AWS - Config Enum

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

AWS Config

AWS Config, kaynak değişikliklerini kaydeder, bu nedenle Config tarafından desteklenen bir kaynağın herhangi bir değişikliği kaydedilebilir ve bu değişiklikler bir yapılandırma öğesi (CI) olarak bilinen bir dosyada kaydedilir. Bu hizmet bölgeye özgüdür.

Bir yapılandırma öğesi veya CI, AWS Config'ın temel bir bileşenidir. Desteklenen bir kaynağın yapılandırmasında herhangi bir değişiklik yapıldığında, bir CI oluşturulur. Etkilenen kaynağın ayrıntılarını kaydetmenin yanı sıra, AWS Config, değişikliğin bu kaynakları da etkileyip etkilemediğini kontrol etmek için doğrudan ilişkili kaynaklar için de CI'lar kaydeder.

  • Meta veri: Yapılandırma öğesi hakkında ayrıntılar içerir. CI'yi benzersiz bir şekilde tanımlayan bir sürüm kimliği ve yapılandırma kimliği içerir. Diğer bilgiler arasında, aynı kaynağa karşı zaten kaydedilmiş diğer CI'larla karşılaştırmanıza olanak tanıyan bir MD5Hash bulunabilir.

  • Öznitelikler: Bu, gerçek kaynağa karşı ortak öznitelik bilgilerini içerir. Bu bölümde, ayrıca kaynağa ilişkilendirilmiş benzersiz bir kaynak kimliği ve herhangi bir anahtar değer etiketi bulunur. Kaynak türü de listelenir. Örneğin, bu bir EC2 örneği için bir CI ise, listelenen kaynak türleri ağ arabirimini veya EC2 örneğinin elastik IP adresini olabilir.

  • İlişkiler: Bu, kaynağın sahip olabileceği herhangi bir bağlantılı ilişki hakkında bilgi içerir. Bu bölümde, bir CI'nin bir EC2 örneği için olduğunu varsayarsak, bu kaynağın bağlantısını ve EC2 örneğinin bulunduğu alt ağı gösterebilir.

  • Geçerli yapılandırma: Bu, AWS CLI tarafından yapılan bir açıklama veya liste API çağrısı yaparsanız oluşturulan bilgileri gösterecektir. AWS Config, aynı bilgileri elde etmek için aynı API çağrılarını kullanır.

  • İlgili olaylar: Bu, AWS CloudTrail ile ilgilidir. Bu, bu CI'nin oluşturulmasını tetikleyen değişiklikle ilişkili olan AWS CloudTrail olay kimliğini gösterecektir. Bir kaynağa karşı yapılan her değişiklik için yeni bir CI oluşturulur. Sonuç olarak, farklı CloudTrail olay kimlikleri oluşturulur.

Yapılandırma Geçmişi: Yapılandırma öğeleri sayesinde kaynakların yapılandırma geçmişini elde etmek mümkündür. Her 6 saatte bir teslim edilen bir yapılandırma geçmişi, belirli bir kaynak türü için tüm CI'ları içerir.

Yapılandırma Akışları: Yapılandırma öğeleri, verilerin analizine olanak tanımak için bir SNS Konusu'na gönderilir.

Yapılandırma Anlık Görüntüleri: Yapılandırma öğeleri, desteklenen tüm kaynakların zamana bağlı bir anlık görüntüsünü oluşturmak için kullanılır.

Yapılandırma Geçmişi dosyaları ve yapılandırma anlık görüntüleri, yapılandırma kaydedicisinde tanımlanan tek bir kovette (S3) depolanır. Birden fazla AWS hesabınız varsa, yapılandırma geçmişi dosyalarını birincil hesabınızdaki aynı S3 kovete toplamak isteyebilirsiniz. Bununla birlikte, bu hizmet prensibi, config.amazonaws.com hizmet ilkesine yazma erişimi ve birincil hesabınızdaki S3 kovete yazma erişimi vermeniz gerekecektir.

Çalışma

  • Örneğin, güvenlik grubu veya kova erişim kontrol listesi gibi değişiklikler yapılırken —> AWS Config tarafından yakalanan bir Olay olarak ateşlenir

  • Her şey S3 kovasında depolanır

  • Kurulumun bağlı olduğuna bağlı olarak, bir şey değiştiğinde hemen bir lambda işlevi tetiklenebilir veya AWS Config ayarlarını periyodik olarak kontrol etmek için bir lambda işlevi zamanlanabilir

  • Lambda, Config'a geri bildirim yapar

  • Eğer bir kural ihlal edilmişse, Config bir SNS başlatır

Config Kuralları

Config kuralları, kaynaklarınız üzerinde belirli uyumluluk kontrollerini ve denetimleri uygulamanıza yardımcı olmak için harika bir yoldur ve her bir kaynak türü için ideal bir dağıtım belirtimi benimsemenizi sağlar. Her kural esasen bir lambda işlevidir ve çağrıldığında kaynağı değerlendirir ve kurala uygunluk sonucunu belirlemek için bazı basit mantık işlemleri gerçekleştirir. Desteklenen kaynaklarınızdan birinde bir değişiklik yapılırsa, AWS Config, yerleştirdiğiniz herhangi bir yapılandırma kuralına karşı uyumluluğu kontrol eder. AWS'nin kullanıma hazır olan güvenlik kapsamına giren bir dizi önceden tanımlanmış kuralı vardır. Örneğin, Rds-storage-encrypted. Bu, RDS veritabanı örneklerinizde depolama şifrelemesinin etkin olup olmadığını kontrol eder. Encrypted-volumes. Bu, bağlı bir durumu olan herhangi bir EBS biriminin şifrelenip şifrelenmediğini kontrol eder.

  • AWS Yönetilen kurallar: Çoğu en iyi uygulamayı kapsayan önceden tanımlanmış kurallar kümesi, bu nedenle kendi kurallarınızı oluşturmadan önce bu kuralları gözden geçirmek her zaman faydalı olabilir.

  • Özel kurallar: Belirli özel yapılandırmaları kontrol etmek için kendi kurallarınızı oluşturabilirsiniz.

Bir bölgede 50 yapılandırma kuralı sınırına ulaştığınızda AWS ile iletişime geçmeniz gerekmektedir. Uyumsuz sonuçlar SİLİNMEZ.

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

Last updated