Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config captura mudanças de recursos, então qualquer mudança em um recurso suportado pelo Config pode ser registrada, o que registrará o que mudou junto com outros metadados úteis, tudo mantido dentro de um arquivo conhecido como item de configuração, um CI. Este serviço é específico da região.
Um item de configuração ou CI, como é conhecido, é um componente chave do AWS Config. É composto por um arquivo JSON que contém as informações de configuração, informações de relacionamento e outros metadados como uma visão instantânea de um recurso suportado. Todas as informações que o AWS Config pode registrar para um recurso são capturadas dentro do CI. Um CI é criado toda vez que um recurso suportado tem uma mudança feita em sua configuração de qualquer forma. Além de registrar os detalhes do recurso afetado, o AWS Config também registrará CIs para quaisquer recursos diretamente relacionados para garantir que a mudança não afetou esses recursos também.
Metadados: Contém detalhes sobre o item de configuração em si. Um ID de versão e um ID de configuração, que identificam exclusivamente o CI. Outras informações podem incluir um MD5Hash que permite comparar outros CIs já registrados contra o mesmo recurso.
Atributos: Isso contém informações comuns de atributo em relação ao recurso real. Dentro desta seção, também temos um ID de recurso exclusivo e quaisquer tags de valor chave que estão associadas ao recurso. O tipo de recurso também é listado. Por exemplo, se este fosse um CI para uma instância EC2, os tipos de recursos listados poderiam ser a interface de rede ou o endereço IP elástico para essa instância EC2.
Relacionamentos: Isso contém informações sobre qualquer relacionamento conectado que o recurso possa ter. Assim, dentro desta seção, mostraria uma descrição clara de qualquer relacionamento com outros recursos que este recurso tinha. Por exemplo, se o CI fosse para uma instância EC2, a seção de relacionamento poderia mostrar a conexão a uma VPC junto com a sub-rede em que a instância EC2 reside.
Configuração atual: Isso exibirá as mesmas informações que seriam geradas se você realizasse uma chamada de API de descrição ou listagem feita pelo AWS CLI. O AWS Config usa as mesmas chamadas de API para obter as mesmas informações.
Eventos relacionados: Isso se relaciona ao AWS CloudTrail. Isso exibirá o ID do evento do AWS CloudTrail que está relacionado à mudança que acionou a criação deste CI. Há um novo CI criado para cada mudança feita contra um recurso. Como resultado, diferentes IDs de eventos do CloudTrail serão criados.
Histórico de Configuração: É possível obter o histórico de configuração de recursos graças aos itens de configuração. Um histórico de configuração é entregue a cada 6 horas e contém todos os CIs para um tipo de recurso específico.
Fluxos de Configuração: Itens de configuração são enviados para um Tópico SNS para permitir a análise dos dados.
Instantâneas de Configuração: Itens de configuração são usados para criar uma visão instantânea de todos os recursos suportados.
O S3 é usado para armazenar os arquivos de Histórico de Configuração e quaisquer instantâneas de Configuração dos seus dados dentro de um único bucket, que é definido dentro do gravador de configuração. Se você tiver várias contas AWS, pode querer agregar seus arquivos de histórico de configuração no mesmo bucket S3 para sua conta principal. No entanto, você precisará conceder acesso de gravação para este princípio de serviço, config.amazonaws.com, e suas contas secundárias com acesso de gravação ao bucket S3 em sua conta principal.
Ao fazer mudanças, por exemplo, no grupo de segurança ou na lista de controle de acesso do bucket —> dispara como um Evento capturado pelo AWS Config
Armazena tudo em um bucket S3
Dependendo da configuração, assim que algo muda, isso pode acionar uma função lambda OU agendar uma função lambda para verificar periodicamente as configurações do AWS Config
Lambda retorna para o Config
Se a regra foi quebrada, o Config dispara um SNS
As regras de configuração são uma ótima maneira de ajudar você a impor verificações de conformidade específicas e controles em seus recursos, e permitem que você adote uma especificação de implantação ideal para cada um de seus tipos de recursos. Cada regra é essencialmente uma função lambda que, quando chamada, avalia o recurso e realiza alguma lógica simples para determinar o resultado de conformidade com a regra. Cada vez que uma mudança é feita em um de seus recursos suportados, o AWS Config verificará a conformidade em relação a quaisquer regras de configuração que você tenha em vigor. A AWS tem várias regras predefinidas que se enquadram na categoria de segurança e estão prontas para uso. Por exemplo, Rds-storage-encrypted. Isso verifica se a criptografia de armazenamento está ativada por suas instâncias de banco de dados RDS. Encrypted-volumes. Isso verifica se algum volume EBS que tem um estado anexado está criptografado.
Regras gerenciadas pela AWS: Conjunto de regras predefinidas que cobrem muitas das melhores práticas, então sempre vale a pena navegar por essas regras primeiro antes de configurar as suas, pois há uma chance de que a regra já exista.
Regras personalizadas: Você pode criar suas próprias regras para verificar configurações personalizadas específicas.
Limite de 50 regras de configuração por região antes de precisar entrar em contato com a AWS para um aumento. Resultados não conformes NÃO são excluídos.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
