Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vérifiez les entrées réseau à hôte unique dans les règles d'entrée du groupe de sécurité pour IPv4 et IPv6
Créée par SaiJeevan Devireddy (AWS), Ganesh Kumar (AWS) et John Reynolds (AWS)
Environnement : Production | Technologies : mise en réseau ; sécurité, identité, conformité | Services AWS : Amazon SNS ; AWS ; CloudFormation Amazon ; AWS Lambda CloudWatch ; Amazon VPC |
Récapitulatif
Ce modèle fournit un contrôle de sécurité qui vous avertit lorsque les ressources Amazon Web Services (AWS) ne répondent pas à vos spécifications. Il fournit une fonction AWS Lambda qui recherche les entrées du réseau à hôte unique dans les champs d'adresse source du protocole Internet version 4 (IPv4) et du groupe de sécurité IPv6. La fonction Lambda est lancée lorsqu'Amazon CloudWatch Events détecte l'appel d'API Amazon Elastic Compute Cloud (Amazon EC2) AuthorizeSecurityGroupIngress. La logique personnalisée de la fonction Lambda évalue le masque de sous-réseau du bloc CIDR de la règle d'entrée du groupe de sécurité. S'il est déterminé que le masque de sous-réseau est autre que /32 (IPv4) ou /128 (IPv6), la fonction Lambda envoie une notification de violation à l'aide d'Amazon Simple Notification Service (Amazon SNS).
Conditions préalables et limitations
Prérequis
Un compte AWS actif
Une adresse e-mail à laquelle vous souhaitez recevoir les notifications de violation
Limites
Cette solution de surveillance de la sécurité est régionale et doit être déployée dans chaque région AWS que vous souhaitez surveiller.
Architecture
Pile technologique cible
Fonction Lambda
Rubrique SNS
EventBridge Règle Amazon
Architecture cible
Automatisation et évolutivité
Si vous utilisez AWS Organizations, vous pouvez utiliser AWS Cloudformation StackSets pour déployer ce modèle sur plusieurs comptes que vous souhaitez surveiller.
Outils
Services AWS
AWS CloudFormation est un service qui vous aide à modéliser et à configurer les ressources AWS en utilisant l'infrastructure sous forme de code.
Amazon EventBridge fournit un flux de données en temps réel provenant de vos propres applications, d'applications SaaS (Software as a Service) et de services AWS, et achemine ces données vers des cibles telles que les fonctions Lambda.
AWS Lambda prend en charge l'exécution de code sans provisionner ni gérer de serveurs.
Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets hautement évolutif qui peut être utilisé pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.
Amazon SNS coordonne et gère la distribution ou l'envoi de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.
Code
Le code ci-joint inclut :
Un fichier .zip contenant le code de contrôle de sécurité Lambda ()
index.pyUn CloudFormation modèle (
security-control.ymlfichier) que vous exécutez pour déployer le code Lambda
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Créez le compartiment S3 pour le code Lambda. | Sur la console Amazon S3 | Architecte du cloud |
Téléchargez le code Lambda dans le compartiment S3. | Téléchargez le code Lambda ( | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Modifiez la version de Python. | Téléchargez le CloudFormation modèle ( Par exemple, vous pouvez rechercher Pour obtenir les dernières informations sur la prise en charge des versions d'exécution de Python, consultez la documentation AWS Lambda. | Architecte du cloud |
Déployez le CloudFormation modèle AWS. | Sur la CloudFormation console AWS, dans la même région AWS que le compartiment S3, déployez le CloudFormation modèle ( | Architecte du cloud |
Spécifiez le nom du compartiment S3. | Pour le paramètre S3 Bucket, spécifiez le nom du bucket S3 que vous avez créé dans le premier épisode épique. | Architecte du cloud |
Spécifiez le nom de clé Amazon S3 pour le fichier Lambda. | Pour le paramètre S3 Key, spécifiez l'emplacement Amazon S3 du fichier .zip de code Lambda dans votre compartiment S3. N'incluez pas de barres obliques (par exemple, vous pouvez saisir | Architecte du cloud |
Indiquez une adresse e-mail de notification. | Pour le paramètre E-mail de notification, indiquez l'adresse e-mail à laquelle vous souhaitez recevoir les notifications de violation. | Architecte du cloud |
Définissez le niveau de journalisation. | Pour le paramètre Lambda Logging level, définissez le niveau de journalisation de votre fonction Lambda. Choisissez l’une des valeurs suivantes :
| Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Confirmez votre abonnement. | Lorsque le CloudFormation modèle a été déployé avec succès, une nouvelle rubrique SNS est créée et un message d'abonnement est envoyé à l'adresse e-mail que vous avez fournie. Vous devez confirmer cet abonnement par e-mail pour recevoir des notifications de violation. | Architecte du cloud |
Ressources connexes
Création d'une pile sur la CloudFormation console AWS ( CloudFormation documentation AWS)
Groupes de sécurité pour votre VPC (documentation Amazon VPC)
Pièces jointes
