4 مرحله برای اصلاح خودکار حساب سطح S3 تنظیمات دسترسی

به اولین وبلاگ برای سال 2023 خوش آمدید!

در این پست، می‌خواستم مراحل تنظیم AWS Config – تنظیمات خودکار Remediate برای تنظیمات دسترسی عمومی سطح حساب AWS s3 را شرح دهم.

همانطور که می دانیم، برای کسب اطلاعات بیشتر در مورد خدمات، مکان مناسب برای بررسی اسناد AWS است و از این رو من فقط توضیح مختصری در مورد چیستی-چیزی می دهم و بلافاصله به پرونده استفاده می پردازم (رهایی :-)؟)

پیکربندی AWS
سرویسی است که تغییرات پیکربندی منابع AWS را ثبت و نظارت می کند

هدف از قوانین پیکربندی AWS و اصلاح
اگر از ابر و در AWS استفاده می‌کنید، برنامه‌ها را میزبانی می‌کنید یا از منابع در ابر AWS استفاده می‌کنید، در نهایت حساب و منابع آن باید نگهداری و نظارت شوند تا از هرگونه اتفاق نادرست مانند حذف منابع، راه‌اندازی منابع غیرضروری جلوگیری شود.

2 راه (قوانین “پیشگیرانه” و “کارآگاهی”) برای نظارت بر محیط AWS برای بررسی انطباق وجود دارد. همانطور که کلمه می گوید، قوانین “پیشگیرانه” برای جلوگیری از اجرای پیکربندی های خاص اجرا یا پیکربندی شده اند. از طرف دیگر، قوانین “کارآگاه” آنهایی هستند که نیاز به نظارت بر برخی “تنظیمات پیکربندی” دارند تا تغییر نکنند، زیرا باعث به خطر افتادن محیط می شود.

خوب، با این پیشینه، اجازه دهید یکی از تشخیص انطباق و اصلاح خودکار را در اینجا پیاده سازی کنیم

AWS S3
یک سرویس ذخیره سازی در ابر AWS است که در آن هر شیء را می توان با رمزگذاری، تعریف چرخه حیات ذخیره کرد.

بخش حیاتی تضمین امنیت داده ها یا اشیاء ذخیره شده در S3، محدود کردن دسترسی عمومی به سطل ها در S3 در سطح منابع فردی (سطل) و در سطح حساب AWS است.

نحوه انجام: محدودیت دسترسی عمومی در سطح حساب در اشیاء S3

به طور پیش فرض، دسترسی عمومی در سطح حساب با تنظیمات زیر S3 محدود شده است. در حالی که این تنظیم یک فعالیت یک بار است، اگر هر کاربر یا برنامه‌ای که دسترسی دارد، این «دسترسی عمومی به همه در سطح حساب» را تغییر دهد، چه؟ این امر انطباق محیط و امنیت داده ها را به خطر می اندازد

بنابراین اینجا آمده است، AWS Config، که تغییراتی را که در برابر دسته‌های خاص اتفاق می‌افتد، از طریق تعاریف Rule ردیابی و نظارت می‌کند.

ما می توانیم در 4 مرحله ساده به “Capture & Remediate” برسیم و در اینجا آنها هستند

مرحله 1:
پیکربندی قانون کارآگاه پیکربندی AWS – “S3-Account-Level-Public-Access-Blocks”

(i) قانون پیکربندی مدیریت شده AWS مناسب را انتخاب کنید

(ii) سطل S3 را پیکربندی کنید که در آن گزارش‌های مربوط به این قانون (گزارش‌های اجرایی و جزئیات) برای این قانون وجود دارد و روی “تأیید” کلیک کنید تا قانون ایجاد شود.

(iii) اکنون قانون در زیر نمای قوانین پیکربندی AWS فهرست شده است

گام 2:
راه اندازی اصلاح خودکار برای قانون “S3-Account-Level-Public-Access-Blocks”

(iv) برای تکمیل، ایجاد قانون پیکربندی، به نقشی نیاز داریم تا در برابر سرویس‌هایی که پیکربندی شده‌اند عمل کنیم. بنابراین همانطور که در اینجا نشان داده شده است یک نقش در حساب aws خود ایجاد کنید. من AWSS3FullAccess را اینجا گرفته ام

(v) اقدام Remediation برای محدود کردن دسترسی عمومی سطح حساب S3 “AWSConfigRemediation-ConfigureS3PublicAccessBlock” است.

مرحله 3:
ارزیابی قوانین پیکربندی را اجرا کنید، و دسترسی سطح حساب AWS S3 را به حالت «روشن» تغییر دهید

(vi) به صورت دستی «مسدود کردن دسترسی عمومی» را در سطح حساب به «خیر» تغییر دهید (تیک همه گزینه‌های دسترسی عمومی مسدود را بردارید)

(vii) نمای وضعیت پیکربندی قانون و انطباق از “AWS Config – Rule View”

مرحله 4:
به وضعیت گزارش شده به عنوان “غیر منطبق” و همچنین اصلاح خودکار به وضعیت “سازگار” توجه کنید

(viii) هنگام ارزیابی قانون، وضعیت اجرای قانون را رعایت کنید. (در صورت وجود هر گونه خطا، گزارش های مربوط به سطل S3 پیکربندی شده را در هنگام تعریف قانون بررسی کنید)

(ix) پس از اصلاح خودکار، “Block All Public Access” اکنون روی “روشن” تنظیم شده است. موفقیت!!

(x) در مرحله بعد، قانون تعریف شده اکنون در وضعیت “سازگار” پس از اصلاح اقدام موفق است

(xi) همچنین، سطل ها اکنون “عمومی نیستند”

توجه داشته باشید: تنظیم مجدد یک تغییر پیکربندی ساده به نظر می رسد، باعث می شود مردم فکر کنند که “به صورت دستی در عرض چند دقیقه انجام می شد… چرا اتوماسیون” اما در مورد صدها یا هزاران حساب AWS، AWS Config – Auto Remediation نجات دهنده واقعی است.

ردیابی پیکربندی مبارک!