Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Detecte las instancias de bases de datos Amazon RDS y Aurora que tienen certificados de CA vencidos
Creado por Stephen DiCato (AWS) y Eugene Shifer (AWS)
Repositorio de código: detecte instancias de Amazon RDS con certificados de CA vencidos | Entorno: producción | Tecnologías: seguridad, identidad, conformidad; infraestructura CloudNative |
Servicios de AWS: Amazon Aurora; AWS Config; Amazon RDS; AWS Security Hub |
Resumen
Como práctica recomendada de seguridad, se recomienda cifrar los datos en tránsito entre los servidores de aplicaciones y las bases de datos relacionales. Puede usar SSL o TLS para cifrar una conexión a un clúster o instancia de base de datos (DB). Estos protocolos ayudan a proporcionar confidencialidad, integridad y autenticidad entre una aplicación y una base de datos. La base de datos utiliza un certificado de servidor, emitido por una autoridad de certificación (CA) y que se utiliza para realizar la verificación de la identidad del servidor. Los certificados SSL o TLS comprueban la autenticidad del certificado validando su firma digital y asegurándose de que no haya caducado.
En el AWS Management Console, Amazon Relational Database Service (Amazon RDS) y Amazon Aurora proporcionan notificaciones sobre las instancias de base de datos que requieren actualizaciones de certificados. Sin embargo, para comprobar estas notificaciones, debe iniciar sesión en cada una de ellas Cuenta de AWS y acceder a la consola de servicio de cada una de ellas. Región de AWS Esta tarea se vuelve más compleja si necesita evaluar la validez de los certificados en muchos de los Cuentas de AWS que se administran como una organización AWS Organizations.
Al aprovisionar la infraestructura como código (IaC) proporcionada en este patrón, puede detectar los certificados de CA que están venciendo para todas las instancias de base de datos de Amazon RDS y Aurora de su organización. Cuenta de AWS AWS La AWS CloudFormationplantilla proporciona una AWS Config regla, una AWS Lambda función y los permisos necesarios. Puede implementarla en una sola cuenta como una pila o puede implementarla en toda la AWS organización como un conjunto de pilas.
Requisitos previos y limitaciones
Requisitos previos
Un activo Cuenta de AWS
Si va a realizar la implementación en una sola Cuenta de AWS:
Asegúrese de tener permisos para crear CloudFormation pilas.
AWS Config Actívalo en la cuenta de destino.
(Opcional) Habilitar AWS Security Hub en la cuenta de destino.
Si vas a realizar un despliegue en una AWS organización:
Asegúrese de tener permisos para crear conjuntos de CloudFormation pilas.
Habilite Security Hub con AWS Organizations la integración.
AWS Config Actívela en las cuentas en las que vaya a implementar esta solución.
Designe Cuenta de AWS a un administrador delegado para el AWS Config Security Hub.
Limitaciones
Si va a realizar la implementación en una cuenta individual que no tiene activado Security Hub, puede utilizarla AWS Config para evaluar los resultados.
Si va a realizar el despliegue en una organización que no tiene un administrador delegado para AWS Config el Security Hub, debe iniciar sesión en las cuentas de los miembros individuales para ver los resultados.
Si solía administrar y AWS Control Tower controlar las cuentas de su organización, implemente el IaC siguiendo este patrón mediante Customizations for AWS Control Tower (cFCT). El uso de la CloudFormation consola provocará que la configuración se aparte de los AWS Control Tower obstáculos y será necesario volver a inscribir las unidades organizativas (OU) o las cuentas gestionadas.
Algunas Servicios de AWS no están disponibles en todas las versiones. Regiones de AWS Para ver la disponibilidad regional, consulta la página de puntos finales y cuotas del servicio y elige el enlace correspondiente al servicio.
Arquitectura
Implementar en un individuo Cuenta de AWS
El siguiente diagrama de arquitectura muestra el despliegue de los AWS recursos en una sola unidad Cuenta de AWS. Se implementa mediante una CloudFormation plantilla directamente a través de la CloudFormation consola. Si Security Hub está activado, puede ver los resultados en Security Hub AWS Config o en Security Hub. Si Security Hub no está activado, solo podrá ver los resultados en la AWS Config consola.
![Implementación de la CloudFormation plantilla proporcionada en una sola cuenta.](images/pattern-img/d34fe1f1-6764-4485-b7a7-04e5861f1e9b/images/0b07133a-d4f8-4d87-8d00-2b5e2c453ece.png)
En el diagrama se muestran los siguientes pasos:
Creas una CloudFormation pila. Esto despliega una función Lambda y AWS Config una regla. Tanto la regla como la función se configuran con los permisos AWS Identity and Access Management (de IAM) necesarios para publicar las evaluaciones de los recursos en AWS Config los registros.
La AWS Config regla funciona en modo de evaluación detectivesca y se ejecuta cada 24 horas.
Security Hub recibe todos los AWS Config resultados.
Puedes ver los resultados en Security Hub o en AWS Config, según la configuración de la cuenta.
Implementar en una AWS organización
El siguiente diagrama muestra la evaluación de la caducidad de los certificados en varias cuentas que se administran mediante AWS Organizations y AWS Control Tower. La CloudFormation plantilla se implementa a través de cFCT. Los resultados de la evaluación se centralizan en Security Hub, en la cuenta de administrador delegado. El AWS CodePipeline flujo de trabajo que se muestra en el diagrama muestra los pasos en segundo plano que se producen durante la implementación del cFCT.
![Implementación de la CloudFormation plantilla proporcionada en varias cuentas de una organización de AWS.](images/pattern-img/d34fe1f1-6764-4485-b7a7-04e5861f1e9b/images/8d870cbb-54cf-43ec-96f2-00730e0134af.png)
En el diagrama se muestran los siguientes pasos:
Según la configuración de cFCT, en la cuenta de administración, se envía el IaC a un AWS CodeCommit repositorio o se carga un archivo comprimido (ZIP) del iAC a un bucket de Amazon Simple Storage Service (Amazon S3).
La canalización cFCT descomprime el archivo, ejecuta las comprobaciones de cfn-nag
(GitHub) y lo despliega como un conjunto de pilas. CloudFormation Según la configuración especificada en el archivo de manifiesto de cFCT, CloudFormation StackSets despliega las pilas en cuentas individuales o en unidades organizativas especificadas. Esto despliega una función Lambda y AWS Config una regla en las cuentas de destino. Tanto la regla como la función se configuran con los permisos de IAM necesarios para publicar las evaluaciones de los recursos y los AWS Config registros.
La AWS Config regla funciona en modo de evaluación detectivesca y se ejecuta cada 24 horas.
AWS Config reenvía todos los resultados a Security Hub.
Los resultados de Security Hub se agregan a la cuenta del administrador delegado.
Puede ver los resultados en Security Hub, en la cuenta de administrador delegado.
Herramientas
Servicios de AWS
AWS CloudFormationle ayuda a configurar AWS los recursos, aprovisionarlos de forma rápida y coherente y administrarlos a lo largo de su ciclo de vida en todas Cuentas de AWS las regiones.
AWS Configproporciona una vista detallada de sus recursos Cuenta de AWS y de cómo están configurados. Le ayuda a identificar cómo se relacionan los recursos entre sí y cómo han cambiado sus configuraciones a lo largo del tiempo. Una AWS Config regla define los parámetros de configuración ideales para un recurso y AWS Config puede evaluar si AWS los recursos cumplen las condiciones de las reglas.
AWS Control Towerle ayuda a configurar y administrar un entorno de AWS múltiples cuentas, siguiendo las prácticas recomendadas prescriptivas. Las personalizaciones de AWS Control Tower (cFCT) te ayudan a personalizar tu AWS Control Tower landing zone y a mantenerte alineado con las AWS mejores prácticas. Las personalizaciones se implementan con CloudFormation plantillas y políticas de control de servicios (SCP).
AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.
AWS Organizationses un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada.
AWS Security Hubproporciona una visión completa del estado de su seguridad en AWS. También le ayuda a comparar su AWS entorno con los estándares y las mejores prácticas del sector de la seguridad.
Otras herramientas
Python
es un lenguaje de programación informático de uso general.
Repositorio de código
El código de este patrón está disponible en el repositorio GitHub Detect Amazon RDS con certificados de CA vencidos
Prácticas recomendadas
Le recomendamos que siga las prácticas recomendadas de los siguientes recursos:
Prácticas recomendadas para unidades organizativas con AWS Organizations
(blog sobre operaciones y migraciones en la AWS nube) Guía para establecer una base inicial mediante AWS Control Tower el uso de AWS
(biblioteca de AWS soluciones) Guía para crear y modificar AWS Control Tower recursos (AWS Control Tower documentación)
Consideraciones sobre el despliegue de CFCT (AWS Control Tower documentación)
Epics
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Determine su estrategia de despliegue. | Revise la solución y el código para determinar cómo los implementará en su AWS entorno. Determine si la implementará en una sola cuenta o en una AWS organización. | Propietario de la aplicación, General AWS |
Clonar el repositorio. | Introduzca el siguiente comando para clonar las instancias de Detect Amazon RDS cuyo repositorio de certificados de CA esté caducando
| Desarrollador de aplicaciones, propietario de la aplicación |
Valide la versión de Python. |
| Desarrollador de aplicaciones, propietario de la aplicación |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Implemente la plantilla CloudFormation . | Implemente la CloudFormation plantilla en su AWS entorno. Realice una de las siguientes acciones siguientes:
| Desarrollador de aplicaciones, administrador de AWS, AWS general |
Comprobar la implementación. | En la CloudFormation consola | Administrador de AWS, propietario de la aplicación |
Tarea | Descripción | Habilidades requeridas |
---|---|---|
Vea las conclusiones de la AWS Config regla. | En Security Hub, haga lo siguiente para ver una lista de las conclusiones individuales:
En Security Hub, haga lo siguiente para ver una lista del total de hallazgos agrupados por Cuenta de AWS:
En AWS Config, para ver una lista de las conclusiones, siga las instrucciones de la AWS Config documentación relativa a la visualización de la información de conformidad y los resultados de la evaluación. | Administrador de AWS, administrador de sistemas de AWS, administrador de la nube |
Resolución de problemas
Problema | Solución |
---|---|
CloudFormation se produce un error al crear o eliminar un conjunto de pilas | Cuando AWS Control Tower se despliega, impone las barreras de protección necesarias y asume el control de los AWS Config agregadores y las reglas. Esto incluye evitar cualquier alteración directa. CloudFormation Para implementar o eliminar correctamente esta CloudFormation plantilla, incluidos todos los recursos asociados, debe utilizar cFCT. |
cFct no puede eliminar la plantilla CloudFormation | Si la CloudFormation plantilla persiste incluso después de realizar los cambios necesarios en el archivo de manifiesto y eliminar los archivos de plantilla, confirme que el archivo de manifiesto contiene el |
Recursos relacionados
Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos o un clúster (documentación de Amazon RDS)
AWS Config ReglasAWS Config personalizadas (documentación)