檢查安全群組輸入規則中 IPv4 和 IPv6 的單一主機網路項目

PDF

由 SaiJeevan Devireddy (AWS)、Ganesh Kumar (AWS) 和 John Reynolds (AWS) 建立

Summary

此模式提供安全性控制，當 Amazon Web Services (AWS) 資源不符合您的規格時， 會通知您。它提供 AWS Lambda 函數，可在網際網路通訊協定第 4 版 (IPv4) 和 IPv6 安全群組來源地址欄位中尋找單一主機網路項目。當 Amazon CloudWatch Events 偵測到 Amazon Elastic Compute Cloud (Amazon EC2) AuthorizeSecurityGroupIngress API 呼叫時，會啟動 Lambda 函數。Lambda 函數中的自訂邏輯會評估安全群組傳入規則 CIDR 區塊的子網路遮罩。如果子網路遮罩確定為 /32 (IPv4) 或 /128 (IPv6) 以外的任何項目，Lambda 函數會使用 Amazon Simple Notification Service (Amazon SNS) 傳送違規通知。

先決條件和限制

先決條件

• 作用中的 AWS 帳戶

• 您希望接收違規通知的電子郵件地址

限制

• 此安全監控解決方案為區域性，必須部署在您要監控的每個 AWS 區域中。

架構

目標技術堆疊

• Lambda 函數

• SNS 主題

• Amazon EventBridge 規則

目標架構

自動化和擴展

• 如果您使用的是 AWS Organizations，則可以使用 AWS Cloudformation StackSets，將此範本部署到您要監控的多個帳戶。

工具

AWS 服務

• AWS CloudFormation 是一項服務，可協助您使用基礎設施做為程式碼來建立模型和設定 AWS 資源。

• Amazon EventBridge 可從您自己的應用程式、軟體即服務 (SaaS) 應用程式和 AWS 服務提供即時資料串流，並將該資料路由到 Lambda 函數等目標。

• AWS Lambda 支援執行程式碼，無需佈建或管理伺服器。

• Amazon Simple Storage Service (Amazon S3) 是一種高度可擴展的物件儲存服務，可用於各種儲存解決方案，包括網站、行動應用程式、備份和資料湖。

• Amazon SNS 會協調和管理發佈者和用戶端之間的訊息傳遞或傳送，包括 Web 伺服器和電子郵件地址。訂閱者會收到發佈到所訂閱主題的所有訊息，且某一主題的所有訂閱者均會收到相同訊息。

Code

附加的程式碼包括：

• 包含 Lambda 安全控制碼 (index.py) 的 .zip 檔案

• 您執行以部署 Lambda 程式碼的 CloudFormation 範本 (security-control.yml 檔案）

史詩

上傳安全控制

任務	描述	所需的技能
建立 Lambda 程式碼的 S3 儲存貯體。	在 Amazon S3 主控台上，使用不包含正斜線的唯一名稱建立 S3 儲存貯體。S3 儲存貯體名稱全域唯一，且所有 AWS 帳戶共用命名空間。您的 S3 儲存貯體必須位於您要部署安全群組傳入檢查的 AWS 區域中。	雲端架構師
將 Lambda 程式碼上傳至 S3 儲存貯體。	將附件區段中提供的 Lambda 程式碼 (security-control-lambda.zip 檔案） 上傳至您在上一個步驟中建立的 S3 儲存貯體。	雲端架構師

上傳安全控制

任務	描述	所需的技能
建立 Lambda 程式碼的 S3 儲存貯體。	在 Amazon S3 主控台上，使用不包含正斜線的唯一名稱建立 S3 儲存貯體。S3 儲存貯體名稱全域唯一，且所有 AWS 帳戶共用命名空間。您的 S3 儲存貯體必須位於您要部署安全群組傳入檢查的 AWS 區域中。	雲端架構師
將 Lambda 程式碼上傳至 S3 儲存貯體。	將附件區段中提供的 Lambda 程式碼 (security-control-lambda.zip 檔案） 上傳至您在上一個步驟中建立的 S3 儲存貯體。	雲端架構師

部署 CloudFormation 範本

任務	描述	所需的技能
變更 Python 版本。	下載附件區段中提供的 CloudFormation 範本 (security-control.yml)。開啟 檔案並修改 Python 版本，以反映 Lambda 支援的最新版本 （目前為 Python 3.9)。 例如，您可以在程式碼python 中搜尋 ，並將 的值Runtime從 變更為 python3.6 python3.9。 如需 Python 執行期版本支援的最新資訊，請參閱 AWS Lambda 文件。	雲端架構師
部署 AWS CloudFormation 範本。	在 AWS CloudFormation 主控台上，在與 S3 儲存貯體相同的 AWS 區域中，部署 CloudFormation 範本 (security-control.yml)。	雲端架構師
指定 S3 儲存貯體名稱。	針對 S3 儲存貯體參數，指定您在第一個史詩中建立的 S3 儲存貯體名稱。	雲端架構師
指定 Lambda 檔案的 Amazon S3 金鑰名稱。	針對 S3 金鑰參數，指定 SAmazon S3儲存貯體中 Lambda 程式碼 .zip 檔案的 Amazon S3 位置。請勿包含正斜線 （例如，您可以輸入 lambda.zip或 controls/lambda.zip)。	雲端架構師
提供通知電子郵件地址。	針對通知電子郵件參數，提供您要接收違規通知的電子郵件地址。	雲端架構師
定義記錄層級。	針對 Lambda 記錄層級參數，定義 Lambda 函數的記錄層級。請選擇下列其中一個值： INFO 以取得應用程式進度的詳細資訊訊息。 取得仍可能允許應用程式繼續執行之錯誤事件相關資訊的錯誤。 警告 以取得潛在有害情況的相關資訊。	雲端架構師

部署 CloudFormation 範本

任務	描述	所需的技能
變更 Python 版本。	下載附件區段中提供的 CloudFormation 範本 (security-control.yml)。開啟 檔案並修改 Python 版本，以反映 Lambda 支援的最新版本 （目前為 Python 3.9)。 例如，您可以在程式碼python 中搜尋 ，並將 的值Runtime從 變更為 python3.6 python3.9。 如需 Python 執行期版本支援的最新資訊，請參閱 AWS Lambda 文件。	雲端架構師
部署 AWS CloudFormation 範本。	在 AWS CloudFormation 主控台上，在與 S3 儲存貯體相同的 AWS 區域中，部署 CloudFormation 範本 (security-control.yml)。	雲端架構師
指定 S3 儲存貯體名稱。	針對 S3 儲存貯體參數，指定您在第一個史詩中建立的 S3 儲存貯體名稱。	雲端架構師
指定 Lambda 檔案的 Amazon S3 金鑰名稱。	針對 S3 金鑰參數，指定 SAmazon S3儲存貯體中 Lambda 程式碼 .zip 檔案的 Amazon S3 位置。請勿包含正斜線 （例如，您可以輸入 lambda.zip或 controls/lambda.zip)。	雲端架構師
提供通知電子郵件地址。	針對通知電子郵件參數，提供您要接收違規通知的電子郵件地址。	雲端架構師
定義記錄層級。	針對 Lambda 記錄層級參數，定義 Lambda 函數的記錄層級。請選擇下列其中一個值： INFO 以取得應用程式進度的詳細資訊訊息。 取得仍可能允許應用程式繼續執行之錯誤事件相關資訊的錯誤。 警告 以取得潛在有害情況的相關資訊。	雲端架構師

確認訂閱

任務	描述	所需的技能
確認訂閱。	成功部署 CloudFormation 範本後，會建立新的 SNS 主題，並將訂閱訊息傳送至您提供的電子郵件地址。您必須確認此電子郵件訂閱，才能接收違規通知。	雲端架構師

確認訂閱

任務	描述	所需的技能
確認訂閱。	成功部署 CloudFormation 範本後，會建立新的 SNS 主題，並將訂閱訊息傳送至您提供的電子郵件地址。您必須確認此電子郵件訂閱，才能接收違規通知。	雲端架構師

相關資源

• AWS CloudFormation 資訊

• 在 AWS CloudFormation 主控台上建立堆疊 (AWS CloudFormation 文件）

• VPC 的安全群組 (Amazon VPC 文件）

• Amazon S3 資訊

• AWS Lambda 資訊

附件

若要存取與本文件相關聯的其他內容，請解壓縮下列檔案： attachment.zip