AWS - Config Enum

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

AWS Config

AWS Config captura cambios en los recursos, por lo que cualquier cambio en un recurso soportado por Config puede ser registrado, lo que registrará lo que cambió junto con otra metadata útil, todo contenido en un archivo conocido como un elemento de configuración, un CI. Este servicio es específico de la región.

Un elemento de configuración o CI como se le conoce, es un componente clave de AWS Config. Está compuesto por un archivo JSON que contiene la información de configuración, información de relación y otra metadata como una vista instantánea de un recurso soportado en un momento dado. Toda la información que AWS Config puede registrar para un recurso se captura dentro del CI. Un CI se crea cada vez que un recurso soportado tiene un cambio en su configuración de cualquier manera. Además de registrar los detalles del recurso afectado, AWS Config también registrará CIs para cualquier recurso directamente relacionado para asegurar que el cambio no afectó a esos recursos también.

  • Metadata: Contiene detalles sobre el elemento de configuración en sí. Un ID de versión y un ID de configuración, que identifican de manera única el CI. Otra información puede incluir un MD5Hash que te permite comparar otros CIs ya registrados contra el mismo recurso.

  • Atributos: Esto contiene información común de atributos contra el recurso real. Dentro de esta sección, también tenemos un ID de recurso único, y cualquier etiqueta de valor clave que esté asociada al recurso. El tipo de recurso también se lista. Por ejemplo, si este fuera un CI para una instancia EC2, los tipos de recursos listados podrían ser la interfaz de red, o la dirección IP elástica para esa instancia EC2.

  • Relaciones: Esto contiene información sobre cualquier relación conectada que el recurso pueda tener. Así que dentro de esta sección, mostraría una descripción clara de cualquier relación con otros recursos que este recurso tuviera. Por ejemplo, si el CI fuera para una instancia EC2, la sección de relaciones podría mostrar la conexión a un VPC junto con la subred en la que reside la instancia EC2.

  • Configuración actual: Esto mostrará la misma información que se generaría si realizaras una llamada API de descripción o lista hecha por el AWS CLI. AWS Config utiliza las mismas llamadas API para obtener la misma información.

  • Eventos relacionados: Esto se relaciona con AWS CloudTrail. Esto mostrará el ID de evento de AWS CloudTrail que está relacionado con el cambio que activó la creación de este CI. Se crea un nuevo CI por cada cambio realizado contra un recurso. Como resultado, se crearán diferentes IDs de eventos de CloudTrail.

Historial de Configuración: Es posible obtener el historial de configuración de los recursos gracias a los elementos de configuración. Un historial de configuración se entrega cada 6 horas y contiene todos los CIs para un tipo de recurso particular.

Flujos de Configuración: Los elementos de configuración se envían a un tema SNS para habilitar el análisis de los datos.

Instantáneas de Configuración: Los elementos de configuración se utilizan para crear una instantánea en el tiempo de todos los recursos soportados.

S3 se utiliza para almacenar los archivos de Historial de Configuración y cualquier instantánea de Configuración de tus datos dentro de un solo bucket, que se define dentro del grabador de configuración. Si tienes múltiples cuentas de AWS, es posible que desees agregar tus archivos de historial de configuración en el mismo bucket S3 para tu cuenta principal. Sin embargo, necesitarás otorgar acceso de escritura para este principio de servicio, config.amazonaws.com, y tus cuentas secundarias con acceso de escritura al bucket S3 en tu cuenta principal.

Funcionamiento

  • Cuando se realizan cambios, por ejemplo, en el grupo de seguridad o en la lista de control de acceso del bucket —> se dispara como un Evento recogido por AWS Config

  • Almacena todo en el bucket S3

  • Dependiendo de la configuración, tan pronto como algo cambie podría activar una función lambda O programar una función lambda para revisar periódicamente la configuración de AWS Config

  • Lambda retroalimenta a Config

  • Si se ha roto una regla, Config activa un SNS

Reglas de Config

Las reglas de Config son una excelente manera de ayudarte a hacer cumplir verificaciones de cumplimiento específicas y controles a través de tus recursos, y te permiten adoptar una especificación de implementación ideal para cada uno de tus tipos de recursos. Cada regla es esencialmente una función lambda que, cuando se invoca, evalúa el recurso y lleva a cabo alguna lógica simple para determinar el resultado de cumplimiento con la regla. Cada vez que se realiza un cambio en uno de tus recursos soportados, AWS Config verificará el cumplimiento contra cualquier regla de configuración que tengas en su lugar. AWS tiene una serie de reglas predefinidas que caen bajo el paraguas de seguridad que están listas para usar. Por ejemplo, Rds-storage-encrypted. Esto verifica si la encriptación de almacenamiento está activada por tus instancias de base de datos RDS. Encrypted-volumes. Esto verifica si algún volumen EBS que tiene un estado adjunto está encriptado.

  • Reglas gestionadas por AWS: Conjunto de reglas predefinidas que cubren muchas de las mejores prácticas, por lo que siempre vale la pena revisar estas reglas primero antes de configurar las tuyas, ya que existe la posibilidad de que la regla ya exista.

  • Reglas personalizadas: Puedes crear tus propias reglas para verificar configuraciones personalizadas específicas.

Límite de 50 reglas de configuración por región antes de que necesites contactar a AWS para un aumento. Los resultados no conformes NO se eliminan.

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Last updated