Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
AWS Account Management im Unternehmensumfeld
Andreas Heidötting – Director Systems Admin, NASDAQ
Creative Commons: Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.01
Inhalt
• Verwendung mehrerer AWS Accounts
• Entdeckung von Angriffen
• Einleitung von Gegenmaßnahmen
• Vermeidung von Konsequenzen
• Aufgaben- und Funktionstrennung
• Ressourcen- und Benutzerverwaltung
• Schutz von Logfiles, Backups, geistigem Eigentum
• Absicherung der AWS Zugänge
• Angriffserkennung, Alarmierung und Abwehr
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.02
Risiken
• Unberechtigter Zugriff auf die AWS Konsole bzw. AWS APIs
• Verlust der Kontrolle über Ressourcen- und Benutzerverwaltung
• Verlust bzw. Manipulation von Daten, Logfiles, Source Code
• Zusätzliche Kosten, die durch den Missbrauch entstehen
• Haftung für die durch den Missbrauch entstehenden Schäden
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.03
Sicherheit bei einem Account
AWS Account
CodeCommit
CodeDeploy
CodePipeline
CloudWatch Logs
CloudTrail
Config
Identity & Access Management
Root User
Policies
Groups
Users
Development
EC2 RDS
Integration
EC2 RDS
Test
EC2 RDS
Production
EC2 RDS
Password Policy
+
+
S3 LogfilesBackups
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
IntellectualProperty
Conditions
TesterDeveloper Operations Network Security Audit HackerServiceDesk Storage Data Base
Security Challenge
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.04
Mehrere Accounts
Test
Integration
Production Billing
Logging
Backup
Intellectual PropertyDevelopment
Access & Identity Management
Hacker
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.05
Abrechnung
Test
Integration
Production
Billing
Logging
Backup
Intellectual Property
Development Identity & Access Management
S3Detailed Billing
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.06
Identitäts- und Zugriffsverwaltung
Identity & Access Management
Root User
Policies
Groups
Users
Password Policy
+
+
Conditions
Security Challenge
Identity & Access Management Example
Identity & Access Management
Root User
Policies
Roles
+
Conditions
Security Challenge
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
Test
Integration
Production
Billing
Logging
Backup
Intellectual Property
Roles
Development
Roles
Roles
Roles Roles
Roles
Roles
Roles
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.07
SystemumgebungenRoles
Identity & Access Management Account
Development Account Test Account Integration Account Production Account
IAM Master RoleCreate / Modify Policies
Enable IAM ManagerCreate / Modify Policies
Enable IAM ManagerCreate / Modify Policies
Enable IAM ManagerCreate / Modify Policies
Enable IAM ManagerCreate / Modify Policies
Enable IAM Manager
IAM Manager RoleCreate Users / Groups
Use Pre-Defined PoliciesCreate Roles
Use Pre-Defined PoliciesCreate Roles
Use Pre-Defined PoliciesCreate Roles
Use Pre-Defined PoliciesCreate Roles
Use Pre-Defined Policies
Developer Assume Developer Role Limited Read Only Read Only None
Tester Assume Tester Role Read Only Limited Limited None
OperationsAssume Operations Role
Assume IAM Manager RoleLimited Limited Limited Limited
ServiceDesk Change User passwords None None None None
Network Assume Network Role Limited Limited Limited Limited
Storage Assume Storage Role Limited Limited Limited Limited
Data Base Assume Data Base Role Limited Limited Limited Limited
SecurityAssume Security Role
Assume IAM Master RoleLimited Limited Limited Limited
Audit Assume Audit Role Read Only Read Only Read Only Read Only
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.08
Systemumgebungen
Identity & Access Management
Policies
Groups
Users
Password Policy
+
Conditions
Identity & Access Management
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
Application 1
EC2 RDS
Application 2
EC2 RDS
Integration
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Development
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Production
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Test
Roles
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.09
Identitäts- und Zugriffsverwaltung
• Absichern des AWS Root Users
• Setzen einer sicheren Passwort-Richtlinie
• Erstellen von IAM Benutzern
• Verwendung von Multi-Faktor-Authentifizierungs-Geräten
• Verwendung von IAM Gruppen
• Vergabe von minimalen Zugriffsrechten
• Einschränkung des Zugriffs durch Bedingungen in Richtlinien
• Verwendung einer zentralen Benutzerverwaltung
• Verwendung von IAM Rollen
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.010
Protokollierung
Identity & Access Management
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
CloudTrail
Config
Environment Accounts[Development]
[Test][Integration][Production]
Intellectual Property
CloudWatch Logs
CloudTrail
Config
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
S3
Backup Account
CloudTrail
Config
Billing Account
CloudTrail
Config
Logging Account
Region 1
+ Versioning+ MFA Delete+ Replication
Region 2
+ Versioning+ MFA Delete
Lambda
SQS SES
SNS
SNS
SNS
SNS
Config
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.011
Datensicherung
Application 1
EC2 RDS
Application 2
EC2 RDS
Integration
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Development
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Production
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Test
RolesUsers +
Backup Account
Region 1
S3+ Versioning+ MFA Delete+ Replication
Region 2
EBS Snapshots+ Sharing+ Copy+ Replication
RDS Snapshots+ Sharing+ Copy+ Replication
EBS Snapshots+ Sharing+ Copy
RDS Snapshots+ Sharing+ Copy
S3+ Versioning+ MFA Delete
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.012
Geistiges Eigentum
CodeCommit
CodeDeploy
CodePipeline
Intellectual Property
S3+ Versioning+ MFA Delete
EC2 AMIs+ Sharing
Reproducible Builds
Application 1 Application 2
Integration
Application 1
EC2
Application 2
Development
Application 1 Application 2
Production
Application 1 Application 2
Test
EC2 Shared AMIs
CodeDeploy
EC2
CodeDeploy
EC2 EC2
CodeDeploy
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
EC2 Shared AMIs
EC2 Shared AMIsEC2 Shared AMIsOpsWorks
Desired State Configuration
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.013
Funktionsumgebungen
Roles Billing Account Logging Account Backup Account Intellectual Property Account
IAM MasterCreate / Modify PoliciesEnable IAM Manager
Create / Modify PoliciesEnable IAM Manager
Create / Modify PoliciesEnable IAM Manager
Create / Modify PoliciesEnable IAM Manager
IAM ManagerCreate RolesUse Pre-Defined Policies
Create RolesUse Pre-Defined Policies
Create RolesUse Pre-Defined Policies
Create RolesUse Pre-Defined Policies
Developer None Read Only Read Only Commit Code
Tester None Read Only Read Only Deploy Code to Test
Operations Read Only Read Only Read OnlyDeploy Code to IntergationDeploy Code to Production
ServiceDesk None Read Only Read Only None
Network None Read Only Read Only None
Storage None Read Only Read Only None
Data Base None Read Only Read Only None
Security None Read Only Read Only Read Only
Audit None Read Only Read Only Read Only
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.014
Funktionsumgebungen
• Aktivierung der Protokollierung
• Aggregieren von Logfiles
• Schutz von Logfiles
• Tools zur Analyse und Überwachung
• Erstellung von Backups
• Zentralisierung von Backups
• Schutz von Backups
• Zentralisierung von geistigem Eigentum
• Schutz von geistigem Eigentum
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.015
IAM Credential Report
• Verwendung des IAM Credential Reports
• Entfernen von ungenutzten IAM Usern
• Entfernen von ungenutzten IAM User Konsolen-Passwörtern
• Entfernen von ungenutzten IAM User API Access Keys
• Zwei API Access Keys pro IAM User
• Rotation der API Access Keys
• Keine API Access Keys für den AWS Root User, IAM Master, IAM Manager
• IAM Rollen für Applikationen, die auf Amazon EC2 Instance laufen
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.016
Erreichbarkeit
• Kontrolle der eignen Kontaktdaten
• Zusätzliche Ansprechpartner
• Kontrolle der von Amazon verschickten E-Mails
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.017
Überwachung mit CloudWatch Logs
Metric Filter+ Alarm
CloudWatchLogs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Email / SMS
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.018
CloudWatch Logs + Metric Filter / Alarm
• Verwendung des Root Users
• Verwendung der AWS Konsole ohne MFA-Gerät
• Verwendung der AWS API ohne MFA-Gerät
• Fehlgeschlagene Anmeldeversuche an der AWS Konsole
• Verwendung von nicht erlaubten API Kommandos
• Veränderung von IAM Richtlinien
• Verwendung großer EC2 Instanz-Typen
• Veränderung der CloudTrail-Einstellungen
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.019
CloudTrail / Root User
CloudTrail
Quelle: CloudTrail Events in CloudWatch Logs
Dienst: CloudWatch Logs Metric Filter
Filter: { $.userIdentity.type = "Root" &&
$.userIdentity.invokedBy NOT EXISTS &&
$.eventType != "AwsServiceEvent" }
Alarm: Summe >= 1 in 5 minute(s)
Aktion: Send E-Mail notifications
Metric Filter+ Alarm
CloudWatchLogs
Email / SMS
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.020
Beispiele
• CloudTrail/AWS Konsole ohne MFA-Gerät{ $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed != "No" }
• CloudTrail/AWS APIs ohne MFA-Gerät{ $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true"
• CloudTrail/nicht erlaubte API Kommandos{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }
• CloudTrail/große EC2 Instanz-Typen{ ($.eventName = RunInstances) && (($.requestParameters.instanceType = *.8xlarge) || ($.requestParameters.instanceType = *.4xlarge)) }
• CloudTrail/Veränderung an CloudTrail{ ($.eventName = CreateTrail) || ($.eventName = UpdateTrail) || ($.eventName = DeleteTrail) || ($.eventName = StartLogging) || ($.eventName = StopLogging) }
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.021
Beispiele
• CloudTrail/Veränderung von IMA Richtlinien{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.022
CloudTrail / Anmeldeversuche an der AWS Konsole
CloudTrail
Quelle: CloudTrail Events in CloudWatch Logs
Dienst: CloudWatch Logs Metric Filter
Filter: { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
Alarm: Summe >= 3 in 5 minute(s)
Aktion: Send E-Mail notifications
Metric Filter+ Alarm
CloudWatchLogs
Email / SMS
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.023
CloudWatch Logs + Lambda
LambdaParsing Logic
Action
SNS Email / SMS
CloudWatchLogs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.024
Gegenmaßnamen
• Verwendung der AWS Konsole ohne MFA-Gerät=> Benutzer sperren
• Fehlgeschlagene Anmeldeversuche an der AWS Konsole=> Benutzer sperren
• Verwendung der AWS API ohne MFA-Gerät=> API Zugriff sperren
• Verwendung großer EC2 Instanz-Typen=> Stoppen der Instanzen
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.025
Einschränkungen / Kosten
• Lambda Funktionen pro AWS Account
• Kosten für Langzeitarchivierung
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.026
Kinesis
Amazon S3
LambdaParsing Logic
Action
SNS Email / SMS
Überwachung mit CloudWatch Logs
CloudWatchLogs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.027
Überwachung von CloudTrail / Config via S3
CloudTrail S3 BucketCloudTrail Logs
LambdaParsing Logic
Action
SNS Email / SMS
Config S3 BucketConfig Logs
< 15 m
< 6h
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.028
Überwachung von CloudFront / S3 / ELB via S3
S3 BucketCloudTrail Logs
LambdaParsing Logic
Action
SNS Email / SMS
S3 BucketELB Logs
ELB
CloudFront
S3 S3 BucketCloudTrail Logs
< 15 m
< 15 m
< 15 m
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.029
Überwachung Config via SNS / Rules
LambdaParsing Logic
Action
SNS Email / SMS
< 1 m
Config
SNS
Triggered Rules
Schedule Rules
Instant
Defined
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.030
Überwachung CloudWatch Events
Lambda
Action
SNS
CloudWatchEvents
Kinesis
CloudWatchRules
OS & App Logs
CloudTrail
Lambda
EC2
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.031
Einblick & Verständnis
KibanaElastic Search
CloudWatchLogs
LambdaVPC Flow LogsOS & App Logs
& &
CloudTrail Amazon S3Config
&
ELBCloudFront S3
& & &
CloudTrail
&
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.032
Zusammenfassung
AWS Accounts
CloudWatchLogs
CloudTrail
Config
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
S3
Region 1
+ Versioning+ MFA Delete+ Replication
Region 2
+ Versioning+ MFA Delete
Lambda
OS & App Logs
Kinesis
Kibana
Elastic Search
Action
SNS
Email / SMSKibana
AWS Logging Account
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.033
Lambda im Detail
AWS Security Blog by Sébastien Stormacq
How to Receive Alerts When Specific APIs Are Called by Using AWS CloudTrail, Amazon SNS, andAWS Lambda (May 15, 2015)
https://blogs.aws.amazon.com/security/post/Tx2ZTUVN2VGBS85/
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.034
Zusammenspiel der AWS Dienste
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail LogsAmazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
1 2 4 5
3
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.035
Prozess Schritt #1
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail LogsAmazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
1
• CloudTrail erstellt Protokolleinträge für API Aufrufe.
• CloudTrail aggregiert Protokolleinträge in einer JSON Text Datei, komprimiert und speichert diese im konfigurierten S3 Bucket.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.036
Prozess Schritt #2
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail LogsAmazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
2
• Die Logik zur Verarbeitung der Logzeilen steckt in einer Lambda Funktion.
• Die Lambda Funktion wird durch S3 aufgerufen, wenn von CloudTraileine neue Datei hochgeladen wird.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.037
Prozess Schritt #3
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail LogsAmazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
3
• Die Lambda Funktion lädt beim Start eine Konfigurationsdatei herunter, in der die gewünschten Suchfilter enthalten sind.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.038
Prozess Schritt #4
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail LogsAmazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
4
• Bei Filter-Treffern übergibt Lambda Benachrichtigungen an SNS.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.039
Prozess Schritt #5
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail LogsAmazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
5
• SNS verteilt die Benachrichtigungen an Abonnenten.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.040
Konfiguration
• S3 Bucket erstellen
• SNS Topic erstellen
• Abonnements bestätigen
• CloudTrail konfigurieren
• IAM Rolle für Lambda Funktion erstellen
• Lambda Funktion erstellen
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.041
Lambda Schritt für Schritt
1. CloudTrail speichert eine neue Protokolldatei auf S3.
2. S3 ruft die verknüpfte Lambda Funktion auf und übergibt JSON Struktur.
3. Lambda läd die Konfigurationsdatei herunter.
4. Lambda findet in S3 JSON Struktur den Pfad der CloudTrailProtokolldatei.
5. Lambda läd die CloudTrail Protokolldatei herunter.
6. Lambda dekomprimiert die Protokolldatei.
7. Lambda verwendet konfigurierte Suchfilter.
8. Lambda verschickt Benachrichtigungen.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.042
S3 JSON Struktur{"Records": [{"eventVersion": "2.0","eventSource": "aws:s3","awsRegion": "us-east-1","eventTime": "2016-01-12T21:08:30.487Z","eventName": "ObjectCreated:Put","userIdentity": {"principalId": "AWS:AROAI6ZMWVXR3IZ6MKNSW:i-4ff1b7a5"},"requestParameters": {"sourceIPAddress": "54.211.178.99"},"responseElements": {"x-amz-request-id": "F104F805121C9B79","x-amz-id-2": "Lf8hbNPkrhLAT4sHT7iBYFnIdCJTmxcr1ClX93awYfF530O9AijCgja19rk3MyMF"},"s3": {"s3SchemaVersion": "1.0","configurationId": "quickCreateConfig","bucket": {"name": "awsuglog.awscloudtrail","ownerIdentity": {"principalId": "AH42GJUX5WBQT"},"arn": "arn:aws:s3:::awsuglog.awscloudtrail"},"object": {"key": "AWSLogs/123456789012/CloudTrail/us-east-1/2015/09/12/123456789012_CloudTrail_us-east-
1_20150912T1810Z_G1dfnHn3Occee7Yb.json.gz","size": 2331,"eTag": "63d801bb561037f59f2cb4d1c03c2392"
}}}]}
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.043
CloudTrail JSON Struktur{
"eventVersion": "1.02",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012"
},
"eventTime": "2016-01-12T18:06:19Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "92.72.234.83",
"userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "Yes"
},
"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.044
Benachrichtigungen
ACHTUNG: Der Root User hat sich erfolgreich an der Konsole von Account
123456789012 angemeldet.
userIdentity/type : Root
userIdentity/principalId : 123456789012
userIdentity/arn : arn:aws:iam::123456789012:root
userIdentity/accountId : 123456789012
eventTime : 2016-01-12T18:06:19Z
eventSource : signin.amazonaws.com
eventName : ConsoleLogin
awsRegion : us-east-1
sourceIPAddress : 92.72.234.83
userAgent : Mozilla/5.0 (Windows NT 6.3; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
requestParameters : null
responseElements : {"ConsoleLogin":"Success"}
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.045
Was überwachen?
• CloudTrail / Verwendung des Root Users bzw. der "IAM Master” Rolle
=> Alarm per SMS / E-Mail
• CloudTrail / Deaktivierung von CloudTrail
=> Alarm per SMS / E-Mail / Re-Aktivierung von CloudTrail
• CloudTrail / Erfolgreicher Zugriff von unbekannten IP-Adressen
=> Alarm per SMS / E-Mail / Zugang sperren
• CloudTrail / Verwendung der "IAM Manager" Rolle
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• Config o. API / Existenz von Root User API Access Keys
=> Tägliche Zusammenfassung per E-Mail / Deaktivieren des Access Keys
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.046
Was überwachen?
• Config o. API / Fehlen von Bedingungen bei "IAM Master", "IAM Manager" Rolle
=> Tägliche Zusammenfassung per E-Mail / Aktivierung der Bedingungen
• Config o. API / Fehlen von CloudTrail in AWS Regionen
=> Tägliche Zusammenfassung per E-Mail / Aktivierung von CloudTrail
• CloudTrail / Aufruf von Kommandos ohne Berechtigung
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• CloudTrail / Verweigerte Zugriffe von unbekannten IP-Adressen
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• CloudTrail / Erfolgreiche Zugriffe von unbekannten Benutzern
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.047
Automatisierung
• AWS CloudTrail
für alle Regionen
• AWS CloudFormation
CloudTrail / CloudWatch Logs / Metrik Filter + Alarme
• AWS SDKs
Python (Boto3), PowerShell / .NET, Java, Ruby, C++, Go,
• AWS Partner
Technology Partner Security
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.048
AWS Security Blog
https://blogs.aws.amazon.com/security/
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.049
Copyright (CC BY-NC-ND 3.0)
Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/legalcode
Sie dürfen:
• Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
Unter folgenden Bedingungen:
• Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
• Nicht kommerziell — Sie dürfen das Material nicht für kommerzielle Zwecke nutzen.
• Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen dürfen Sie die bearbeitete Fassung der Materials nicht verbreiten.
• Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.
Donnerstag, 28. Januar 2016 09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.050