AWS - Config Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS Config

AWS Config संसाधन परिवर्तनों को कैप्चर करता है, इसलिए Config द्वारा समर्थित किसी भी संसाधन में कोई भी परिवर्तन रिकॉर्ड किया जा सकता है, जो क्या बदला गया और अन्य उपयोगी मेटाडेटा के साथ रिकॉर्ड करेगा, जिसे एक कॉन्फ़िगरेशन आइटम के रूप में जाना जाता है, एक CI। यह सेवा क्षेत्र विशिष्ट है।

एक कॉन्फ़िगरेशन आइटम या CI जैसा कि इसे जाना जाता है, AWS Config का एक प्रमुख घटक है। यह एक JSON फ़ाइल से बना होता है जो कॉन्फ़िगरेशन जानकारी, संबंध जानकारी और अन्य मेटाडेटा को एक समर्थित संसाधन के समय-समय पर स्नैपशॉट दृश्य के रूप में रखता है। AWS Config किसी संसाधन के लिए जो भी जानकारी रिकॉर्ड कर सकता है वह CI के भीतर कैप्चर की जाती है। हर बार जब किसी समर्थित संसाधन के कॉन्फ़िगरेशन में किसी भी तरह से परिवर्तन किया जाता है तो एक CI बनाया जाता है। प्रभावित संसाधन का विवरण रिकॉर्ड करने के अलावा, AWS Config यह सुनिश्चित करने के लिए किसी भी सीधे संबंधित संसाधनों के लिए भी CI रिकॉर्ड करेगा कि परिवर्तन ने उन संसाधनों को भी प्रभावित नहीं किया।

मेटाडेटा: इसमें स्वयं कॉन्फ़िगरेशन आइटम के बारे में विवरण होता है। एक संस्करण आईडी और एक कॉन्फ़िगरेशन आईडी, जो CI को अद्वितीय रूप से पहचानता है। अन्य जानकारी में एक MD5Hash शामिल हो सकता है जो आपको उसी संसाधन के खिलाफ पहले से रिकॉर्ड किए गए अन्य CI की तुलना करने की अनुमति देता है।
एट्रिब्यूट्स: यह वास्तविक संसाधन के खिलाफ सामान्य एट्रिब्यूट जानकारी रखता है। इस अनुभाग के भीतर, हमारे पास एक अद्वितीय संसाधन आईडी भी है, और कोई भी कुंजी मूल्य टैग जो संसाधन से जुड़े हैं। संसाधन प्रकार भी सूचीबद्ध है। उदाहरण के लिए, यदि यह एक EC2 इंस्टेंस के लिए CI था, तो सूचीबद्ध संसाधन प्रकार नेटवर्क इंटरफ़ेस, या उस EC2 इंस्टेंस के लिए इलास्टिक IP पता हो सकते हैं।
रिलेशनशिप्स: यह किसी भी जुड़े रिलेशनशिप के लिए जानकारी रखता है जो संसाधन के पास हो सकता है। इसलिए इस अनुभाग के भीतर, यह स्पष्ट रूप से वर्णन करेगा कि इस संसाधन का अन्य संसाधनों के साथ कोई संबंध है। उदाहरण के लिए, यदि CI एक EC2 इंस्टेंस के लिए था, तो रिलेशनशिप अनुभाग VPC के साथ कनेक्शन दिखा सकता है साथ ही सबनेट जिसमें EC2 इंस्टेंस स्थित है।
वर्तमान कॉन्फ़िगरेशन: यह वही जानकारी प्रदर्शित करेगा जो AWS CLI द्वारा किए गए वर्णन या सूची API कॉल को करने पर उत्पन्न होगी। AWS Config वही जानकारी प्राप्त करने के लिए समान API कॉल का उपयोग करता है।
संबंधित घटनाएँ: यह AWS CloudTrail से संबंधित है। यह AWS CloudTrail घटना आईडी प्रदर्शित करेगा जो इस CI के निर्माण को ट्रिगर करने वाले परिवर्तन से संबंधित है। किसी संसाधन के खिलाफ किए गए हर परिवर्तन के लिए एक नया CI बनाया जाता है। परिणामस्वरूप, विभिन्न CloudTrail घटना आईडी बनाई जाएंगी।

कॉन्फ़िगरेशन इतिहास: संसाधनों के कॉन्फ़िगरेशन इतिहास को कॉन्फ़िगरेशन आइटम्स के लिए धन्यवाद प्राप्त करना संभव है। एक कॉन्फ़िगरेशन इतिहास हर 6 घंटे में वितरित किया जाता है और इसमें किसी विशेष संसाधन प्रकार के लिए सभी CI शामिल होते हैं।

कॉन्फ़िगरेशन स्ट्रीम्स: कॉन्फ़िगरेशन आइटम्स को डेटा के विश्लेषण को सक्षम करने के लिए एक SNS टॉपिक पर भेजा जाता है।

कॉन्फ़िगरेशन स्नैपशॉट्स: कॉन्फ़िगरेशन आइटम्स का उपयोग सभी समर्थित संसाधनों का समय-समय पर स्नैपशॉट बनाने के लिए किया जाता है।

S3 का उपयोग आपके डेटा के कॉन्फ़िगरेशन इतिहास फ़ाइलों और किसी भी कॉन्फ़िगरेशन स्नैपशॉट्स को एक ही बकेट में संग्रहीत करने के लिए किया जाता है, जिसे कॉन्फ़िगरेशन रिकॉर्डर के भीतर परिभाषित किया गया है। यदि आपके पास कई AWS खाते हैं तो आप अपने प्राथमिक खाते के लिए एक ही S3 बकेट में अपने कॉन्फ़िगरेशन इतिहास फ़ाइलों को एकत्रित करना चाह सकते हैं। हालाँकि, आपको इस सेवा सिद्धांत, config.amazonaws.com, और अपने द्वितीयक खातों को अपने प्राथमिक खाते में S3 बकेट के लिए लिखने की अनुमति देने की आवश्यकता होगी।

कार्यप्रणाली

जब परिवर्तन करते हैं, उदाहरण के लिए सुरक्षा समूह या बकेट एक्सेस नियंत्रण सूची में —> एक घटना के रूप में AWS Config द्वारा उठाया जाता है
सब कुछ S3 बकेट में संग्रहीत करता है
सेटअप के आधार पर, जैसे ही कुछ बदलता है यह एक lambda function को ट्रिगर कर सकता है या AWS Config सेटिंग्स के माध्यम से समय-समय पर देखने के लिए lambda function को शेड्यूल कर सकता है
Lambda Config को फीडबैक देता है
यदि नियम टूट गया है, तो Config एक SNS को फायर करता है

Config Rules

Config rules आपके संसाधनों के विशिष्ट अनुपालन जांच और नियंत्रणों को लागू करने में आपकी सहायता करने का एक शानदार तरीका है, और आपको अपने प्रत्येक संसाधन प्रकार के लिए एक आदर्श परिनियोजन विनिर्देश अपनाने की अनुमति देता है। प्रत्येक नियम मूल रूप से एक lambda function है जो बुलाए जाने पर संसाधन का मूल्यांकन करता है और नियम के साथ अनुपालन परिणाम निर्धारित करने के लिए कुछ सरल तर्क करता है। हर बार जब आपके समर्थित संसाधनों में से किसी एक में परिवर्तन किया जाता है, AWS Config आपके पास मौजूद किसी भी config rules के खिलाफ अनुपालन की जांच करेगा। AWS के पास कई पूर्वनिर्धारित नियम हैं जो सुरक्षा छत्र के अंतर्गत आते हैं और उपयोग के लिए तैयार हैं। उदाहरण के लिए, Rds-storage-encrypted। यह जांचता है कि आपके RDS डेटाबेस इंस्टेंस द्वारा स्टोरेज एन्क्रिप्शन सक्रिय है या नहीं। Encrypted-volumes। यह जांचता है कि कोई भी EBS वॉल्यूम जो संलग्न स्थिति में है, एन्क्रिप्टेड है या नहीं।

AWS Managed rules: पूर्वनिर्धारित नियमों का सेट जो कई सर्वोत्तम प्रथाओं को कवर करता है, इसलिए अपने स्वयं के सेटअप से पहले इन नियमों को ब्राउज़ करना हमेशा सार्थक होता है क्योंकि यह संभावना है कि नियम पहले से मौजूद हो सकता है।
Custom rules: आप विशिष्ट कस्टम कॉन्फ़िगरेशन की जांच करने के लिए अपने स्वयं के नियम बना सकते हैं।

क्षेत्र प्रति 50 config rules की सीमा से पहले आपको AWS से वृद्धि के लिए संपर्क करने की आवश्यकता है। गैर अनुपालन परिणाम हटाए नहीं जाते हैं।

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - CloudWatch Enum NextAWS - Control Tower Enum

Last updated 1 month ago