AWS - Config Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

AWS Config

AWS Config фіксує зміни ресурсів, тому будь-яка зміна ресурсу, підтримуваного Config, може бути записана, що записує, що змінилося разом з іншими корисними метаданими, всі зберігаються у файлі, відомому як елемент конфігурації, CI. Ця служба є регіональною.

Елемент конфігурації або CI, як його називають, є ключовим компонентом AWS Config. Він складається з JSON-файлу, який містить інформацію про конфігурацію, інформацію про відносини та інші метадані як знімок у часі підтримуваного ресурсу. Вся інформація, яку AWS Config може записати для ресурсу, захоплюється в CI. CI створюється кожного разу, коли підтримуваний ресурс зазнає змін у своїй конфігурації будь-яким чином. Крім запису деталей постраждалого ресурсу, AWS Config також записуватиме CI для будь-яких безпосередньо пов'язаних ресурсів, щоб переконатися, що зміна не вплинула на ці ресурси також.

Метадані: Містить деталі про сам елемент конфігурації. Ідентифікатор версії та ідентифікатор конфігурації, які унікально ідентифікують CI. Інша інформація може включати MD5Hash, що дозволяє порівнювати інші CI, вже записані для того ж ресурсу.
Атрибути: Це містить загальну інформацію про атрибути проти фактичного ресурсу. У цьому розділі ми також маємо унікальний ідентифікатор ресурсу та будь-які ключові значення тегів, пов'язані з ресурсом. Тип ресурсу також вказаний. Наприклад, якщо це був CI для екземпляра EC2, типи ресурсів, що вказані, можуть бути мережевим інтерфейсом або еластичною IP-адресою для цього екземпляра EC2.
Відносини: Це містить інформацію про будь-які пов'язані відносини, які може мати ресурс. У цьому розділі буде чітко описано будь-які відносини з іншими ресурсами, які мав цей ресурс. Наприклад, якщо CI був для екземпляра EC2, розділ відносин може показати з'єднання з VPC разом з підмережею, в якій знаходиться екземпляр EC2.
Поточна конфігурація: Це відображатиме ту ж інформацію, яка була б згенерована, якби ви виконали опис або список API-викликів, зроблених AWS CLI. AWS Config використовує ті ж API-виклики для отримання тієї ж інформації.
Пов'язані події: Це стосується AWS CloudTrail. Це відображатиме ідентифікатор події AWS CloudTrail, пов'язаний зі зміною, яка спричинила створення цього CI. Новий CI створюється для кожної зміни, зробленої проти ресурсу. В результаті будуть створені різні ідентифікатори подій CloudTrail.

Історія конфігурації: Завдяки елементам конфігурації можна отримати історію конфігурації ресурсів. Історія конфігурації доставляється кожні 6 годин і містить всі CI для певного типу ресурсу.

Потоки конфігурації: Елементи конфігурації надсилаються на тему SNS для аналізу даних.

Знімки конфігурації: Елементи конфігурації використовуються для створення знімка всіх підтримуваних ресурсів у певний момент часу.

S3 використовується для зберігання файлів історії конфігурації та будь-яких знімків конфігурації ваших даних в одному бакеті, який визначається в реєстраторі конфігурації. Якщо у вас є кілька облікових записів AWS, ви можете об'єднати файли історії конфігурації в той самий бакет S3 для вашого основного облікового запису. Однак вам потрібно буде надати доступ на запис для цього сервісного принципала, config.amazonaws.com, і ваших вторинних облікових записів з доступом на запис до бакета S3 у вашому основному обліковому записі.

Функціонування

Коли вносяться зміни, наприклад, до групи безпеки або списку контролю доступу до бакета —> запускається як подія, яку підбирає AWS Config
Все зберігається в бакеті S3
Залежно від налаштувань, як тільки щось змінюється, це може запустити функцію lambda АБО запланувати функцію lambda для періодичного перегляду налаштувань AWS Config
Lambda повертає дані до Config
Якщо правило порушено, Config запускає SNS

Правила Config

Правила Config є чудовим способом допомогти вам забезпечити дотримання певних перевірок відповідності та контролю ваших ресурсів, і дозволяє вам прийняти ідеальну специфікацію розгортання для кожного типу ваших ресурсів. Кожне правило фактично є функцією lambda, яка при виклику оцінює ресурс і виконує просту логіку для визначення результату відповідності правилу. Кожного разу, коли вноситься зміна до одного з ваших підтримуваних ресурсів, AWS Config перевірятиме відповідність будь-яким правилам конфігурації, які у вас є. AWS має ряд попередньо визначених правил, які підпадають під парасольку безпеки і готові до використання. Наприклад, Rds-storage-encrypted. Це перевіряє, чи активовано шифрування зберігання вашими екземплярами бази даних RDS. Encrypted-volumes. Це перевіряє, чи зашифровані будь-які томи EBS, які мають стан підключення.

Керовані правила AWS: Набір попередньо визначених правил, які охоплюють багато найкращих практик, тому завжди варто переглянути ці правила спочатку, перш ніж налаштовувати власні, оскільки є ймовірність, що правило вже існує.
Користувацькі правила: Ви можете створити власні правила для перевірки конкретних користувацьких конфігурацій.

Ліміт 50 правил конфігурації на регіон, перш ніж вам потрібно буде звернутися до AWS для збільшення. Результати, що не відповідають вимогам, НЕ видаляються.

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - CloudWatch Enum NextAWS - Control Tower Enum

Last updated 1 month ago