasticCacheAllowedSecurityGroup.zip`	Arsitek awan
Berikan alamat email.	Berikan alamat email aktif tempat Anda ingin menerima pemberitahuan pelanggaran.	Arsitek awan
Tentukan tingkat logging.	Tentukan tingkat logging dan verbositas. `Info`menunjuk pesan informasi rinci tentang kemajuan aplikasi dan harus digunakan hanya untuk debugging. `Error`menunjuk peristiwa kesalahan yang masih memungkinkan aplikasi untuk terus berjalan. `Warning`menunjuk situasi yang berpotensi berbahaya.	Arsitek awan

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Konfirmasikan langganan email.	Ketika CloudFormation template berhasil digunakan, ia mengirimkan pesan email berlangganan ke alamat email yang Anda berikan. Untuk menerima pemberitahuan, Anda harus mengonfirmasi langganan email ini.	Arsitek awan

Sumber daya terkait

Membuat tumpukan di AWS CloudFormation konsol (AWS CloudFormation dokumentasi)
Amazon VPCs dan ElastiCache keamanan ( ElastiCache dokumentasi Amazon)

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kelola kredensil dengan AWS Secrets Manager

Pantau ElastiCache kluster Amazon untuk enkripsi saat istirahat