Implemente controles de acceso basados en atributos de detección para subredes públicas mediante AWS Config - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasPrácticas recomendadasEpicsRecursos relacionadosInformación adicional

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Implemente controles de acceso basados en atributos de detección para subredes públicas mediante AWS Config

Creado por Alberto Menendez (AWS)

Resumen

Las arquitecturas de redes perimetrales distribuidas se basan en la seguridad perimetral de la red que se ejecuta junto con las cargas de trabajo de sus nubes privadas virtuales (). VPCs Esto proporciona una escalabilidad sin precedentes en comparación con el enfoque centralizado más común. Si bien la implementación de subredes públicas en las cuentas de carga de trabajo puede ofrecer beneficios, también presenta nuevos riesgos de seguridad porque aumenta la superficie expuesta a ataques. Se recomienda implementar solo los recursos de Elastic Load Balancing, como los balanceadores de carga de aplicaciones o las puertas de enlace NAT, en las subredes públicas de estos. VPCs El uso de equilibradores de carga y puertas de enlace NAT en subredes públicas dedicadas le ayuda a implementar un control detallado del tráfico entrante y saliente.

Le recomendamos que implemente controles preventivos y de detección para limitar los tipos de recursos que se pueden implementar en las subredes públicas. Para obtener más información sobre el uso del control de acceso basado en atributos (ABAC) para implementar controles preventivos en las subredes públicas, consulte Implementación de controles de acceso preventivos basados en atributos para las subredes públicas. Si bien son eficaces en la mayoría de las situaciones, es posible que estos controles preventivos no aborden todos los casos de uso posibles. Por lo tanto, este patrón se basa en el enfoque ABAC y le ayuda a configurar alertas sobre los recursos no conformes que se despliegan en las subredes públicas. La solución comprueba si las interfaces de red elásticas pertenecen a un recurso que no está permitido en las subredes públicas.

Para lograrlo, este patrón utiliza reglas AWS Config personalizadas y ABAC. La regla personalizada procesa la configuración de una interface de red elástica cada vez que se crea o modifica. En un nivel superior, esta regla realiza dos acciones para determinar si la interfaz de red es compatible:

  1. Para determinar si la interfaz de red está dentro del ámbito de aplicación de la regla, la regla comprueba si la subred tiene AWS etiquetas específicas que indican que es una subred pública. Por ejemplo, esta etiqueta podría ser. IsPublicFacing=True

  2. Si la interfaz de red está desplegada en una subred pública, la regla comprueba quién Servicio de AWS creó este recurso. Si el recurso no es un recurso de Elastic Load Balancing o una puerta de enlace NAT, lo marca como no conforme.

Requisitos previos y limitaciones

Requisitos previos 

  • Un activo Cuenta de AWS

  • AWS Config, configurado en la cuenta de carga de trabajo

  • Permisos para implementar los recursos necesarios en la cuenta de carga de trabajo

  • Una VPC con subredes públicas

  • Etiquetas aplicadas correctamente para identificar las subredes públicas de destino

  • (Opcional) Una organización de AWS Organizations

  • (Opcional) Una cuenta de seguridad central que es la administradora delegada de AWS Config y AWS Security Hub

Arquitectura

Arquitectura de destino

Uso de una regla personalizada de AWS Config para detectar recursos no conformes en subredes públicas

En el siguiente diagrama se ilustra lo siguiente:

  1. Cuando se implementa o modifica un recurso de interface de red elástica (AWS::EC2::NetworkInterface), AWS Config captura el evento y la configuración.

  2. AWS Config compara este evento con la regla personalizada utilizada para evaluar la configuración.

  3. Se invoca la AWS Lambda función asociada a esta regla personalizada. La función evalúa el recurso y aplica la lógica especificada para determinar si la configuración del recurso esCOMPLIANT, NON_COMPLIANT oNOT_APPLICABLE.

  4. Si se determina que un recurso lo esNON_COMPLIANT, AWS Config envía una alerta a través de Amazon Simple Notification Service (Amazon SNS).

    nota

    Si esta cuenta es una cuenta de miembro AWS Organizations, puede enviar los datos de conformidad a una cuenta de seguridad central mediante AWS Config o AWS Security Hub.

Lógica de evaluación de funciones Lambda

El siguiente diagrama muestra la lógica aplicada por la función Lambda para evaluar la conformidad de la elastic network interface.

Diagrama de la lógica de la función Lambda

Automatizar y escalar

Este patrón es una solución detectivesca. También puede complementarlo con una regla de corrección para resolver automáticamente cualquier recurso que no cumpla con las normas. Para obtener más información, consulte Corregir los recursos no conformes con reglas. AWS Config

Puede escalar esta solución de la siguiente manera:

  • Exigir la aplicación de las AWS etiquetas correspondientes que establezca para identificar las subredes públicas. Para obtener más información, consulte las políticas de etiquetas en la documentación. AWS Organizations

  • Configurar una cuenta de seguridad central que aplique la regla AWS Config personalizada a todas las cuentas de carga de trabajo de la organización. Para obtener más información, consulte Automatizar el cumplimiento de la configuración a gran escala AWS (entrada del AWS blog).

  • Integrarse AWS Config con AWS Security Hub para capturar, centralizar y notificar a escala. Para obtener más información, consulte Configuración AWS Config en la AWS Security Hub documentación.

Herramientas

  • AWS Configproporciona una vista detallada de los recursos que tiene Cuenta de AWS y de cómo están configurados. Le ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo.

  • Elastic Load Balancing permite distribuir el tráfico entrante de las aplicaciones o de la red entre varios destinos. Por ejemplo, puede distribuir el tráfico entre instancias, contenedores y direcciones IP de Amazon Elastic Compute Cloud (Amazon EC2) en una o más zonas de disponibilidad.

  • AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.

  • Amazon Simple Notification Service (Amazon SNS) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico. 

  • Amazon Virtual Private Cloud (Amazon VPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

Prácticas recomendadas

Para obtener más ejemplos y prácticas recomendadas para desarrollar AWS Config reglas personalizadas, consulte el repositorio de AWS Config reglas oficial en GitHub.

Epics

TareaDescripciónHabilidades requeridas

Crear la función de Lambda.

  1. Inicie sesión en la AWS Lambda consola y AWS Management Console, a continuación, ábrala.

  2. En la página Functions (Funciones), seleccione Create function (Crear función).

  3. Seleccione Crear desde cero.

  4. En el panel de información básica, en Nombre de la función, introduzca un nombre.

  5. En Tiempo de ejecución, seleccione Python 3.12.

  6. Deje la arquitectura establecida en x86_64.

  7. Elija Crear función.

  8. Elija la pestaña Código.

  9. En el explorador de archivos, elija lambda_function.py.

  10. Pegue el código de ejemplo proporcionado en la sección de información adicional de este patrón en la pestaña lambda_function.py. Personalice el código de ejemplo para identificar cualquier lógica de evaluación personalizada de la evaluate_change_notification_compliance función.

  11. Elija Implementar.

AWS general

Añada permisos a la función de ejecución de la función Lambda.

  1. Seleccione Funciones en el panel de navegación.

  2. Elija la función que acaba de crear.

  3. Elija Configuration (Configuración) y, a continuación, seleccione Permissions (Permisos).

  4. Elija el nombre del rol para abrirlo en la consola AWS Identity and Access Management (IAM).

  5. En Políticas de permisos, selecciona Añadir permisos y, a continuación, selecciona Crear política integrada.

  6. Elija JSON.

  7. Pegue la siguiente política en el editor de políticas. Esto permite a la función Lambda:

    • Obtenga los detalles de las etiquetas de subred.

    • Envíe el resultado de la conformidad a AWS Config.

    {

    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "config:PutEvaluations",
                "ec2:DescribeSubnets"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

  8. Elija Siguiente.

  9. Escriba un nombre para la política y elija Create policy (Crear política).

AWS general

Recupere la función de Lambda Amazon Resource Name (ARN).

  1. Abra la consola de Lambda.

  2. Seleccione Funciones en el panel de navegación.

  3. Elija la función que acaba de crear.

  4. En la sección Descripción general de la función, en ARN de la función, copia el valor.

AWS general

Cree la regla AWS Config personalizada.

  1. Abra la consola de AWS Config.

  2. En la página Rules (Reglas), seleccione Add rule (Añadir regla).

  3. En la página Especificar el tipo de regla, elija Crear regla Lambda personalizada y, a continuación, elija Siguiente.

  4. En la página Configurar regla, haga lo siguiente:

    1. Introduzca un nombre y una descripción.

    2. Para AWS Lambda la función ARN, pegue el ARN que copió anteriormente.

    3. Para Tipo de desencadenador, elija Cuando cambia la configuración.

    4. En Alcance de los cambios, seleccione Recursos.

    5. En Tipo de recurso, elija AWS EC2 NetworkInterface.

    6. Elija Siguiente.

  5. En la página Revisar y crear, compruebe la regla y, a continuación, seleccione Guardar.

AWS general

Configura las notificaciones.

  1. Siga las instrucciones de Creación de un tema de Amazon SNS para crear un tema de Amazon SNS.

  2. Siga las instrucciones del tema Suscribirse a un Amazon SNS para configurar un punto de conexión que reciba notificaciones del tema Amazon SNS.

  3. Sigue las instrucciones de Cómo puedo recibir una notificación cuando un AWS recurso no cumple con las normas AWS Config para configurar una EventBridge regla de Amazon personalizada para tus recursos no conformes.

AWS general
TareaDescripciónHabilidades requeridas

Cree un recurso que cumpla con las normas.

  1. Siga las instrucciones siguientes para crear uno de los recursos compatibles en una subred pública:

  2. Una vez creado el recurso, la regla AWS Config personalizada evalúa las interfaces de red elásticas asociadas al recurso. Marca estas interfaces de red comoCOMPLIANT. Puede ver los recursos en AWS Config siguiendo estos pasos:

    1. Abra la consola de AWS Config.

    2. En la página Reglas, elige tu regla.

    3. En la página de detalles de la regla, ve al final de la página.

    4. En Recursos incluidos en el ámbito de aplicación, selecciona Cumple. Confirme que ve las interfaces IDs de red que se crearon.

    5. Para obtener más información sobre la configuración de la interfaz de red, elija el ID del recurso.

AWS general

Cree un recurso que no cumpla con las normas.

  1. Siga las instrucciones siguientes para crear un recurso no compatible en una subred pública:

  2. Una vez creado el recurso, la regla AWS Config personalizada evalúa las interfaces de red elásticas asociadas al recurso. Marca estas interfaces de red comoNON_COMPLIANT. Puede ver los recursos en AWS Config siguiendo estos pasos:

    1. Abra la consola de AWS Config.

    2. En la página Reglas, elige tu regla.

    3. En la página de detalles de la regla, ve al final de la página.

    4. En Recursos incluidos en el ámbito de aplicación, selecciona NonCompliant. Confirme que ve las interfaces IDs de red que se crearon.

    5. Para obtener más información sobre la configuración de la interfaz de red, elija el ID del recurso.

  3. Confirme que recibe la notificación en el punto de conexión que configuró en Amazon SNS.

AWS general

Cree un recurso que no sea aplicable.

  1. En una subred privada, cree cualquier recurso que requiera una interface de red elástica.

  2. Una vez creado el recurso, la regla AWS Config personalizada evalúa las interfaces de red elásticas asociadas al recurso. Marca estas interfaces de red comoNOT_APPLICABLE. Estos recursos no se muestran en la AWS Config consola.

AWS general

Recursos relacionados

AWS documentación

AWS Otros recursos

Información adicional

El siguiente es un ejemplo de función Lambda que se proporciona con fines de demostración.

import boto3
import json
import os

# Init clients
config_client = boto3.client('config')
ec2_client = boto3.client('ec2')

def lambda_handler(event, context):

    # Init values
    compliance_value = 'NOT_APPLICABLE'
    invoking_event = json.loads(event['invokingEvent'])
    configuration_item = invoking_event['configurationItem']
    
    status = configuration_item['configurationItemStatus']
    eventLeftScope = event['eventLeftScope']

    # First check if the event configuration applies. Ex. resource event is not delete
    if (status == 'OK' or status == 'ResourceDiscovered') and not eventLeftScope:
        compliance_value = evaluate_change_notification_compliance(configuration_item)
    
    
    config_client.put_evaluations(
       Evaluations=[
           {
               'ComplianceResourceType': invoking_event['configurationItem']['resourceType'],
               'ComplianceResourceId': invoking_event['configurationItem']['resourceId'],
               'ComplianceType': compliance_value,
               'OrderingTimestamp': invoking_event['configurationItem']['configurationItemCaptureTime']
           },
       ],
       ResultToken=event['resultToken'])
    
# Function with the logs to evaluate the resource
def evaluate_change_notification_compliance(configuration_item):
    is_in_scope = is_in_scope_subnet(configuration_item['configuration']['subnetId'])
    
    if (configuration_item['resourceType'] != 'AWS::EC2::NetworkInterface') or not is_in_scope:
        return 'NOT_APPLICABLE'

    else:
        alb_condition = configuration_item['configuration']['requesterId'] in ['amazon-elb']
        nlb_condition = configuration_item['configuration']['interfaceType'] in ['network_load_balancer']
        nat_gateway_condition = configuration_item['configuration']['interfaceType'] in ['nat_gateway']

        if alb_condition or nlb_condition or nat_gateway_condition:
            return 'COMPLIANT'
    return 'NON_COMPLIANT'

# Function to check if elastic network interface is in public subnet
def is_in_scope_subnet(eni_subnet):

    subnet_description = ec2_client.describe_subnets(
        SubnetIds=[eni_subnet]
    )

    for subnet in subnet_description['Subnets']:
        for tag in subnet['Tags']:
            if tag['Key'] == os.environ.get('TAG_KEY') and tag['Value'] == os.environ.get('TAG_VALUE'):
                return True
    
    return False