AWS - Config Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config καταγράφει τις αλλαγές πόρων, έτσι οποιαδήποτε αλλαγή σε έναν πόρο που υποστηρίζεται από το Config μπορεί να καταγραφεί, η οποία θα καταγράψει τι άλλαξε μαζί με άλλα χρήσιμα μεταδεδομένα, όλα κρατημένα σε ένα αρχείο που ονομάζεται στοιχείο διαμόρφωσης, ένα CI. Αυτή η υπηρεσία είναι συγκεκριμένη για περιοχή.
Ένα στοιχείο διαμόρφωσης ή CI όπως είναι γνωστό, είναι ένα βασικό συστατικό του AWS Config. Αποτελείται από ένα αρχείο JSON που κρατά τις πληροφορίες διαμόρφωσης, τις πληροφορίες σχέσης και άλλα μεταδεδομένα ως μια στιγμιαία εικόνα ενός υποστηριζόμενου πόρου. Όλες οι πληροφορίες που μπορεί να καταγράψει το AWS Config για έναν πόρο καταγράφονται μέσα στο CI. Ένα CI δημιουργείται κάθε φορά που γίνεται μια αλλαγή στη διαμόρφωση ενός υποστηριζόμενου πόρου με οποιονδήποτε τρόπο. Εκτός από την καταγραφή των λεπτομερειών του επηρεαζόμενου πόρου, το AWS Config θα καταγράψει επίσης CIs για οποιουσδήποτε άμεσα σχετικούς πόρους για να διασφαλίσει ότι η αλλαγή δεν επηρεάζει και αυτούς τους πόρους.
Μεταδεδομένα: Περιέχει λεπτομέρειες σχετικά με το ίδιο το στοιχείο διαμόρφωσης. Ένα ID έκδοσης και ένα ID διαμόρφωσης, που προσδιορίζει μοναδικά το CI. Άλλες πληροφορίες μπορεί να περιλαμβάνουν ένα MD5Hash που σας επιτρέπει να συγκρίνετε άλλα CIs που έχουν ήδη καταγραφεί κατά του ίδιου πόρου.
Χαρακτηριστικά: Αυτό κρατά κοινές πληροφορίες χαρακτηριστικών σε σχέση με τον πραγματικό πόρο. Μέσα σε αυτή την ενότητα, έχουμε επίσης ένα μοναδικό ID πόρου, και οποιαδήποτε ετικέτα κλειδιού που σχετίζεται με τον πόρο. Ο τύπος πόρου αναφέρεται επίσης. Για παράδειγμα, αν αυτό ήταν ένα CI για μια EC2 instance, οι τύποι πόρων που αναφέρονται θα μπορούσαν να είναι η διεπαφή δικτύου ή η ελαστική διεύθυνση IP για αυτή την EC2 instance.
Σχέσεις: Αυτό κρατά πληροφορίες για οποιαδήποτε συνδεδεμένη σχέση που μπορεί να έχει ο πόρος. Έτσι, μέσα σε αυτή την ενότητα, θα δείχνει μια σαφή περιγραφή οποιασδήποτε σχέσης με άλλους πόρους που είχε αυτός ο πόρος. Για παράδειγμα, αν το CI ήταν για μια EC2 instance, η ενότητα σχέσεων μπορεί να δείξει τη σύνδεση με ένα VPC μαζί με το υποδίκτυο στο οποίο βρίσκεται η EC2 instance.
Τρέχουσα διαμόρφωση: Αυτό θα εμφανίσει τις ίδιες πληροφορίες που θα παράγονταν αν εκτελούσατε μια περιγραφή ή μια κλήση API λίστας που έγινε από το AWS CLI. Το AWS Config χρησιμοποιεί τις ίδιες κλήσεις API για να αποκτήσει τις ίδιες πληροφορίες.
Σχετικά γεγονότα: Αυτό σχετίζεται με το AWS CloudTrail. Αυτό θα εμφανίσει το AWS CloudTrail event ID που σχετίζεται με την αλλαγή που προκάλεσε τη δημιουργία αυτού του CI. Δημιουργείται ένα νέο CI για κάθε αλλαγή που γίνεται σε έναν πόρο. Ως αποτέλεσμα, θα δημιουργηθούν διαφορετικά CloudTrail event IDs.
Ιστορικό Διαμόρφωσης: Είναι δυνατόν να αποκτήσετε το ιστορικό διαμόρφωσης των πόρων χάρη στα στοιχεία διαμόρφωσης. Ένα ιστορικό διαμόρφωσης παραδίδεται κάθε 6 ώρες και περιέχει όλα τα CI για έναν συγκεκριμένο τύπο πόρου.
Ρεύματα Διαμόρφωσης: Τα στοιχεία διαμόρφωσης αποστέλλονται σε ένα SNS Topic για να επιτρέψουν την ανάλυση των δεδομένων.
Στιγμιότυπα Διαμόρφωσης: Τα στοιχεία διαμόρφωσης χρησιμοποιούνται για τη δημιουργία μιας στιγμιαίας εικόνας όλων των υποστηριζόμενων πόρων.
Το S3 χρησιμοποιείται για την αποθήκευση των αρχείων Ιστορικού Διαμόρφωσης και οποιωνδήποτε Στιγμιότυπων Διαμόρφωσης των δεδομένων σας μέσα σε έναν μόνο κάδο, ο οποίος ορίζεται μέσα στον καταγραφέα διαμόρφωσης. Εάν έχετε πολλούς λογαριασμούς AWS, μπορεί να θέλετε να συγκεντρώσετε τα αρχεία ιστορικού διαμόρφωσης σας στον ίδιο κάδο S3 για τον κύριο λογαριασμό σας. Ωστόσο, θα χρειαστεί να παραχωρήσετε δικαιώματα εγγραφής για αυτή την υπηρεσία, config.amazonaws.com, και τους δευτερεύοντες λογαριασμούς σας με δικαιώματα εγγραφής στον κάδο S3 στον κύριο λογαριασμό σας.
Όταν κάνετε αλλαγές, για παράδειγμα σε μια ομάδα ασφαλείας ή σε μια λίστα ελέγχου πρόσβασης κάδου —> ενεργοποιήστε ως ένα Γεγονός που ανιχνεύεται από το AWS Config
Αποθηκεύει τα πάντα σε κάδο S3
Ανάλογα με τη ρύθμιση, μόλις αλλάξει κάτι μπορεί να ενεργοποιήσει μια λειτουργία lambda Ή να προγραμματίσει μια λειτουργία lambda να ελέγχει περιοδικά τις ρυθμίσεις του AWS Config
Η Lambda επιστρέφει στο Config
Εάν παραβιαστεί κανόνας, το Config ενεργοποιεί ένα SNS
Οι κανόνες Config είναι ένας εξαιρετικός τρόπος για να σας βοηθήσουν να επιβάλετε συγκεκριμένους ελέγχους συμμόρφωσης και ελέγχους σε όλους τους πόρους σας, και σας επιτρέπουν να υιοθετήσετε μια ιδανική προδιαγραφή ανάπτυξης για κάθε τύπο πόρου σας. Κάθε κανόνας είναι ουσιαστικά μια λειτουργία lambda που όταν καλείται αξιολογεί τον πόρο και εκτελεί κάποια απλή λογική για να προσδιορίσει το αποτέλεσμα συμμόρφωσης με τον κανόνα. Κάθε φορά που γίνεται μια αλλαγή σε έναν από τους υποστηριζόμενους πόρους σας, το AWS Config θα ελέγξει τη συμμόρφωση σε σχέση με οποιουσδήποτε κανόνες config που έχετε σε εφαρμογή. Το AWS έχει αρκετούς προκαθορισμένους κανόνες που εμπίπτουν στην ασφάλεια και είναι έτοιμοι προς χρήση. Για παράδειγμα, Rds-storage-encrypted. Αυτό ελέγχει αν η κρυπτογράφηση αποθήκευσης είναι ενεργοποιημένη από τις βάσεις δεδομένων RDS σας. Encrypted-volumes. Αυτό ελέγχει αν οποιοιδήποτε EBS volumes που έχουν κατάσταση προσδεδεμένη είναι κρυπτογραφημένα.
Διαχειριζόμενοι κανόνες AWS: Σετ προκαθορισμένων κανόνων που καλύπτουν πολλές βέλτιστες πρακτικές, οπότε αξίζει πάντα να περιηγηθείτε σε αυτούς τους κανόνες πρώτα πριν ρυθμίσετε τους δικούς σας, καθώς υπάρχει πιθανότητα ο κανόνας να υπάρχει ήδη.
Προσαρμοσμένοι κανόνες: Μπορείτε να δημιουργήσετε τους δικούς σας κανόνες για να ελέγξετε συγκεκριμένες προσαρμοσμένες διαμορφώσεις.
Όριο 50 κανόνων config ανά περιοχή πριν χρειαστεί να επικοινωνήσετε με το AWS για αύξηση. Τα μη συμμορφούμενα αποτελέσματα ΔΕΝ διαγράφονται.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
