AWSPremiumSupport-DDoSResiliencyAssessment

Descrição

O AWSPremiumSupport-DDoSResiliencyAssessment runbook de AWS Systems Manager automação ajuda você a verificar DDoS as vulnerabilidades e a configuração dos recursos de acordo com a AWS Shield Advanced proteção de sua. Conta da AWS Ele fornece um relatório de configurações para recursos vulneráveis a ataques de negação de serviço distribuída (DDoS). Ele é usado para coletar, analisar e avaliar os seguintes recursos: Amazon Route 53, Amazon Load Balancers, Amazon CloudFront distributions AWS Global Accelerator e AWS Elastic IPs para suas configurações de acordo com as melhores práticas recomendadas de proteção. AWS Shield Advanced O relatório final de configuração está disponível em um bucket do Amazon S3 de sua escolha como um HTML arquivo.

Como funciona?

Este runbook contém uma série de verificações dos vários tipos de recursos que estão habilitados para acesso público e se eles têm proteções configuradas de acordo com as recomendações do Whitepaper de AWS DDoSMelhores Práticas. O runbook executa o seguinte:

• Verifica se a assinatura do AWS Shield Advanced está habilitada.

• Se ativada, ele descobre se há algum recurso protegido do Shield Advanced.

• Ele encontra todos os recursos globais e regionais na Conta da AWS e verifica se eles estão protegidos pelo Shield.

• Ela exige os parâmetros do tipo de recurso para avaliação, o nome do bucket do Amazon S3 e o ID do Conta da AWS bucket do Amazon S3 (S3). BucketOwner

• Ele retorna as descobertas como um HTML relatório armazenado no bucket Amazon S3 fornecido.

O AssessmentType dos parâmetros de entrada decide se as verificações em todos os recursos serão realizadas. Por padrão, o runbook verifica todos os tipos de recursos. Somente se o parâmetro GlobalResources ou RegionalResources for selecionado, o runbook executará verificações somente nos tipos de recursos selecionados.

Importante

• O acesso aos runbooks AWSPremiumSupport-* requer uma assinatura do Enterprise ou Business Support. Para obter mais informações, consulte Comparar os planos do AWS Support.

• Este runbook requer uma assinatura ACTIVE do AWS Shield Advanced.

Execute esta automação (console)

Tipo de documento

Automação

Proprietário

Amazon

Plataformas

Linux, macOS, Windows

Parâmetros

• AutomationAssumeRole

  Tipo: string

  Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

• AssessmentType

  Tipo: string

  Descrição: (Opcional) Determina o tipo de recursos a serem avaliados para avaliação de DDoS resiliência. Por padrão, o runbook avaliará os recursos globais e regionais. Para recursos regionais, o runbook descreve todos os balanceadores de carga Application (ALB) e Network (NLB), bem como todo o grupo Auto Scaling em sua /region. Conta da AWS

  Valores válidos: ['Global Resources', 'Regional Resources', 'Global and Regional Resources']

  Padrão: recursos globais e regionais

• S3 BucketName

  Tipo: AWS::S3::Bucket::Name

  Descrição: (obrigatório) o nome do bucket do Amazon S3 onde o relatório será carregado.

  Allowed-pattern: ^[0-9a-z][a-z0-9\-\.]{3,63}$

• S3 BucketOwnerAccount

  Tipo: string

  Descrição: (Opcional) O Conta da AWS proprietário do bucket do Amazon S3. Especifique esse parâmetro se o bucket do Amazon S3 pertencer a outro Conta da AWS, caso contrário, você pode deixar esse parâmetro vazio.

  Allowed-pattern: ^$|^[0-9]{12,13}$

• S3 BucketOwnerRoleArn

  Tipo: AWS::IAM::Role::Arn

  Descrição: (Opcional) A ARN de uma IAM função com permissões para descrever o bucket do Amazon S3 e Conta da AWS bloquear a configuração de acesso público se o bucket estiver em outro. Conta da AWS Se esse parâmetro não for especificado, o runbook usa o AutomationAssumeRole ou o IAM usuário que inicia esse runbook (se não AutomationAssumeRole for especificado). Consulte a seção de permissões necessárias na descrição do runbook.

  Allowed-pattern: ^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$

• S3 BucketPrefix

  Tipo: string

  Descrição: (opcional) o prefixo do caminho dentro do Amazon S3 para armazenar os resultados.

  Allowed-pattern: ^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$

IAMPermissões necessárias

O parâmetro AutomationAssumeRole requer as seguintes ações para usar o runbook com êxito.

• autoscaling:DescribeAutoScalingGroups

• cloudfront:ListDistributions

• ec2:DescribeAddresses

• ec2:DescribeNetworkAcls

• ec2:DescribeInstances

• elasticloadbalancing:DescribeLoadBalancers

• elasticloadbalancing:DescribeTargetGroups

• globalaccelerator:ListAccelerators

• iam:GetRole

• iam:ListAttachedRolePolicies

• route53:ListHostedZones

• route53:GetHealthCheck

• shield:ListProtections

• shield:GetSubscriptionState

• shield:DescribeSubscription

• shield:DescribeEmergencyContactSettings

• shield:DescribeDRTAccess

• waf:GetWebACL

• waf:GetRateBasedRule

• wafv2:GetWebACL

• wafv2:GetWebACLForResource

• waf-regional:GetWebACLForResource

• waf-regional:GetWebACL

• s3:ListBucket

• s3:GetBucketAcl

• s3:GetBucketLocation

• s3:GetBucketPublicAccessBlock

• s3:GetBucketPolicyStatus

• s3:GetBucketEncryption

• s3:GetAccountPublicAccessBlock

• s3:PutObject

Exemplo IAM de política para a função de assumir a automação

                {
                        "Version": "2012-10-17",
                        "Statement": [
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetAccountPublicAccessBlock"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:ListBucket",
                                    "s3:GetBucketAcl",
                                    "s3:GetBucketLocation",
                                    "s3:GetBucketPublicAccessBlock",
                                    "s3:GetBucketPolicyStatus",
                                    "s3:GetEncryptionConfiguration"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "s3:PutObject"
                                ],
                                "Resource": "arn:aws:s3:::<bucket-name>/*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": [
                                    "autoscaling:DescribeAutoScalingGroups",
                                    "cloudfront:ListDistributions",
                                    "ec2:DescribeInstances",
                                    "ec2:DescribeAddresses",
                                    "ec2:DescribeNetworkAcls",
                                    "elasticloadbalancing:DescribeLoadBalancers",
                                    "elasticloadbalancing:DescribeTargetGroups",
                                    "globalaccelerator:ListAccelerators",
                                    "iam:GetRole",
                                    "iam:ListAttachedRolePolicies",
                                    "route53:ListHostedZones",
                                    "route53:GetHealthCheck",
                                    "shield:ListProtections",
                                    "shield:GetSubscriptionState",
                                    "shield:DescribeSubscription",
                                    "shield:DescribeEmergencyContactSettings",
                                    "shield:DescribeDRTAccess",
                                    "waf:GetWebACL",
                                    "waf:GetRateBasedRule",
                                    "wafv2:GetWebACL",
                                    "wafv2:GetWebACLForResource",
                                    "waf-regional:GetWebACLForResource",
                                    "waf-regional:GetWebACL"
                                ],
                                "Resource": "*",
                                "Effect": "Allow"
                            },
                            {
                                "Action": "iam:PassRole",
                                "Resource": "arn:aws:iam::123456789012:role/<AutomationAssumeRole-Name>",
                                "Effect": "Allow"
                            }
                        ]
                    }
        

Instruções

1. Navegue até AWSPremiumSupport- DDoSResiliencyAssessment no AWS Systems Manager console.

2. Selecione Executar automação.

3. Você pode usar os seguintes parâmetros de entrada:

   • AutomationAssumeRole(Opcional):

     O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation execute as ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.

   • AssessmentType(Opcional):

     Determina o tipo de recursos a serem avaliados para avaliação de DDoS resiliência. Por padrão, o runbook avalia os recursos globais e regionais.

   • S3 BucketName (obrigatório):

     O nome do bucket do Amazon S3 para salvar o relatório de avaliação em HTML formato.

   • S3 BucketOwner (opcional):

     O Conta da AWS ID do bucket Amazon S3 para verificação de propriedade. O Conta da AWS ID é obrigatório se o relatório precisar ser publicado em um bucket do Amazon S3 com várias contas e opcional se o bucket do Amazon S3 estiver no mesmo nível do início da Conta da AWS automação.

   • S3 BucketPrefix (opcional):

     Qualquer prefixo do caminho dentro do Amazon S3 para armazenar os resultados.

   

4. Selecione Executar.

5. A automação é iniciada.

6. O bucket realiza as seguintes etapas:

   • CheckShieldAdvancedState:

     Verifica se o bucket do Amazon S3 especificado no “S3BucketName” permite permissões de acesso anônimo ou público de leitura ou gravação, se o bucket tem a criptografia em repouso ativada e se o Conta da AWS ID fornecido no “S3BucketOwner” é o proprietário do bucket do Amazon S3.

   • S3: BucketSecurityChecks

     Verifica se o bucket do Amazon S3 especificado no “S3BucketName” permite permissões de acesso anônimo ou público de leitura ou gravação, se o bucket tem a criptografia em repouso ativada e se o Conta da AWS ID fornecido no “S3BucketOwner” é o proprietário do bucket do Amazon S3.

   • BranchOnShieldAdvancedStatus:

     Ramifica etapas do documento com base no status da assinatura do AWS Shield Advanced e/ou no status de propriedade do Amazon S3 Bucket.

   • ShieldAdvancedConfigurationReview:

     Analisa as configurações do Shield Advanced para garantir que os detalhes mínimos necessários estejam presentes. Por exemplo: IAM acesso à equipe de AWS Shield resposta (SRT), detalhes da lista de contatos e status de engajamento SRT proativo.

   • ListShieldAdvancedProtections:

     Lista os recursos protegidos pelo Shield e cria um grupo de recursos protegidos para cada serviço.

   • BranchOnResourceTypeAndCount:

     Ramifica etapas do documento com base no valor do parâmetro Tipo de recurso e no número de recursos globais protegidos pelo Shield.

   • ReviewGlobalResources:

     Analisa os recursos globais protegidos pelo Shield Advanced, como zonas hospedadas, CloudFront distribuições e aceleradores globais do Route 53.

   • BranchOnResourceType:

     Ramifica etapas do documento com base nas seleções do tipo de recurso, se global, regional ou ambas.

   • ReviewRegionalResources:

     Analisa os recursos regionais protegidos pelo Shield Advanced, como Application Load Balancers, Network Load Balancers, Classic Load Balancers, Amazon Elastic Compute Cloud (AmazonEC2) Instances (Elastic). IPs

   • SendReportToS3:

     Carrega os detalhes do relatório de DDoS avaliação no bucket do Amazon S3.

7. Depois de concluído, URI o HTML arquivo do relatório de avaliação é fornecido no bucket do Amazon S3:

   Link do console S3 e Amazon URI S3 para o relatório sobre a execução bem-sucedida do runbook

   

Referências

Automação do Systems Manager

• Execute esta automação (console)

• Executar uma automação

• Configurar a automação

• Página inicial dos fluxos de trabalho de automação

AWS documentação de serviço

• AWS Shield Advanced