AWSPremiumSupport-DDoSResiliencyAssessment

Descrizione

Il AWSPremiumSupport-DDoSResiliencyAssessment runbook di AWS Systems Manager automazione consente di verificare le vulnerabilità DDoS e la configurazione delle risorse in base alla protezione prevista per l'utente. AWS Shield Advanced Account AWS Fornisce un rapporto sulle impostazioni di configurazione per le risorse vulnerabili agli attacchi Distributed Denial of Service (DDoS). Viene utilizzato per raccogliere, analizzare e valutare le seguenti risorse: Amazon Route 53, Amazon Load Balancers, CloudFront distribuzioni Amazon AWS Global Accelerator e IP AWS elastici per le relative impostazioni di configurazione in conformità con le migliori pratiche consigliate per la protezione. AWS Shield Advanced Il report di configurazione finale è disponibile in un bucket Amazon S3 di tua scelta come file HTML.

Come funziona?

Questo runbook contiene una serie di controlli relativi ai vari tipi di risorse abilitate all'accesso pubblico e alla presenza di protezioni configurate secondo le raccomandazioni contenute nel white paper sulle migliori pratiche AWS DDoS. Il runbook esegue le seguenti operazioni:

• Verifica se AWS Shield Advanced è abilitato un abbonamento a.

• Se abilitato, rileva se ci sono risorse protette Shield Advanced.

• Trova tutte le risorse globali e regionali Account AWS e verifica se queste sono protette dallo Shield.

• Richiede i parametri del tipo di risorsa per la valutazione, il nome del bucket Amazon S3 e l'ID del Account AWS bucket Amazon S3 (S3). BucketOwner

• Restituisce i risultati sotto forma di report HTML archiviato nel bucket Amazon S3 fornito.

I parametri di input AssessmentType decidono se verranno eseguiti i controlli su tutte le risorse. Per impostazione predefinita, il runbook verifica la presenza di tutti i tipi di risorse. Se è selezionato solo il RegionalResources parametro GlobalResources or, il runbook esegue i controlli solo sui tipi di risorse selezionati.

Importante

• L'accesso ai AWSPremiumSupport-* runbook richiede un abbonamento Enterprise o Business Support. Per ulteriori informazioni, consulta Confronta AWS Support i piani.

• Questo runbook richiede un ACTIVE AWS Shield Advancedabbonamento.

Esegui questa automazione (console)

Tipo di documento

Automazione

Proprietario

Amazon

Piattaforme

LinuxmacOS, Windows

Parameters (Parametri)

• AutomationAssumeRole

  Tipo: stringa

  Descrizione: (Facoltativo) L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

• AssessmentType

  Tipo: stringa

  Descrizione: (Facoltativo) Determina il tipo di risorse da valutare per la valutazione della resilienza DDoS. Per impostazione predefinita, il runbook valuterà sia le risorse globali che quelle regionali. Per le risorse regionali, il runbook descrive tutti i load balancer Application (ALB) e Network (NLB), nonché tutto il gruppo Auto Scaling nella tua /region. Account AWS

  Valori validi: ['Global Resources', 'Regional Resources', 'Global and Regional Resources']

  Impostazione predefinita: risorse globali e regionali

• S3 BucketName

  Tipo: AWS::S3::Bucket::Name

  Descrizione: (Obbligatorio) Il nome del bucket Amazon S3 in cui verrà caricato il report.

  Modello consentito: ^[0-9a-z][a-z0-9\-\.]{3,63}$

• S3 BucketOwnerAccount

  Tipo: stringa

  Descrizione: (Facoltativo) Il Account AWS proprietario del bucket Amazon S3. Specificate questo parametro se il bucket Amazon S3 appartiene a un altro bucketAccount AWS, altrimenti potete lasciare questo parametro vuoto.

  Pattern consentito: ^$|^[0-9]{12,13}$

• S3 BucketOwnerRoleArn

  Tipo: AWS::IAM::Role::Arn

  Descrizione: (Facoltativo) L'ARN di un ruolo IAM con le autorizzazioni per descrivere il bucket Amazon S3 e Account AWS bloccare la configurazione dell'accesso pubblico se il bucket si trova in un altro. Account AWS Se questo parametro non è specificato, il runbook utilizza l'utente AutomationAssumeRole o l'utente IAM che avvia questo runbook (se non è specificato). AutomationAssumeRole Consulta la sezione sulle autorizzazioni richieste nella descrizione del runbook.

  Modello consentito: ^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$

• S3 BucketPrefix

  Tipo: stringa

  Descrizione: (Facoltativo) Il prefisso per il percorso all'interno di Amazon S3 per l'archiviazione dei risultati.

  Modello consentito: ^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$

Autorizzazioni IAM richieste

Il AutomationAssumeRole parametro richiede le seguenti azioni per utilizzare correttamente il runbook.

• autoscaling:DescribeAutoScalingGroups

• cloudfront:ListDistributions

• ec2:DescribeAddresses

• ec2:DescribeNetworkAcls

• ec2:DescribeInstances

• elasticloadbalancing:DescribeLoadBalancers

• elasticloadbalancing:DescribeTargetGroups

• globalaccelerator:ListAccelerators

• iam:GetRole

• iam:ListAttachedRolePolicies

• route53:ListHostedZones

• route53:GetHealthCheck

• shield:ListProtections

• shield:GetSubscriptionState

• shield:DescribeSubscription

• shield:DescribeEmergencyContactSettings

• shield:DescribeDRTAccess

• waf:GetWebACL

• waf:GetRateBasedRule

• wafv2:GetWebACL

• wafv2:GetWebACLForResource

• waf-regional:GetWebACLForResource

• waf-regional:GetWebACL

• s3:ListBucket

• s3:GetBucketAcl

• s3:GetBucketLocation

• s3:GetBucketPublicAccessBlock

• s3:GetBucketPolicyStatus

• s3:GetBucketEncryption

• s3:GetAccountPublicAccessBlock

• s3:PutObject

Esempio di politica IAM per l'automazione Assume Role

                {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetAccountPublicAccessBlock"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetBucketLocation",
                                    "s3:GetBucketPublicAccessBlock",
                                    "s3:GetBucketPolicyStatus",
                                    "s3:GetEncryptionConfiguration"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:PutObject"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>/*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "autoscaling:DescribeAutoScalingGroups",
                                    "cloudfront:ListDistributions",
                                    "ec2:DescribeInstances",
                                    "ec2:DescribeAddresses",
                                    "ec2:DescribeNetworkAcls",
                                    "elasticloadbalancing:DescribeLoadBalancers",
                                    "elasticloadbalancing:DescribeTargetGroups",
                                    "globalaccelerator:ListAccelerators",
                                    "iam:GetRole",
                                    "iam:ListAttachedRolePolicies",
                                    "route53:ListHostedZones",
                                    "route53:GetHealthCheck",
                                    "shield:ListProtections",
                                    "shield:GetSubscriptionState",
                                    "shield:DescribeSubscription",
                                    "shield:DescribeEmergencyContactSettings",
                                    "shield:DescribeDRTAccess",
                                    "waf:GetWebACL",
                                    "waf:GetRateBasedRule",
                                    "wafv2:GetWebACL",
                                    "wafv2:GetWebACLForResource",
                                    "waf-regional:GetWebACLForResource",
                                    "waf-regional:GetWebACL"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": "iam:PassRole",
                                "Resource": "arn:aws:iam::123456789012:role/<AutomationAssumeRole-Name>",
                                "Effect": "Allow"
                            }
                        ]
                    }
        

Istruzioni

1. Vai al AWSPremiumSupport-DDoS ResiliencyAssessment nella AWS Systems Manager console.

2. Seleziona Execute Automation

3. Per i parametri di input, inserisci quanto segue:

   • AutomationAssumeRole (Facoltativo):

     L'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) che consente a Systems Manager Automation di eseguire le azioni per tuo conto. Se non viene specificato alcun ruolo, Systems Manager Automation utilizza le autorizzazioni dell'utente che avvia questo runbook.

   • AssessmentType (Facoltativo):

     Determina il tipo di risorse da valutare per la valutazione della resilienza DDoS. Per impostazione predefinita, il runbook valuta sia le risorse globali che quelle regionali.

   • S3 BucketName (richiesto):

     Il nome del bucket Amazon S3 per salvare il report di valutazione in formato HTML.

   • S3 BucketOwner (opzionale):

     L'Account AWSID del bucket Amazon S3 per la verifica della proprietà. L'Account AWSID è obbligatorio se il report deve essere pubblicato su un bucket Amazon S3 con più account e facoltativo se il bucket Amazon S3 è nella stessa fase di avvio dell'automazione. Account AWS

   • S3 (opzionale): BucketPrefix

     Qualsiasi prefisso per il percorso all'interno di Amazon S3 per l'archiviazione dei risultati.

   

4. Seleziona Esegui.

5. L'automazione viene avviata.

6. Il documento esegue le seguenti operazioni:

   • CheckShieldAdvancedState:

     Verifica se il bucket Amazon S3 specificato in «S3BucketName» consente autorizzazioni di accesso anonime o pubbliche in lettura o scrittura, se il bucket ha la crittografia a riposo abilitata e se l'Account AWSID fornito in «S3BucketOwner" è il proprietario del bucket Amazon S3.

   • S3: BucketSecurityChecks

     Verifica se il bucket Amazon S3 specificato in «S3BucketName» consente autorizzazioni di accesso anonime o pubbliche in lettura o scrittura, se il bucket ha la crittografia a riposo abilitata e se l'Account AWSID fornito in «S3BucketOwner" è il proprietario del bucket Amazon S3.

   • BranchOnShieldAdvancedStatus:

     Le filiali documentano i passaggi in base allo stato dell'AWS Shield Advancedabbonamento e/o allo stato di proprietà del bucket Amazon S3.

   • ShieldAdvancedConfigurationReview:

     Esamina le configurazioni Shield Advanced per garantire che siano presenti i dettagli minimi richiesti. Ad esempio: team IAM Access for AWS Shield Response Team (SRT), Contact List Details e SRT Proactive Engagement Status.

   • ListShieldAdvancedProtections:

     Elenca le Shield Protected Resources e crea un gruppo di risorse protette per ogni servizio.

   • BranchOnResourceTypeAndCount:

     I rami documentano i passaggi in base al valore del parametro Resource Type e al numero di risorse globali protette da Shield.

   • ReviewGlobalResources:

     Esamina le risorse globali protette di Shield Advanced come Route 53 Hosted Zones, CloudFront Distributions e Global Accelerators.

   • BranchOnResourceType:

     Le filiali documentano i passaggi in base alle selezioni del tipo di risorsa, se globale, regionale o entrambi.

   • ReviewRegionalResources:

     Esamina le risorse regionali protette di Shield Advanced come Application Load Balancer, Network Load Balancers, Classic Load Balancers, Amazon Elastic Compute Cloud (Amazon EC2) Instances (Elastic IP).

   • SendReportToS3:

     Carica i dettagli del rapporto di valutazione DDoS nel bucket Amazon S3.

7. Una volta completato, l'URI per il file HTML del report di valutazione viene fornito nel bucket Amazon S3:

   Collegamento alla console S3 e URI Amazon S3 per il report sull'esecuzione riuscita del runbook

   

Riferimenti

Systems Manager Automation

• Esegui questa automazione (console)

• Esegui un'automazione

• Configurazione di un'automazione

• Pagina iniziale Support Automation Workflows

AWSdocumentazione di servizio

• AWS Shield Advanced