AWSPremiumSupport-DDoSResiliencyAssessment

Descripción

El manual de procedimientos AWSPremiumSupport-DDoSResiliencyAssessmentde automatización AWS Systems Managerle ayuda a comprobar las vulnerabilidades DDoS y a configurar los recursos de acuerdo con la protección AWS Shield Advancedpara su Cuenta de AWS. Proporciona un informe sobre los ajustes de configuración de los recursos que son vulnerables a los ataques de Distributed Denial of Service (DDoS). Se utiliza para recopilar, analizar y evaluar los siguientes recursos: Amazon Route 53, Amazon Load Balancers, CloudFront distribuciones de Amazon AWS Global Accelerator e IP AWS elásticas para sus ajustes de configuración, de acuerdo con las prácticas recomendadas de protección. AWS Shield Advanced El informe de configuración final está disponible en el bucket de Amazon S3 de su elección como archivo HTML.

¿Cómo funciona?

Este manual de procedimientos contiene una serie de comprobaciones para los distintos tipos de recursos que están habilitados para el acceso público y si tienen las protecciones configuradas según las recomendaciones del AWSDocumento técnico sobre las mejores prácticas de DDoS. El manual de procedimientos realiza lo siguiente:

• Comprueba si una suscripción a AWS Shield Advancedestá habilitada.

• Si está habilitada, busca si hay algún recurso protegido por Shield Advanced.

• Busca todos los recursos mundiales y regionales en Cuenta de AWSy comprueba si están protegidos por Shield.

• Requiere los parámetros del tipo de recurso para la evaluación, el nombre del bucket de Amazon S3 y el Cuenta de AWS ID del bucket de Amazon S3 (S3BucketOwner).

• Regresa los resultados como un informe HTML almacenado en el bucket de Amazon S3 proporcionado.

Los parámetros de entrada AssessmentTypedeciden si se realizarán las comprobaciones de todos los recursos. De forma predeterminada, el manual de procedimientos comprueba todos los tipos de recursos. Si solo se selecciona el parámetro GlobalResourceso RegionalResources, el manual de procedimientos comprueba únicamente los tipos de recursos seleccionados.

importante

• El acceso a los manuales de procedimientos de AWSPremiumSupport-* requiere una suscripción a Enterprise o Business Support. Para obtener más información, consulte Comparar AWS Supportplanes.

• Este manual de procedimientos requiere una AWS Shield Advancedsuscripción ACTIVE.

Ejecuta esta automatización (consola)

Tipo de documento

Automation

Propietario

Amazon

Plataformas

Linux, macOS, Windows

Parámetros

• AutomationAssumeRole

  Tipo: cadena

  Descripción: (Opcional) el Nombre de recurso de Amazon (ARN) del rol (IAM) AWS Identity and Access Managementque permite a System Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utilizará los permisos del usuario que ejecuta este manual de procedimientos.

• AssessmentType

  Tipo: cadena

  Descripción: (Opcional) Determina el tipo de recursos que se van a evaluar para la evaluación de resiliencia de DDoS. De forma predeterminada, el manual de procedimientos evaluará los recursos tanto globales como regionales. Para los recursos regionales, el manual de procedimientos describe todos los equilibradores de carga de aplicaciones (ALB) y redes (NLB), así como todo el grupo de escalado automático de su Cuenta de AWS/región.

  Valores válidos: ['Global Resources', 'Regional Resources', 'Global and Regional Resources']

  Predeterminado: recursos globales y regionales

• S3 BucketName

  Tipo: AWS::S3::Bucket::Name

  Descripción: (Obligatorio) El nombre del bucket de Amazon S3 en el que se cargará el informe.

  Valor permitido: ^[0-9a-z][a-z0-9\-\.]{3,63}$

• S3 BucketOwnerAccount

  Tipo: cadena

  Descripción: (Opcional) La Cuenta de AWSpropietaria del bucket de Amazon S3. Por favor especifique este parámetro si el bucket de Amazon S3 pertenece a una Cuenta de AWSdistinta; de lo contrario puede dejar este parámetro en blanco.

  Valor permitido: ^$|^[0-9]{12,13}$

• S3 BucketOwnerRoleArn

  Tipo: AWS::IAM::Role::Arn

  Descripción: (Opcional) El ARN de un rol de IAM con permisos para describir el bucket de Amazon S3 y Cuenta de AWSbloquear la configuración de acceso público si el bucket está en otra Cuenta de AWS. Si no se especifica este parámetro, el manual de procedimientos utilizará AutomationAssumeRoleo el usuario de IAM que inició este manual de procedimientos (si AutomationAssumeRoleno se especifica). Por favor consulte la sección de permisos necesarios en la descripción del manual de procedimientos.

  Valor permitido: ^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$

• S3 BucketPrefix

  Tipo: cadena

  Descripción: (Opcional) El prefijo de la ruta dentro de Amazon S3 para almacenar los resultados.

  Valor permitido: ^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$

Permisos de IAM necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

• autoscaling:DescribeAutoScalingGroups

• cloudfront:ListDistributions

• ec2:DescribeAddresses

• ec2:DescribeNetworkAcls

• ec2:DescribeInstances

• elasticloadbalancing:DescribeLoadBalancers

• elasticloadbalancing:DescribeTargetGroups

• globalaccelerator:ListAccelerators

• iam:GetRole

• iam:ListAttachedRolePolicies

• route53:ListHostedZones

• route53:GetHealthCheck

• shield:ListProtections

• shield:GetSubscriptionState

• shield:DescribeSubscription

• shield:DescribeEmergencyContactSettings

• shield:DescribeDRTAccess

• waf:GetWebACL

• waf:GetRateBasedRule

• wafv2:GetWebACL

• wafv2:GetWebACLForResource

• waf-regional:GetWebACLForResource

• waf-regional:GetWebACL

• s3:ListBucket

• s3:GetBucketAcl

• s3:GetBucketLocation

• s3:GetBucketPublicAccessBlock

• s3:GetBucketPolicyStatus

• s3:GetBucketEncryption

• s3:GetAccountPublicAccessBlock

• s3:PutObject

Ejemplo de política de IAM para el rol Automation Assume

                {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetAccountPublicAccessBlock"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetBucketLocation",
                                    "s3:GetBucketPublicAccessBlock",
                                    "s3:GetBucketPolicyStatus",
                                    "s3:GetEncryptionConfiguration"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:PutObject"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>/*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "autoscaling:DescribeAutoScalingGroups",
                                    "cloudfront:ListDistributions",
                                    "ec2:DescribeInstances",
                                    "ec2:DescribeAddresses",
                                    "ec2:DescribeNetworkAcls",
                                    "elasticloadbalancing:DescribeLoadBalancers",
                                    "elasticloadbalancing:DescribeTargetGroups",
                                    "globalaccelerator:ListAccelerators",
                                    "iam:GetRole",
                                    "iam:ListAttachedRolePolicies",
                                    "route53:ListHostedZones",
                                    "route53:GetHealthCheck",
                                    "shield:ListProtections",
                                    "shield:GetSubscriptionState",
                                    "shield:DescribeSubscription",
                                    "shield:DescribeEmergencyContactSettings",
                                    "shield:DescribeDRTAccess",
                                    "waf:GetWebACL",
                                    "waf:GetRateBasedRule",
                                    "wafv2:GetWebACL",
                                    "wafv2:GetWebACLForResource",
                                    "waf-regional:GetWebACLForResource",
                                    "waf-regional:GetWebACL"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": "iam:PassRole",
                                "Resource": "arn:aws:iam::123456789012:role/<AutomationAssumeRole-Name>",
                                "Effect": "Allow"
                            }
                        ]
                    }
        

Instrucciones

1. Navegue hasta el AWSPremiumSupport-DDoS ResiliencyAssessment en la AWS Systems Manager consola.

2. Elija Execute automation (Ejecutar automatización)

3. Para los parámetros de entrada, introduzca lo siguiente:

   • AutomationAssumeRole (Opcional):

     El nombre de recurso de Amazon (ARN) del rol (IAM) AWS Identity and Access Managementque permite a System Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utilizará los permisos del usuario que ejecuta este manual de procedimientos.

   • AssessmentType (Opcional):

     Determina el tipo de recursos que se van a evaluar para la evaluación de resiliencia de DDoS. De forma predeterminada, el manual de procedimientos evalúa tanto los recursos globales como los regionales.

   • S3 BucketName (obligatorio):

     El nombre del bucket de Amazon S3 para guardar el informe de evaluación en formato HTML.

   • S3 BucketOwner (opcional):

     El ID de la Cuenta de AWSdel bucket de Amazon S3 para verificar la propiedad. El ID de la Cuenta de AWSes obligatorio si el informe debe publicarse en un bucket de Amazon S3 multicuenta y es opcional si el bucket de Amazon S3 se encuentra en la misma Cuenta de AWSdonde se inició la automatización.

   • S3 BucketPrefix (opcional):

     Cualquier prefijo de la ruta dentro de Amazon S3 para almacenar los resultados.

   

4. Seleccione Ejecutar.

5. Se inicia la automatización.

6. Este documento realiza los siguientes pasos:

   • CheckShieldAdvancedState:

     Comprueba si el bucket de Amazon S3 especificado en «S3BucketName» permite permisos de acceso de lectura o escritura anónimos o públicos, si el bucket tiene activado el cifrado en reposo y si el Cuenta de AWS ID proporcionado en «S3BucketOwner» es el propietario del bucket de Amazon S3.

   • S3BucketSecurityChecks:

     Comprueba si el bucket de Amazon S3 especificado en «S3BucketName» permite permisos de acceso de lectura o escritura anónimos o públicos, si el bucket tiene activado el cifrado en reposo y si el Cuenta de AWS ID proporcionado en «S3BucketOwner» es el propietario del bucket de Amazon S3.

   • BranchOnShieldAdvancedStatus:

     Ramifica los pasos del documento en función del estado de la suscripción AWS Shield Advancedo del estado de propiedad del bucket de Amazon S3.

   • ShieldAdvancedConfigurationReview:

     Revisa las configuraciones de Shield Advanced para garantizar que estén presentes los detalles mínimos requeridos. Por ejemplo: el equipo de IAM Access para AWS ShieldResponse Team (SRT), los detalles de la lista de contactos y el estado de participación proactiva del SRT.

   • ListShieldAdvancedProtections:

     Muestra los recursos protegidos de Shield y crea un grupo de recursos protegidos para cada servicio.

   • BranchOnResourceTypeAndCount:

     Ramifica los pasos del documento según el valor del parámetro Resource Type y la cantidad de recursos globales protegidos por Shield.

   • ReviewGlobalResources:

     Revisa los recursos globales protegidos de Shield Advanced, como las zonas alojadas, las CloudFront distribuciones y los aceleradores globales de Route 53.

   • BranchOnResourceType:

     Ramifica los pasos del documento en función de las selecciones de tipo de recurso, ya sean globales, regionales o ambas.

   • ReviewRegionalResources:

     Revisa los recursos regionales protegidos de Shield Advanced, como los equilibradores de carga de aplicaciones, los equilibradores de carga de red, los equilibradores de carga clásicos y las instancias de Amazon Elastic Compute Cloud (Amazon EC2) (Elastic IPs).

   • SendReportToS3:

     Carga los detalles del informe de evaluación de DDoS en el bucket de Amazon S3.

7. Una vez completado, el URI del archivo HTML del informe de evaluación se proporciona en el bucket de Amazon S3:

   Enlace a la consola S3 y URI de Amazon S3 para el informe sobre la ejecución correcta del manual de procedimientos

   

Referencias

Automatización de Systems Manager

• Ejecuta esta automatización (consola)

• Ejecución de una automatización

• Configuración de Automation

• Página de inicio de Support Automation Workflows

AWS documentación de servicio

• AWS Shield Advanced