AWS - Config Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Config фіксує зміни ресурсів, тому будь-яка зміна ресурсу, підтримуваного Config, може бути зафіксована, що записує, що змінилося разом з іншою корисною метаданими, все зберігається у файлі, відомому як елемент конфігурації, CI. Ця служба є специфічною для регіону.
Елемент конфігурації або CI, як його називають, є ключовим компонентом AWS Config. Він складається з JSON-файлу, який містить інформацію про конфігурацію, інформацію про зв'язки та інші метадані у вигляді моментального знімка підтримуваного ресурсу. Вся інформація, яку AWS Config може зафіксувати для ресурсу, захоплюється в CI. CI створюється кожного разу, коли підтримуваному ресурсу вносять зміни в його конфігурацію будь-яким чином. На додаток до запису деталей постраждалого ресурсу, AWS Config також буде записувати CI для будь-яких безпосередньо пов'язаних ресурсів, щоб забезпечити, що зміна не вплинула і на ці ресурси.
Метадані: Містить деталі про сам елемент конфігурації. Ідентифікатор версії та ідентифікатор конфігурації, які унікально ідентифікують CI. Інша інформація може включати MD5Hash, який дозволяє порівнювати інші CI, вже зафіксовані для того ж ресурсу.
Атрибути: Це містить загальну інформацію про атрибути щодо фактичного ресурсу. У цьому розділі також є унікальний ідентифікатор ресурсу та будь-які ключові значення тегів, які пов'язані з ресурсом. Тип ресурсу також вказується. Наприклад, якщо це був CI для EC2-екземпляра, типи ресурсів, які вказані, можуть бути мережева інтерфейс або еластична IP-адреса для цього EC2-екземпляра.
Взаємозв'язки: Це містить інформацію про будь-які підключені взаємозв'язки, які може мати ресурс. Отже, в цьому розділі буде показано чіткий опис будь-якого взаємозв'язку з іншими ресурсами, які має цей ресурс. Наприклад, якщо CI був для EC2-екземпляра, розділ взаємозв'язків може показати з'єднання з VPC разом з підмережею, в якій знаходиться EC2-екземпляр.
Поточна конфігурація: Це відобразить ту ж інформацію, яка була б згенерована, якби ви виконали опис або список API-викликів, зроблених AWS CLI. AWS Config використовує ті ж API-виклики, щоб отримати ту ж інформацію.
Пов'язані події: Це стосується AWS CloudTrail. Це відобразить ідентифікатор події AWS CloudTrail, який пов'язаний зі зміною, що викликала створення цього CI. Для кожної зміни, внесеної до ресурсу, створюється новий CI. Як результат, будуть створені різні ідентифікатори подій CloudTrail.
Історія конфігурації: Можливо отримати історію конфігурації ресурсів завдяки елементам конфігурації. Історія конфігурації надається кожні 6 годин і містить всі CI для певного типу ресурсу.
Потоки конфігурації: Елементи конфігурації надсилаються до теми SNS для аналізу даних.
Знімки конфігурації: Елементи конфігурації використовуються для створення моментального знімка всіх підтримуваних ресурсів.
S3 використовується для зберігання файлів історії конфігурації та будь-яких знімків конфігурації ваших даних в одному кошику, який визначається в записувачі конфігурації. Якщо у вас є кілька облікових записів AWS, ви можете захотіти об'єднати файли історії конфігурації в одному кошику S3 для вашого основного облікового запису. Однак вам потрібно буде надати доступ на запис для цього сервісного принципу, config.amazonaws.com, і вашим вторинним обліковим записам з доступом на запис до кошика S3 у вашому основному обліковому записі.
Коли вносяться зміни, наприклад, до групи безпеки або списку контролю доступу до кошика —> запускається як подія, яку фіксує AWS Config
Зберігає все в кошику S3
Залежно від налаштування, як тільки щось змінюється, це може викликати функцію lambda АБО запланувати функцію lambda для періодичного перегляду налаштувань AWS Config
Lambda повертає дані до Config
Якщо правило було порушено, Config запускає SNS
Правила конфігурації є чудовим способом допомогти вам забезпечити конкретні перевірки відповідності та контролі для ваших ресурсів, і дозволяє вам прийняти ідеальну специфікацію розгортання для кожного з ваших типів ресурсів. Кожне правило по суті є функцією lambda, яка, коли її викликають, оцінює ресурс і виконує деяку просту логіку, щоб визначити результат відповідності з правилом. Кожного разу, коли вносяться зміни до одного з ваших підтримуваних ресурсів, AWS Config перевірить відповідність з будь-якими правилами конфігурації, які ви маєте на місці. AWS має кілька попередньо визначених правил, які підпадають під безпекову категорію і готові до використання. Наприклад, Rds-storage-encrypted. Це перевіряє, чи активовано шифрування зберігання вашими екземплярами бази даних RDS. Encrypted-volumes. Це перевіряє, чи зашифровані будь-які EBS-обсяги, які мають підключений стан.
Правила, керовані AWS: Набір попередньо визначених правил, які охоплюють багато найкращих практик, тому завжди варто спочатку переглянути ці правила, перш ніж налаштовувати свої власні, оскільки є ймовірність, що правило вже існує.
Користувацькі правила: Ви можете створити свої власні правила для перевірки конкретних користувацьких конфігурацій.
Обмеження 50 правил конфігурації на регіон, перш ніж вам потрібно буде зв'язатися з AWS для збільшення. Невідповідні результати НЕ видаляються.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)