Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config rejestruje zmiany zasobów, więc każda zmiana w zasobie obsługiwanym przez Config może być zarejestrowana, co zarejestruje, co się zmieniło wraz z innymi przydatnymi metadanymi, wszystko przechowywane w pliku znanym jako element konfiguracji, CI. Ta usługa jest specyficzna dla regionu.
Element konfiguracji lub CI, jak to się nazywa, jest kluczowym komponentem AWS Config. Składa się z pliku JSON, który przechowuje informacje o konfiguracji, informacje o relacjach i inne metadane jako widok migawki w danym momencie obsługiwanego zasobu. Wszystkie informacje, które AWS Config może zarejestrować dla zasobu, są przechwytywane w CI. CI jest tworzony za każdym razem, gdy w obsługiwanym zasobie dokonano jakiejkolwiek zmiany w jego konfiguracji. Oprócz rejestrowania szczegółów dotyczących dotkniętego zasobu, AWS Config zarejestruje również CI dla wszelkich bezpośrednio powiązanych zasobów, aby upewnić się, że zmiana nie wpłynęła również na te zasoby.
Metadane: Zawiera szczegóły dotyczące samego elementu konfiguracji. Identyfikator wersji i identyfikator konfiguracji, który unikalnie identyfikuje CI. Inne informacje mogą obejmować MD5Hash, który pozwala porównywać inne CI już zarejestrowane w odniesieniu do tego samego zasobu.
Atrybuty: Zawiera wspólne informacje o atrybutach w odniesieniu do rzeczywistego zasobu. W tej sekcji mamy również unikalny identyfikator zasobu oraz wszelkie tagi klucz-wartość, które są związane z zasobem. Typ zasobu jest również wymieniony. Na przykład, jeśli byłby to CI dla instancji EC2, typy zasobów wymienione mogłyby obejmować interfejs sieciowy lub elastyczny adres IP dla tej instancji EC2.
Relacje: Zawiera informacje o wszelkich połączeniach relacji, które zasób może mieć. W tej sekcji wyświetli jasny opis wszelkich relacji z innymi zasobami, które ten zasób miał. Na przykład, jeśli CI dotyczyła instancji EC2, sekcja relacji mogłaby pokazać połączenie z VPC wraz z podsiecią, w której znajduje się instancja EC2.
Bieżąca konfiguracja: Wyświetli te same informacje, które byłyby generowane, gdybyś wykonał wywołanie API opisujące lub listujące za pomocą AWS CLI. AWS Config używa tych samych wywołań API, aby uzyskać te same informacje.
Powiązane zdarzenia: To odnosi się do AWS CloudTrail. Wyświetli identyfikator zdarzenia AWS CloudTrail, który jest związany ze zmianą, która wywołała utworzenie tego CI. Dla każdej zmiany dokonanej w zasobie tworzony jest nowy CI. W rezultacie będą tworzone różne identyfikatory zdarzeń CloudTrail.
Historia konfiguracji: Możliwe jest uzyskanie historii konfiguracji zasobów dzięki elementom konfiguracji. Historia konfiguracji jest dostarczana co 6 godzin i zawiera wszystkie CI dla danego typu zasobu.
Strumienie konfiguracji: Elementy konfiguracji są wysyłane do tematu SNS, aby umożliwić analizę danych.
Migawki konfiguracji: Elementy konfiguracji są używane do tworzenia migawki w danym momencie wszystkich obsługiwanych zasobów.
S3 jest używane do przechowywania plików historii konfiguracji i wszelkich migawek konfiguracji twoich danych w jednym koszyku, który jest zdefiniowany w rejestratorze konfiguracji. Jeśli masz wiele kont AWS, możesz chcieć zgrupować pliki historii konfiguracji w tym samym koszyku S3 dla swojego głównego konta. Jednak będziesz musiał przyznać dostęp do zapisu dla tego zasady usługi, config.amazonaws.com, oraz twoich drugorzędnych kont z dostępem do zapisu do koszyka S3 w twoim głównym koncie.
Gdy dokonujesz zmian, na przykład w grupie zabezpieczeń lub liście kontroli dostępu do koszyka —> wywołaj jako zdarzenie przechwycone przez AWS Config
Przechowuje wszystko w koszyku S3
W zależności od konfiguracji, gdy coś się zmienia, może to wywołać funkcję lambda LUB zaplanować funkcję lambda, aby okresowo przeszukiwać ustawienia AWS Config
Lambda przekazuje informacje z powrotem do Config
Jeśli zasada została naruszona, Config uruchamia SNS
Reguły Config to świetny sposób, aby pomóc ci w egzekwowaniu konkretnych kontroli zgodności i kontroli w całych zasobach, i pozwala na przyjęcie idealnej specyfikacji wdrożenia dla każdego z typów zasobów. Każda reguła jest zasadniczo funkcją lambda, która po wywołaniu ocenia zasób i wykonuje prostą logikę, aby określić wynik zgodności z regułą. Za każdym razem, gdy dokonana jest zmiana w jednym z twoich obsługiwanych zasobów, AWS Config sprawdzi zgodność z wszelkimi regułami konfiguracji, które masz w miejscu. AWS ma szereg wstępnie zdefiniowanych reguł, które mieszczą się w ramach bezpieczeństwa i są gotowe do użycia. Na przykład, Rds-storage-encrypted. To sprawdza, czy szyfrowanie pamięci masowej jest aktywowane przez twoje instancje bazy danych RDS. Encrypted-volumes. To sprawdza, czy jakiekolwiek wolumeny EBS, które mają stan podłączony, są szyfrowane.
Zarządzane reguły AWS: Zestaw wstępnie zdefiniowanych reguł, które obejmują wiele najlepszych praktyk, więc zawsze warto najpierw przeszukać te reguły, zanim utworzysz własne, ponieważ istnieje szansa, że reguła może już istnieć.
Reguły niestandardowe: Możesz tworzyć własne reguły, aby sprawdzić konkretne niestandardowe konfiguracje.
Limit 50 reguł konfiguracji na region, zanim będziesz musiał skontaktować się z AWS w celu zwiększenia. Wyniki niezgodne nie są USUWANE.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
