Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Assicurati che i sistemi di bilanciamento del carico AWS utilizzino protocolli listener sicuri (HTTPS, SSL/TLS)
Creato da Chandini Penmetsa (AWS) e Purushotham G K (AWS)
Riepilogo
Sul cloud Amazon Web Services (AWS), Elastic Load Balancing distribuisce automaticamente il traffico delle applicazioni in entrata su più destinazioni, come istanze Amazon Elastic Compute Cloud ( EC2Amazon), contenitori, indirizzi IP e funzioni AWS Lambda. I sistemi di bilanciamento del carico utilizzano i listener per definire le porte e i protocolli utilizzati dal sistema di bilanciamento del carico per accettare il traffico dagli utenti. Gli Application Load Balancer prendono decisioni di routing a livello di applicazione e utilizzano. HTTP/HTTPS protocols. Network Load Balancers make routing decisions at the transport layer and use the Transmission Control Protocol (TCP), Transport Layer Security (TLS), User Datagram Protcol (UDP), or TCP_UDP protocols. Classic Load Balancers make routing decisions at either the transport layer, using TCP or Secure Sockets Layer (SSL) protocols, or at the application layer, using HTTP/HTTPS
L'organizzazione potrebbe avere un requisito di sicurezza o conformità secondo cui i sistemi di bilanciamento del carico accettano il traffico proveniente dagli utenti solo su protocolli sicuri, come HTTPS o SSL/TLS.
Questo modello fornisce un controllo di sicurezza che utilizza una EventBridge regola Amazon per monitorare le CreateListener chiamate ModifyListener API per Application Load Balancer e Network Load Balancer e le chiamate CreateLoadBalancerListeners e CreateLoadBalancer API per Classic Load Balancer. Se si utilizza HTTP, TCP/UDP o TCP_UDP per il protocollo listener del load balancer, il controllo richiama una funzione Lambda. La funzione Lambda pubblica un messaggio su un argomento di Amazon Simple Notification Service (Amazon SNS) per inviare una notifica contenente i dettagli del load balancer.
Prerequisiti e limitazioni
Prerequisiti
Un account AWS attivo
Un indirizzo e-mail a cui desideri ricevere la notifica di violazione
Un bucket Amazon Simple Storage Service (Amazon S3) per archiviare il file.zip con codice Lambda
Limitazioni
Questo controllo di sicurezza non verifica la presenza di sistemi di bilanciamento del carico esistenti a meno che non venga effettuato un aggiornamento dei listener di bilanciamento del carico.
Questo controllo di sicurezza è regionale e deve essere distribuito nelle regioni AWS che intendi monitorare.
Architettura
Stack tecnologico Target
Funzione Lambda
Argomento Amazon SNS
EventBridge regola
Architettura di destinazione
Automazione e scalabilità
Se utilizzi AWS Organizations, puoi utilizzare AWS Cloudformation StackSets per distribuire questo modello in più account che desideri venga monitorato.
Strumenti
AWS CloudFormation: AWS CloudFormation è un servizio che ti aiuta a modellare e configurare le risorse AWS utilizzando l'infrastruttura come codice.
Amazon EventBridge: Amazon EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni SaaS (SaaS) e servizi AWS, indirizzando tali dati verso destinazioni come le funzioni Lambda.
AWS Lambda — Lambda supporta l'esecuzione di codice senza effettuare il provisioning o la gestione di server.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) è un servizio di storage di oggetti altamente scalabile che può essere utilizzato per un'ampia gamma di soluzioni di storage, tra cui siti Web, applicazioni mobili, backup e data lake.
Amazon SNS — Amazon Simple Notification Service (Amazon SNS) coordina e gestisce la consegna o l'invio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail. I sottoscrittori ricevono tutti gli stessi messaggi pubblicati sugli argomenti ai quali sono hanno effettuato la sottoscrizione.
Best practice
Assicurati che l'argomento SNS utilizzato non sia accessibile al pubblico. Per ulteriori informazioni, consulta la documentazione di AWS.
Epiche
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Definisci il bucket S3. | Sulla console Amazon S3, scegli o crea un bucket S3 con un nome univoco che non contenga barre iniziali. Il nome di un bucket S3 è unico a livello globale e lo spazio dei nomi è condiviso da tutti gli account AWS. Il bucket S3 deve trovarsi nella stessa regione del sistema di bilanciamento del carico che viene valutato. | Architetto del cloud |
Carica il codice Lambda nel bucket S3. | Carica il file.zip con codice Lambda fornito nella sezione «Allegati» nel bucket S3 definito. | Architetto del cloud |
Implementa il CloudFormation modello AWS. | Sulla CloudFormation console AWS, nella stessa regione AWS del bucket S3, distribuisci il modello fornito nella sezione «Allegati». Nella prossima epopea, fornisci i valori per i parametri. | Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Assegna un nome al bucket S3. | Inserisci il nome del bucket S3 che hai creato nella prima epic. | Architetto del cloud |
Fornisci il prefisso Amazon S3. | Fornisci la posizione del file.zip del codice Lambda nel tuo bucket S3, senza barre iniziali (ad esempio,). | Architetto del cloud |
Fornire l'ARN dell'argomento SNS. | Fornisci l'argomento SNS Amazon Resource Name (ARN) se desideri utilizzare un argomento SNS esistente per le notifiche di violazione. Per creare un nuovo argomento SNS, mantieni il valore as | Architetto del cloud |
Fornisci un indirizzo email. | Fornisci un indirizzo e-mail attivo per ricevere le notifiche di Amazon SNS. | Architetto del cloud |
Definisci il livello di registrazione. | Definisci il livello e la frequenza di registrazione per la tua funzione Lambda. | Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Eseguire il download del modello . | Scarica il CloudFormation modello fornito nella sezione Allegati. | Architetto del cloud |
Creare lo stack. | Nella stessa regione del bucket S3, accedi alla console di CloudFormation servizio e distribuisci il modello scaricato. Fai riferimento all'epopea precedente per i dettagli dei parametri. | Architetto del cloud |
Verifica le risorse. | Dopo aver creato completamente lo stack, vai alla scheda Risorse e verifica le risorse. Il modello creerà le seguenti risorse:
| Architetto del cloud |
| Attività | Descrizione | Competenze richieste |
|---|---|---|
Confermare la sottoscrizione. | Quando il modello viene distribuito correttamente, se è stato creato un nuovo argomento SNS, viene inviato un messaggio e-mail di sottoscrizione all'indirizzo e-mail fornito nei parametri. È necessario confermare questa sottoscrizione e-mail per ricevere le notifiche di violazione. | Architetto del cloud |
Risoluzione dei problemi
| Problema | Soluzione |
|---|---|
Creazione dello stack non riuscita. Si è verificato un errore durante GetObject. Codice di errore S3: PermanentRedirect. Messaggio di errore S3: Il bucket si trova in questa regione: xx-xxxx-1. Utilizza questa regione per riprovare la richiesta. | Assicurati che la regione del bucket S3 e la regione in cui viene distribuito lo stack siano le stesse. |
Creazione dello stack non riuscita. Il parametro runtime di python3.6 non è più supportato per la creazione o l'aggiornamento di funzioni AWS Lambda. | Aggiorna il modello scaricato alla riga 186 dalla versione di Python da 3.6 a 3.9. |
Risorse correlate
Allegati
