Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie die Network Firewall, um die DNS Domainnamen aus der Servernamenanzeige (SNI) für ausgehenden Datenverkehr zu erfassen
Erstellt von Kirankumar Chandrashekar () AWS
Umgebung: PoC oder Pilotprojekt | Technologien: Sicherheit, Identität, Compliance; Netzwerke; Web- und mobile Apps | Arbeitslast: Alle anderen Workloads |
AWSDienste: AWS Lambda; AWS Network Firewall; AmazonVPC; Amazon Logs CloudWatch |
Übersicht
Dieses Muster zeigt Ihnen, wie Sie die Amazon Web Services (AWS) Network Firewall verwenden, um die DNS Domainnamen zu sammeln, die durch die Server Name Indication (SNI) im HTTPS Header Ihres ausgehenden Netzwerkverkehrs bereitgestellt werden. Network Firewall ist ein verwalteter Service, der es einfach macht, wichtige Netzwerkschutzmaßnahmen für Amazon Virtual Private Cloud (AmazonVPC) bereitzustellen, einschließlich der Möglichkeit, ausgehenden Datenverkehr mit einer Firewall zu sichern, die Pakete blockiert, die bestimmte Sicherheitsanforderungen nicht erfüllen. Die Sicherung des ausgehenden Datenverkehrs zu bestimmten DNS Domainnamen wird als Ausgangsfilterung bezeichnet. Dabei handelt es sich um eine Methode, bei der der ausgehende Informationsfluss von einem Netzwerk in ein anderes überwacht und möglicherweise eingeschränkt wird.
Nachdem Sie die SNI Daten erfasst haben, die die Network Firewall passieren, können Sie Amazon CloudWatch Logs und AWS Lambda verwenden, um die Daten in einem Amazon Simple Notification Service (AmazonSNS) -Thema zu veröffentlichen, das E-Mail-Benachrichtigungen generiert. Die E-Mail-Benachrichtigungen enthalten den Servernamen und andere relevante SNI Informationen. Darüber hinaus können Sie die Ausgabe dieses Musters verwenden, um ausgehenden Datenverkehr anhand des Domainnamens mithilfe SNI von Firewallregeln zuzulassen oder einzuschränken. Weitere Informationen finden Sie unter Arbeiten mit statusbehafteten Regelgruppen in der AWS Network Firewall in der Netzwerk-Firewall-Dokumentation.
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives Konto AWS
AWSCommand Line Interface (AWSCLI) Version 2, installiert und konfiguriert unter Linux, macOS oder Windows
Network Firewall, in Amazon eingerichtet und konfiguriert VPC und zur Überprüfung des ausgehenden Datenverkehrs verwendet
Hinweis: Die Network Firewall kann jede der folgenden VPC Konfigurationen verwenden:
Architektur
Das folgende Diagramm zeigt, wie die Network Firewall verwendet wird, um SNI Daten aus ausgehendem Netzwerkverkehr zu sammeln und diese Daten dann mithilfe von CloudWatch Logs und Lambda in einem SNS Thema zu veröffentlichen.
Das Diagramm zeigt den folgenden Workflow:
Die Network Firewall erfasst Domainnamen aus den SNI Daten im HTTPS Header Ihres ausgehenden Netzwerkverkehrs.
CloudWatch Logs überwacht die SNI Daten und ruft eine Lambda-Funktion auf, wenn der ausgehende Netzwerkverkehr die Network Firewall passiert.
Die Lambda-Funktion liest die von CloudWatch Logs erfassten SNI Daten und veröffentlicht diese Daten dann in einem SNS Thema.
Das SNS Thema sendet Ihnen eine E-Mail-Benachrichtigung, die die SNI Daten enthält.
Automatisierung und Skalierung
Sie können AWS CloudFormationes verwenden, um dieses Muster zu erstellen, indem Sie Infrastruktur als Code verwenden.
Technologie-Stack
CloudWatch Amazon-Protokolle
Amazon SNS
Amazon VPC
AWSLambda
AWS Network Firewall
Tools
AWSDienstleistungen
Amazon CloudWatch Logs — Sie können Amazon CloudWatch Logs verwenden, um Ihre Protokolldateien von Amazon Elastic Compute Cloud (AmazonEC2) -Instances, AWS CloudTrail Amazon Route 53 und anderen Quellen zu überwachen, zu speichern und darauf zuzugreifen.
Amazon SNS — Amazon Simple Notification Service (AmazonSNS) ist ein verwalteter Service, der die Nachrichtenzustellung von Verlagen an Abonnenten (auch bekannt als Produzenten und Verbraucher) ermöglicht.
Amazon VPC — Amazon Virtual Private Cloud (AmazonVPC) stellt einen logisch isolierten Bereich der AWS Cloud bereit, in dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Dieses virtuelle Netzwerk ähnelt stark einem herkömmlichen Netzwerk, das Sie in Ihrem eigenen Rechenzentrum betreiben würden, und bietet die Vorteile der Nutzung der skalierbaren Infrastruktur vonAWS.
AWSLambda — AWS Lambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitzustellen oder zu verwalten.
AWSNetwork Firewall — Die AWS Network Firewall ist ein verwalteter Service, mit dem Sie auf einfache Weise wichtige Netzwerkschutzmaßnahmen für Ihr gesamtes VPCs Amazon-Netzwerk einrichten können.
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie eine CloudWatch Protokollgruppe. |
Weitere Informationen finden Sie in der CloudWatch Dokumentation unter Arbeiten mit Protokollgruppen und Protokollströmen. | Cloud-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Ein SNS-Thema erstellen. | Folgen Sie den Anweisungen in der SNSAmazon-Dokumentation, um ein SNS Thema zu erstellen. | Cloud-Administrator |
Abonnieren Sie einen Endpunkt für das SNS Thema. | Um eine E-Mail-Adresse als Endpunkt für das von Ihnen erstellte SNS Thema zu abonnieren, folgen Sie den Anweisungen in der SNSAmazon-Dokumentation. Wählen Sie unter Protokoll die Option Email/Email - aus. JSON Hinweis: Sie können je nach Ihren Anforderungen auch einen anderen Endpunkt auswählen. | Cloud-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Aktivieren Sie die Firewall-Protokollierung. |
Weitere Informationen zur Verwendung von CloudWatch Logs als Protokollziel für die Network Firewall finden Sie unter Amazon CloudWatch Logs in der Dokumentation zur Network Firewall. | Cloud-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie eine Stateful-Regel. |
| Cloud-Administrator |
Ordnen Sie die statusbehaftete Regel der Network Firewall zu. |
| Cloud-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Erstellen Sie den Code für die Lambda-Funktion. | Fügen Sie in einer integrierten Entwicklungsumgebung (IDE), die das CloudWatch Logs-Ereignis von der Network Firewall für ausgehenden Datenverkehr lesen kann, den folgenden Python-3-Code ein und
Dieses Codebeispiel analysiert den Inhalt der CloudWatch Protokolle und erfasst den Servernamen, der SNI in der HTTPS Kopfzeile angegeben wird. | App-Developer |
So erstellen Sie die Lambda-Funktion: | Um die Lambda-Funktion zu erstellen, folgen Sie den Anweisungen in der Lambda-Dokumentation und wählen Sie Python 3.9 für Runtime. | Cloud-Administrator |
Fügen Sie den Code zur Lambda-Funktion hinzu. | Folgen Sie den Anweisungen in der Lambda-Dokumentation, um Ihren Python-Code zu der zuvor erstellten Lambda-Funktion hinzuzufügen. | Cloud-Administrator |
Fügen Sie CloudWatch Logs als Trigger zur Lambda-Funktion hinzu. |
Weitere Informationen finden Sie unter Using Lambda with CloudWatch Logs in der Lambda-Dokumentation. | Cloud-Administrator |
Fügen Sie SNS Veröffentlichungsberechtigungen hinzu. | Fügen Sie der Lambda-Ausführungsrolle die Berechtigung sns:Publish hinzu, sodass Lambda API Aufrufe zum Veröffentlichen von Nachrichten an tätigen kann. SNS
| Cloud-Administrator |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Senden Sie den Datenverkehr über die Network Firewall. |
Überprüfen Sie dann das Warnprotokoll der Network Firewall bei Amazon, CloudWatch indem Sie den Anweisungen in der CloudWatch Amazon-Dokumentation folgen. Das Warnungsprotokoll zeigt die folgende Ausgabe:
| Testingenieur |