AWS - Config Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config prati promene resursa, tako da se svaka promena na resursu koji podržava Config može zabeležiti, što će zabeležiti šta se promenilo zajedno sa drugim korisnim metapodacima, sve sadržano u datoteci poznatoj kao konfiguracijski element, CI. Ova usluga je specifična za region.
Konfiguracijski element ili CI, kako se naziva, je ključna komponenta AWS Config-a. Sastoji se od JSON datoteke koja sadrži informacije o konfiguraciji, informacije o odnosima i druge metapodatke kao trenutni pregled podržanog resursa. Sve informacije koje AWS Config može zabeležiti za resurs su zabeležene unutar CI. CI se kreira svaki put kada se na podržanom resursu izvrši bilo kakva promena u njegovoj konfiguraciji. Pored beleženja detalja o pogođenom resursu, AWS Config će takođe zabeležiti CI za sve direktno povezane resurse kako bi se osiguralo da promena nije uticala i na te resurse.
Metapodaci: Sadrži detalje o samom konfiguracijskom elementu. ID verzije i ID konfiguracije, koji jedinstveno identifikuje CI. Druge informacije mogu uključivati MD5Hash koji vam omogućava da uporedite druge CI već zabeležene protiv istog resursa.
Atributi: Ovo sadrži zajedničke informacije o atributima u odnosu na stvarni resurs. U okviru ovog odeljka, takođe imamo jedinstveni ID resursa i sve ključne oznake koje su povezane sa resursom. Tip resursa je takođe naveden. Na primer, ako je ovo bio CI za EC2 instancu, tipovi resursa koji su navedeni mogli bi biti mrežni interfejs ili elastična IP adresa za tu EC2 instancu.
Odnos: Ovo sadrži informacije o bilo kojem povezanom odnosu koji resurs može imati. Tako da bi u ovom odeljku bila prikazana jasna opisna informacija o bilo kojem odnosu sa drugim resursima koje je ovaj resurs imao. Na primer, ako je CI bio za EC2 instancu, odeljak o odnosima može prikazati vezu sa VPC-om zajedno sa podmrežom u kojoj se EC2 instanca nalazi.
Trenutna konfiguracija: Ovo će prikazati iste informacije koje bi bile generisane ako biste izvršili opis ili listu API poziva napravljenih od strane AWS CLI. AWS Config koristi iste API pozive da dobije iste informacije.
Povezani događaji: Ovo se odnosi na AWS CloudTrail. Ovo će prikazati AWS CloudTrail ID događaja koji se odnosi na promenu koja je pokrenula kreiranje ovog CI. Postoji novi CI napravljen za svaku promenu izvršenu na resursu. Kao rezultat, biće kreirani različiti CloudTrail ID događaja.
Istorija konfiguracije: Moguće je dobiti istoriju konfiguracije resursa zahvaljujući konfiguracijskim elementima. Istorija konfiguracije se isporučuje svake 6 sati i sadrži sve CI za određeni tip resursa.
Konfiguracijski tokovi: Konfiguracijski elementi se šalju na SNS temu kako bi omogućili analizu podataka.
Konfiguracijski snimci: Konfiguracijski elementi se koriste za kreiranje trenutnog snimka svih podržanih resursa.
S3 se koristi za skladištenje datoteka istorije konfiguracije i bilo kojih konfiguracijskih snimaka vaših podataka unutar jedne kante, koja je definisana unutar konfiguracijskog snimača. Ako imate više AWS naloga, možda ćete želeti da agregirate svoje datoteke istorije konfiguracije u istu S3 kantu za vaš primarni nalog. Međutim, moraćete da dodelite pristup za pisanje za ovaj servisni princip, config.amazonaws.com, i vaše sekundarne naloge sa pristupom za pisanje u S3 kantu u vašem primarnom nalogu.
Kada izvršite promene, na primer, na sigurnosnoj grupi ili listi kontrole pristupa kante —> pokreće se kao događaj koji preuzima AWS Config
Skladišti sve u S3 kanti
U zavisnosti od postavki, čim se nešto promeni, može pokrenuti lambda funkciju ili zakazati lambda funkciju da periodično pregleda AWS Config postavke
Lambda se vraća Config-u
Ako je pravilo prekršeno, Config pokreće SNS
Config pravila su odličan način da vam pomognu da sprovodite specifične provere usklađenosti i kontrole preko vaših resursa, i omogućavaju vam da usvojite idealnu specifikaciju implementacije za svaki od vaših tipova resursa. Svako pravilo je u suštini lambda funkcija koja, kada se pozove, procenjuje resurs i sprovodi neku jednostavnu logiku da odredi rezultat usklađenosti sa pravilom. Svaki put kada se izvrši promena na jednom od vaših podržanih resursa, AWS Config će proveriti usklađenost sa bilo kojim config pravilima koja imate na snazi. AWS ima niz predefinisanih pravila koja spadaju pod sigurnosni kišobran i koja su spremna za korišćenje. Na primer, Rds-storage-encrypted. Ovo proverava da li je enkripcija skladišta aktivirana od strane vaših RDS baza podataka. Encrypted-volumes. Ovo proverava da li su svi EBS volumeni koji imaju stanje povezano enkriptovani.
AWS upravljana pravila: Skup predefinisanih pravila koja pokrivaju mnogo najboljih praksi, tako da uvek vredi prvo pregledati ova pravila pre nego što postavite svoja, jer postoji šansa da pravilo već postoji.
Prilagođena pravila: Možete kreirati svoja pravila za proveru specifičnih prilagođenih konfiguracija.
Limit od 50 config pravila po regionu pre nego što morate kontaktirati AWS za povećanje. Neusaglašeni rezultati se NE brišu.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
