Post on 31-Mar-2018
AWSAccountManagementimUnternehmensumfeld
AndreasHeidötting – Director SystemsAdmin,Nasdaq
CreativeCommons:Namensnennung - Nicht-kommerziell- KeineBearbeitung3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummit FrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.01
„DasWichtigstezuerst“/„Die10AWSGebote“
1. MehrereAWSAccountsverwenden2. Zugriffsrechteeinschränken3. RootZugangAPIZugriffentziehenundMFAaktivieren4. IAMRollen&Zugriffsbedingungenverwenden5. ProtokollierungundAlarmierungbeiAuffälligkeiteneinschalten6. Kontaktdatenkontrollieren7. ZusätzlicheAnsprechpartneranlegen8. Sicherheitsfragenvergeben9. AmazonE-Mailskontrollieren10. AWSSecurityBloglesen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummit FrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.02
Rückblick
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.03
2160
150
356
050100150200250300350400
2013 2014 2015 2016
Accounts
Inhalt
• VerwendungmehrererAWSAccounts• VermeidungvonKonsequenzen• Aufgaben- undFunktionstrennung• Ressourcen- undBenutzerverwaltung• SchutzvonLogfiles,Backups,geistigemEigentum• AbsicherungderAWSZugänge• Angriffserkennung,AlarmierungundAbwehr
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.04
Risiken
• UnberechtigterZugriffaufdieAWSAPIsundsomitaufAWSKonsole
• VerlustderKontrolleüberRessourcen- undBenutzerverwaltung
• Verlustbzw.ManipulationvonDaten,Logfiles,SourceCode
• ZusätzlicheKosten,diedurchdenMissbrauchentstehen
• HaftungfürdiedurchdenMissbrauchentstehendenSchäden
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.05
SicherheitbeieinemAccount
AWSAccount
CodeCommit
CodeDeploy
CodePipeline
CloudWatch Logs
CloudTrail
Config
Identity&AccessManagement
RootUser
Policies
Groups
Users
Development
EC2 RDS
Production
EC2 RDS
Test
EC2 RDS
DisasterRecovery
EC2 RDS
PasswordPolicy
+
+
S3 LogfilesBackups
Lambda
ElasticLoadBalancing
VPCFlowLogs
CloudFront
IntellectualProperty
Conditions
TesterDeveloper Operations Network Security Audit HackerServiceDesk Storage DataBase
SecurityChallenge
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.06
MehrereAccounts
Test
Production
DisasterRecovery Billing
Logging
Backup
IntellectualPropertyDevelopment
Access &IdentityManagement
Hacker
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.07
Abrechnung
Test
Production
DisasterRecovery
Billing
Logging
Backup
IntellectualProperty
Development Identity&AccessManagement
S3DetailedBilling
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.08
Identitäts- undZugriffsverwaltung
Identity&AccessManagement
RootUser
Policies
Groups
Users
PasswordPolicy
+
+
Conditions
SecurityChallenge
Identity&AccessManagement Example
Identity&AccessManagement
RootUser
Policies
Roles
+
Conditions
SecurityChallenge
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
DataBase
Test
Production
DisasterRecovery
Billing
Logging
Backup
IntellectualProperty
Roles
Development
Roles
Roles
Roles Roles
Roles
Roles
Roles
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.09
SystemumgebungenRoles Identity&Access Development Test Production DisasterRecovery
IAMMaster Create/ModifyPolicies /EnableIAMManager
IAMManager CreateRoles/UsePre-DefinedPolicies
Developer
Tester
Operations
ServiceDesk
Network
Storage
DataBase
Security
Audit
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.010
Systemumgebungen
Identity&AccessManagement
Policies
Groups
Users
PasswordPolicy
+
Conditions
Identity&AccessManagement
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
DataBase
Application1
EC2 RDS
Application2
EC2 RDS
Production
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Development
Roles
Application1
EC2 RDS
Application2
EC2 RDS
DisasterRecovery
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Test
Roles
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.011
Identitäts- undZugriffsverwaltung
• AbsicherndesAWSRoot Users• SetzeneinersicherenPasswort-Richtlinie• ErstellenvonIAMBenutzern• VerwendungvonMulti-Faktor-Authentifizierungs-Geräten• VerwendungvonIAMGruppen• VergabevonminimalenZugriffsrechten• EinschränkungdesZugriffsdurchBedingungeninRichtlinien• VerwendungeinerzentralenBenutzerverwaltung• VerwendungvonIAMRollen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.012
Protokollierung
Identity&AccessManagement
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
DataBase
CloudTrail
Config
EnvironmentAccounts[Development]
[Test][Production]
[DisasterRecovery]IntellectualProperty
CloudWatch Logs
CloudTrail
Config
Lambda
ElasticLoadBalancing
VPCFlowLogs
CloudFront
S3
BackupAccount
CloudTrail
Config
BillingAccount
CloudTrail
Config
Logging Account
Region 1
+Versioning+MFADelete+Replication
Region 2
+Versioning+MFADelete
LambdaSQS SES
SNS
SNS
SNS
SNS
Config
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.013
Datensicherung
Application1
EC2 RDS
Application2
EC2 RDS
Production
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Development
Roles
Application1
EC2 RDS
Application2
EC2 RDS
DisasterRecovery
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Test
Roles Users +
BackupAccount
Region 1
S3+Versioning+MFADelete+Replication
Region 2
EBSSnapshots+ Sharing+Copy+Replication
RDSSnapshots+Sharing+Copy+Replication
EBSSnapshots+ Sharing+Copy
RDSSnapshots+Sharing+Copy
S3+Versioning+MFADelete
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.014
GeistigesEigentum
CodeCommit
CodeDeploy
CodePipeline
IntellectualProperty
S3+Versioning+MFADelete
EC2AMIs+Sharing
ReproducibleBuilds
Application1 Application2
Production
Application1
EC2
Application2
Development
Application1 Application2
DisasterRecovery
Application1 Application2
Test
EC2SharedAMIs
CodeDeploy
EC2
CodeDeploy
EC2 EC2
CodeDeploy
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
EC2SharedAMIs
EC2SharedAMIsEC2SharedAMIsOpsWorks
DesiredStateConfiguration
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.015
Funktionsumgebungen
Roles Billing Logging Backup IntellectualProperty
IAMMaster Create/ModifyPolicies /EnableIAMManager
IAMManager CreateRoles/UsePre-DefinedPolicies
Developer
Tester
Operations
ServiceDesk
Network
Storage
DataBase
Security
Audit
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.016
Funktionsumgebungen
• AktivierungderProtokollierung• AggregierenvonLogfiles• SchutzvonLogfiles• ToolszurAnalyseundÜberwachung• ErstellungvonBackups• ZentralisierungvonBackups• SchutzvonBackups• ZentralisierungvongeistigemEigentum• SchutzvongeistigemEigentum
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.017
IAMCredential Report
• VerwendungdesIAMCredential Reports• EntfernenvonungenutztenIAMUsern• EntfernenvonungenutztenIAMUserKonsolen-Passwörtern• EntfernenvonungenutztenIAMUserAPIAccessKeys• ZweiAPIAccessKeysproIAMUser• RotationderAPIAccessKeys• KeineAPIAccessKeysfürdenAWSRoot User,IAMMaster,IAMManager• IAMRollenfürApplikationen,dieaufAmazonEC2Instancelaufen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.018
Erreichbarkeit
• KontrolledereignenKontaktdaten
• ZusätzlicheAnsprechpartner
• KontrolledervonAmazonverschicktenE-Mails
• VergabevonSicherheitsfragen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.019
Überblick
Donnerstag,30.Juni 201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementim Unternehmensumfeld
CCBY-NC-ND3.020
Billing Logging Backup IntellectualProperty
Development|Test|Production|DisasterRecovery
Identity&Access
+
ÜberwachungmitCloudWatch Logs
MetricFilter+Alarm
CloudWatchLogs
VPCFlow
OS&AppLogs
CloudTrail
Lambda
Email/SMS
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.021
CloudWatch Logs+Metric Filter/Alarm
• VerwendungdesRoot Users• VerwendungderAWSKonsoleohneMFA-Gerät• VerwendungderAWSAPIohneMFA-Gerät• FehlgeschlageneAnmeldeversucheanderAWSKonsole• VerwendungvonnichterlaubtenAPIKommandos• VeränderungvonIAMRichtlinien• VerwendunggroßerEC2Instanz-Typen• VeränderungderCloudTrail-Einstellungen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.022
CloudTrail /Root User
CloudTrail
Quelle: CloudTrail EventsinCloudWatch Logs
Dienst: CloudWatch LogsMetricFilter
Filter: {$.userIdentity.type ="Root"&&
$.userIdentity.invokedBy NOTEXISTS&&
$.eventType !="AwsServiceEvent"}
Alarm: Summe >=1in5minute(s)
Aktion: SendE-Mailnotifications
MetricFilter+Alarm
CloudWatchLogs
Email/SMS
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.023
CloudTrail JSONStruktur{"eventVersion": "1.02","userIdentity": {"type": "Root","principalId": "123456789012","arn": "arn:aws:iam::123456789012:root","accountId": "123456789012"
},"eventTime": "2016-01-12T18:06:19Z","eventSource": "signin.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "92.72.234.83","userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36","requestParameters": null,"responseElements": {"ConsoleLogin": "Success"
},"additionalEventData": {"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true","MobileVersion": "No","MFAUsed": "Yes"
},"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb","eventType": "AwsApiCall","recipientAccountId": "123456789012"
}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.024
CloudTrail /AnmeldeversucheanderAWSKonsole
CloudTrail
Quelle: CloudTrail EventsinCloudWatch Logs
Dienst: CloudWatch LogsMetricFilter
Filter: {($.eventName =ConsoleLogin) &&($.errorMessage ="Failed authentication") }
Alarm: Summe >=3 in5minute(s)
Aktion: SendE-Mailnotifications
MetricFilter+Alarm
CloudWatchLogs
Email/SMS
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.025
Beispiele
• CloudTrail/AWSKonsoleohneMFA-Gerät{$.eventName ="ConsoleLogin"&&$.additionalEventData.MFAUsed !="No"}• CloudTrail/AWSAPIsohneMFA-Gerät{$.userIdentity.sessionContext.attributes.mfaAuthenticated !="true"• CloudTrail/nichterlaubteAPIKommandos{($.errorCode ="*UnauthorizedOperation") ||($.errorCode ="AccessDenied*")}• CloudTrail/großeEC2Instanz-Typen{($.eventName =RunInstances)&&(($.requestParameters.instanceType =*.8xlarge)||($.requestParameters.instanceType =*.4xlarge))}• CloudTrail/VeränderunganCloudTrail{($.eventName =CreateTrail)||($.eventName =UpdateTrail)||($.eventName =DeleteTrail)||($.eventName =StartLogging)||($.eventName =StopLogging)}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.026
Beispiele
• CloudTrail/VeränderungvonIMARichtlinien{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.027
Nächste Schritte
• Creating CloudWatch Alarmsfor CloudTrail Events:Exampleshttp://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html
• Using anAWSCloudFormation Templateto CreateCloudWatch Alarmshttp://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.028
Nächste Schritte
• AWSRepositoryfor CloudWatch Alarms/CloudTrail Events<URL&QRCodeEinfügen>
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.029
Automatisierung
• AWSCloudTrailfüralleRegionen
• AWSCloudFormationCloudTrail /CloudWatch Logs/MetrikFilter+Alarme
• AWSSDKsPython(Boto3),PowerShell /.NET,Java,Ruby,C++,Go,
• AWSPartnerTechnologyPartnerSecurity
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.030
AWSSecurityBlog
https://blogs.aws.amazon.com/security/
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.031
Kontakt
https://www.xing.com/profile/Andreas_Heidoetting
https://de.linkedin.com/in/andhei
Donnerstag,30.Juni 201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementim Unternehmensumfeld
CCBY-NC-ND3.032
Copyright(CCBY-NC-ND3.0)
Namensnennung- Nicht-kommerziell- KeineBearbeitung3.0http://creativecommons.org/licenses/by-nc-nd/3.0/de/legalcode
Siedürfen:• Teilen— dasMaterialinjedwedemFormatoderMediumvervielfältigenundweiterverbreitenUnterfolgendenBedingungen:• Namensnennung— Siemüssen angemesseneUrheber- undRechteangabenmachen,einenLinkzurLizenzbeifügenundangeben,ob Änderungenvorgenommenwurden.DieseAngabendürfeninjederangemessenenArtundWeisegemachtwerden,allerdingsnichtso,dassderEindruckentsteht,derLizenzgeberunterstützegeradeSieoderIhreNutzungbesonders.
• Nichtkommerziell — SiedürfendasMaterialnichtfür kommerzielleZwecke nutzen.• KeineBearbeitungen—WennSiedasMaterial remixen,verändernoderdaraufanderweitigdirektaufbauen dürfenSiediebearbeiteteFassungderMaterialsnichtverbreiten.
• KeineweiterenEinschränkungen—SiedürfenkeinezusätzlichenKlauselnoder technischeVerfahreneinsetzen,dieanderenrechtlichirgendetwasuntersagen,wasdieLizenzerlaubt.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.033
CloudWatch Logs+Lambda
LambdaParsingLogic
Action
SNS Email/SMS
CloudWatchLogs
VPCFlow
OS&AppLogs
CloudTrail
Lambda
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.034
Gegenmaßnamen
• VerwendungderAWSKonsoleohneMFA-Gerät=>Benutzersperren
• FehlgeschlageneAnmeldeversucheanderAWSKonsole=>Benutzersperren
• VerwendungderAWSAPIohneMFA-Gerät=>APIZugriffsperren
• VerwendunggroßerEC2Instanz-Typen=>StoppenderInstanzen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.035
Einschränkungen/Kosten
• LambdaFunktionenproAWSAccount
• KostenfürLangzeitarchivierung
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.036
Kinesis
AmazonS3
LambdaParsingLogic
Action
SNS Email/SMS
ÜberwachungmitCloudWatch Logs
CloudWatchLogs
VPCFlow
OS&AppLogs
CloudTrail
Lambda
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.037
ÜberwachungvonCloudTrail /Config viaS3
CloudTrail S3BucketCloudTrail Logs
LambdaParsingLogic
Action
SNS Email/SMS
Config S3BucketConfig Logs
<15m
<6h
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.038
ÜberwachungvonCloudFront /S3/ELBviaS3
S3BucketCloudTrail Logs
LambdaParsingLogic
Action
SNS Email/SMS
S3BucketELBLogs
ELB
CloudFront
S3 S3BucketCloudTrail Logs
<15m
<15m
<15m
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.039
ÜberwachungConfig viaSNS/Rules
LambdaParsingLogic
Action
SNS Email/SMS
<1m
Config
SNS
TriggeredRules
ScheduleRules
Instant
Defined
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.040
ÜberwachungCloudWatch Events
Lambda
Action
SNS
CloudWatchEvents
Kinesis
CloudWatchRules
OS&AppLogs
CloudTrail
Lambda
EC2
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.041
Einblick&Verständnis
KibanaElasticSearch
CloudWatchLogs
LambdaVPCFlowLogsOS&AppLogs
& &
CloudTrail AmazonS3Config
&
ELBCloudFront S3
& & &
CloudTrail
&
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.042
Zusammenfassung
AWSAccounts
CloudWatchLogs
CloudTrail
Config
Lambda
ElasticLoadBalancing
VPCFlowLogs
CloudFront
S3
Region 1
+Versioning+MFADelete+Replication
Region 2
+Versioning+MFADelete
Lambda
OS&AppLogs
Kinesis
Kibana
ElasticSearch
Action
SNS
Email/SMSKibana
AWSLoggingAccount
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.043
LambdaimDetail
AWSSecurityBlogby SébastienStormacqHow to Receive Alerts When Specific APIsAreCalled by Using AWSCloudTrail,AmazonSNS,andAWSLambda(May15,2015)
https://blogs.aws.amazon.com/security/post/Tx2ZTUVN2VGBS85/
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.044
ZusammenspielderAWSDienste
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
1 2 4 5
3
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.045
ProzessSchritt#1
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
1
• CloudTrail erstelltProtokolleinträgefürAPIAufrufe.• CloudTrail aggregiertProtokolleinträgeineinerJSONTextDatei,komprimiertundspeichertdieseimkonfiguriertenS3Bucket.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.046
ProzessSchritt#2
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
2
• DieLogikzurVerarbeitungderLogzeilenstecktineinerLambdaFunktion.• DieLambdaFunktionwirddurchS3aufgerufen,wennvonCloudTraileineneueDateihochgeladenwird.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.047
ProzessSchritt#3
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
3
• DieLambdaFunktionlädtbeimStarteineKonfigurationsdateiherunter,inderdiegewünschtenSuchfilterenthaltensind.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.048
ProzessSchritt#4
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
4
• BeiFilter-TreffernübergibtLambdaBenachrichtigungenanSNS.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.049
ProzessSchritt#5
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
5
• SNSverteiltdieBenachrichtigungenanAbonnenten.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.050
Konfiguration
• S3Bucket erstellen
• SNSTopicerstellen
• Abonnementsbestätigen
• CloudTrail konfigurieren
• IAMRollefürLambdaFunktionerstellen
• LambdaFunktionerstellenDonnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.051
LambdaSchrittfürSchritt
1. CloudTrail speicherteineneueProtokolldateiaufS3.2. S3ruftdieverknüpfteLambdaFunktionaufundübergibtJSONStruktur.3. Lambdaläd dieKonfigurationsdateiherunter.4. LambdafindetinS3JSONStrukturdenPfadderCloudTrail
Protokolldatei.5. Lambdaläd dieCloudTrail Protokolldateiherunter.6. LambdadekomprimiertdieProtokolldatei.7. LambdaverwendetkonfigurierteSuchfilter.8. LambdaverschicktBenachrichtigungen.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.052
S3JSONStruktur{"Records": [{"eventVersion": "2.0","eventSource": "aws:s3","awsRegion": "us-east-1","eventTime": "2016-01-12T21:08:30.487Z","eventName": "ObjectCreated:Put","userIdentity": {"principalId": "AWS:AROAI6ZMWVXR3IZ6MKNSW:i-4ff1b7a5"
},"requestParameters": {"sourceIPAddress": "54.211.178.99"
},"responseElements": {"x-amz-request-id": "F104F805121C9B79","x-amz-id-2": "Lf8hbNPkrhLAT4sHT7iBYFnIdCJTmxcr1ClX93awYfF530O9AijCgja19rk3MyMF"
},"s3": {"s3SchemaVersion": "1.0","configurationId": "quickCreateConfig","bucket": {"name": "awsuglog.awscloudtrail","ownerIdentity": {"principalId": "AH42GJUX5WBQT"
},"arn": "arn:aws:s3:::awsuglog.awscloudtrail"},"object": {"key": "AWSLogs/123456789012/CloudTrail/us-east-1/2015/09/12/123456789012_CloudTrail_us-east-
1_20150912T1810Z_G1dfnHn3Occee7Yb.json.gz","size": 2331,"eTag": "63d801bb561037f59f2cb4d1c03c2392"
}}}]}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.053
CloudTrail JSONStruktur{"eventVersion": "1.02","userIdentity": {"type": "Root","principalId": "123456789012","arn": "arn:aws:iam::123456789012:root","accountId": "123456789012"
},"eventTime": "2016-01-12T18:06:19Z","eventSource": "signin.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "92.72.234.83","userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36","requestParameters": null,"responseElements": {"ConsoleLogin": "Success"
},"additionalEventData": {"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true","MobileVersion": "No","MFAUsed": "Yes"
},"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb","eventType": "AwsApiCall","recipientAccountId": "123456789012"
}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.054
Benachrichtigungen
ACHTUNG: Der Root User hat sich erfolgreich an der Konsole von Account 123456789012 angemeldet.
userIdentity/type : RootuserIdentity/principalId : 123456789012userIdentity/arn : arn:aws:iam::123456789012:rootuserIdentity/accountId : 123456789012eventTime : 2016-01-12T18:06:19ZeventSource : signin.amazonaws.comeventName : ConsoleLoginawsRegion : us-east-1sourceIPAddress : 92.72.234.83userAgent : Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36requestParameters : nullresponseElements : {"ConsoleLogin":"Success"}Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.055
Wasüberwachen?
• CloudTrail /VerwendungdesRoot Usersbzw.der"IAMMaster”Rolle=>AlarmperSMS/E-Mail
• CloudTrail /DeaktivierungvonCloudTrail=>AlarmperSMS/E-Mail/Re-AktivierungvonCloudTrail
• CloudTrail /ErfolgreicherZugriffvonunbekanntenIP-Adressen=>AlarmperSMS/E-Mail/Zugangsperren
• CloudTrail /Verwendungder"IAMManager"Rolle=>TäglicheZusammenfassungperE-Mail/Kontrolle
• Config o.API/ExistenzvonRoot UserAPIAccessKeys=>TäglicheZusammenfassungperE-Mail/DeaktivierendesAccessKeys
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.056
Wasüberwachen?
• Config o.API/FehlenvonBedingungenbei"IAMMaster","IAMManager"Rolle=>TäglicheZusammenfassungperE-Mail/AktivierungderBedingungen
• Config o.API/FehlenvonCloudTrail inAWSRegionen=>TäglicheZusammenfassungperE-Mail/AktivierungvonCloudTrail
• CloudTrail /AufrufvonKommandosohneBerechtigung=>TäglicheZusammenfassungperE-Mail/Kontrolle
• CloudTrail /VerweigerteZugriffevonunbekanntenIP-Adressen=>TäglicheZusammenfassungperE-Mail/Kontrolle
• CloudTrail /ErfolgreicheZugriffevonunbekanntenBenutzern=>TäglicheZusammenfassungperE-Mail/Kontrolle
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.057