برنامه نویسی

– تعیین مدیر فایروال AWS که برای حسابرسی گروه های امنیتی در حساب های سازمان AWS استفاده می شود.

https%3A%2F%2Fdev to

مدیریت امنیت در مقیاس در یک محیط AWS چند حساب می تواند چالش برانگیز باشد. یکی از نگرانی های متداول اطمینان از پیکربندی گروه های امنیتی مطابق با سیاست های امنیتی سازمان شما است. مدیر فایروال AWS با فعال کردن مدیریت متمرکز و حسابرسی گروه های امنیتی در حسابهای سازمان AWS ، این کار را ساده می کند.

در این پست ، ما روند راه اندازی AWS Firewall Manager را برای حسابرسی گروه های امنیتی در یک سازمان AWS طی خواهیم کرد.

❓ مدیر فایروال AWS چیست؟

AWS Firewall Manager یک سرویس مدیریت امنیتی است که پیکربندی و مدیریت قوانین فایروال را در حسابها و برنامه های شما در سازمان های AWS آسانتر می کند. شما می توانید برای مدیریت AWS WAF ، AWS Shield Advanced ، VPC ، گروه های امنیتی ، فایروال شبکه AWS و موارد دیگر از مدیر فایروال استفاده کنید.

یکی از ویژگی های قدرتمند سیاست های گروه امنیتی است که به شما امکان می دهد قوانین گروه امنیتی را در مقیاس حسابرسی و اجرای کنید.

✍🏾 چرا گروه های امنیتی حسابرسی؟

گروه های امنیتی به طور نادرست پیکربندی شده می توانند منابع را در معرض خطر غیر ضروری قرار دهند. حسابرسی تضمین می کند:

بدون قانون بیش از حد مجاز (به عنوان مثال ، اجازه 0.0.0.0/0 برای SSH یا RDP)

قوانین مداوم در حساب ها و VPC ها. شناسایی و تصحیح گروه های امنیتی غیر سازگار.

این نسخه ی نمایشی به طور خاص برای حسابرسی گروه های امنیتی در حساب های سازمان های AWS است.

⚗ پیش نیاز

من) در این نسخه ی نمایشی ما سازمان AWS را راه اندازی نمی کنیم و همه حساب ها باید بخشی از یک سازمان AWS باشند.

ب) پیکربندی AWS باید در کلیه حساب های عضو فعال شود (مدیر فایروال برای دید منابع به پیکربندی AWS متکی است).

  • حساب مدیر مدیر فایروال

i) شما باید یک حساب مدیر را برای مدیر فایروال در سازمان های AWS تعیین کنید. این حساب سیاست ها را در سراسر ارگ مدیریت و مستقر می کند.

i) حساب Administrator برای مدیریت خط مشی های مدیر فایروال و خواندن داده های پیکربندی AWS به مجوزهای لازم IAM نیاز دارد.

با تمام موارد فوق در خوب خود برای رفتن. من سازمانهای AWS را در حال حاضر با حساب مدیریت “Josephndambombi” با × 6565 و حساب عضو “Firewall1” که با × 3165 پایان یافته است ، تنظیم کرده ام ، که برای این نسخه ی نمایشی استفاده شده است.

https%3A%2F%2Fdev to

1⃣ مرحله 1: تنظیم مدیر فایروال از حساب مدیریت سازمان AWS و منابعی مانند SG ، EC2 و AWS پیکربندی از حساب عضو.

  • در مرحله اول ، شما باید وارد حساب مدیریت شوید (Josephndambombi “AccountID xxxxxxxxx6565”). به نوار جستجو کنسول مدیریت بروید و مدیر Firewall AWS را جستجو کنید ، روی Get Start کلیک کنید.

https%3A%2F%2Fdev to

  • شناسه حساب حساب مدیریت خود (xxxxxxxx6565) را در حساب حساب قرار دهید و بر روی حساب Create Administrator کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F2ml81pm0vpr4kkzfq5rj

  • ورود به حساب عضو خود (FIREWALL1 “شناسه حساب xxxxxxxx3165”) و اولین پیش نیاز برای مدیر فایروال پیکربندی AWS در حساب های عضو است. پیکربندی AWS را در نوار جستجو جستجو کنید و اگر اولین بار است که می توانید پیکربندی را بر روی تنظیم 1 کلیک کنید. اگر اولین بار نیست ، باید روی تنظیمات کلیک کنید و فعال کنید. همه چیز را به صورت پیش فرض نگه دارید ، روی ایجاد یک سطل کلیک کنید و ایجاد کنید.

https%3A%2F%2Fdev to

ایجاد گروه امنیتی

  • پس از ایجاد پیکربندی AWS ، ما به دو SG نیاز خواهیم داشت. یکی از مواردی که به عنوان SG ناامن برای فایروال عمل می کند ، می تواند به عنوان غیر صلاحیت تشخیص دهد و یکی از آنها امن باشد که آیا مدیر فایروال شکایت SG را تشخیص می دهد. به کنسول EC2 بروید. به پایین بروید ، روی گروه امنیتی کلیک کنید و یک گروه امنیتی ایجاد کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F7m13uvzpvwhdnni6p2f0

  • به آن یک نام (ناامن-SG) بدهید ، توضیحات و به قوانین ورودی بروید.

https%3A%2F%2Fdev to

  • برای قوانین ورودی ، روی Add Rule کلیک کرده و پورت 3306 را برای MySQL DB اضافه کنید. برای آدرس IP هر IP عمومی را قرار دهید (215.165.85.250/32). از آنجا که پایگاه داده ها مجاز به دسترسی به آدرس های عمومی نیستند ، این SG ناامن خواهد بود و می خواهید FWM این دسترسی ناامن را تشخیص دهد. به پایین بروید و برای ایجاد SG کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2F1pbqyia67eidjnzohhiy

  • نیاز به ایجاد یک گروه امنیتی دیگر که SG امن برای این نسخه ی نمایشی (Secure-SG) است. بر روی ایجاد امنیت SG کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fk94dvublo2131yk3stgp

  • به آن یک نام (Secure-SG) بدهید ، توضیحات دهید و به قوانین ورودی بروید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbvy54twr8dje6k205k5c

  • بر روی Add Rule کلیک کنید ، “3306” را برای پورت و یک آدرس IP خصوصی “10.0.0.0/32” تایپ کنید ، که SGE SEF است. به پایین بروید و روی ایجاد SG کلیک کنید

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fz32ate1jd744rrlglah7

ایجاد نمونه EC2.

  • ما به دو نمونه EC2 نیاز داریم تا به SG ناامن و ایمن متصل شویم تا آزمایش کند که آیا مدیر فایروال قصد دارد آنها را تشخیص دهد. به کنسول EC2 بروید و روی نمونه های پرتاب کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frtslloksgwiu41mfcvjd

  • به آن یک نام (Demo-EC2) بدهید و همه چیز را به صورت پیش فرض نگه دارید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fv2mw3s9rw0yclnjwq2na

  • بدون یک جفت کلید ادامه دهید ، ✅ را در گروه امنیتی موجود انتخاب کنید و SG ناامن ایجاد شده در بالا (ناامن-SG) را وصل کنید. به پایین بروید و روی نمونه راه اندازی کلیک کنید.

https%3A%2F%2Fdev to

  • نمونه دوم را ایجاد کنید که EC2 امن خواهد بود. روی نمونه پرتاب کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Frfb1mfh4gm905am8bdv9

  • به آن یک نام (Secure-Demo-EC2) بدهید و به پایین بروید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fgh8mwpj8eeyqfqgrsmap

  • بدون یک جفت کلید ادامه دهید ، بر روی Select Security Group موجود کلیک کنید و گروه امنیتی امن (Secure-SG) را وصل کنید. به پایین بروید و روی نمونه پرتاب کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fws1y1lvhk7qlosge0nog

  • اکنون باید دو نمونه EC2 داشته باشید. یکی که ایمن است و یک نمونه ناامن.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fzgampmbisikqu2shcv01

با راه اندازی یک گروه امنیتی ایده آل (امن ترین برای دنبال کردن) در حساب مدیریت (Josephndambombi) ، مدیر فایروال گروه های امنیتی را در حساب های عضو (Firewall1) بر اساس SG ایده آل ارزیابی می کند.

  • بازگشت به حساب مدیریت (Josephndambombi “AccountID: xxxxxxxx6565”) به EC2 بروید ، به گروه امنیتی بروید و روی ایجاد گروه امنیتی کلیک کنید.

https%3A%2F%2Fdev to

  • به آن یک نام (حسابرسی SG) بدهید ، توضیحات و به قوانین ورودی بروید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fzvpoql8dzvchjku71b20

  • بر روی Add Rule ، Port 3306 و در منبع IP کل محدوده CIDR را برای محدوده IP خصوصی (10.0.0.0/8) وصل کنید ، که هیچ محدوده IP عمومی را مجاز نمی کند. به پایین بروید و روی ایجاد گروه امنیتی کلیک کنید.

https%3A%2F%2Fdev to

  • در حساب مدیریت (Josephndambombi) به مدیر فایروال بروید ، روی خط مشی های امنیتی کلیک کرده و بر روی خط مشی ایجاد کلیک کنید.

https%3A%2F%2Fdev to

  • منطقه خود را برای ایجاد این منابع در حساب مدیریت و در حساب عضو (Firewall1) در نظر داشته باشید. منطقه را انتخاب کنید “شرق ایالات متحده (N.Virginia)” ، تحت جزئیات سیاست از آنجا که ما در حال حسابرسی SG هستیم که در گروه امنیتی بررسی می کنید. ✅ ✅ را در مورد حسابرسی و اجرای قوانین گروه امنیتی بررسی کنید ، روی Next کلیک کنید.

https%3A%2F%2Fdev to

  • یک نام خط مشی (DB-Access-SG-Policy) بدهید ، توضیحی بدهید. قوانین خط مشی سفارشی را پیکربندی کنید و به پایین بروید.

https%3A%2F%2Fdev to

  • در قانون سفارشی ، روی Add Security Groups کلیک کرده و SG IDEAL (AUDIT-SG) را انتخاب کنید که برای استفاده از Firewall Manager ایجاد کرده اید ، روی Next کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fu6vur3ejy6mkuq122dk0

  • بررسی کنید ✅ کلیه حسابهای موجود در سازمان من را درج کنید ، همه نوع منابع و منابع را انتخاب کنید ✅ کلیه منابعی را که مطابق با نوع منابع انتخاب شده است ، درج کنید. روی Next کلیک کنید

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Flare49griadnohr23cp7

  • برچسب های خط مشی را به صورت پیش فرض نگه دارید و روی Next کلیک کنید

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fbhaazco358cjn427qqym

  • جزئیات را مرور کنید ، به پایین بروید و روی ایجاد خط مشی کلیک کنید.

https%3A%2F%2Fdev to

2 ⃣step 2: آزمایش اگر مدیر فایروال بتواند این SG ایمن و ناامن را تشخیص دهد ، موارد و ENI که پس از ایجاد به موارد وصل شده اند.

  • اولین جابجایی به حساب عضو (Firewall1) ، به پیکربندی AWS بروید ، باید 3 شکایت و 3 منبع غیرقانونی را ببینید. که منابع امن و ناامن ایجاد شده در ابتدای این نسخه ی نمایشی هستند.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Ftl81du240vsyhi02bz2z

  • روی قوانین کلیک کنید و باید ببینید که Firewall Manager پیکربندی را برای تشخیص منابع غیر سازگار ایجاد کرده است.

https%3A%2F%2Fdev to

  • بر روی قانون ایجاد شده کلیک کنید و سه منبع را که در اوایل این نسخه ی نمایشی ایجاد شده اند برای تشخیص منابع ناامن مشاهده خواهید کرد. این ناامن-SG ، Demo-EC2 و ENI است که به عنوان غیر سازگار به نمونه EC2 متصل است. نشان می دهد که به درستی کار می کند.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fg8kzh9ulw7y0tlza879j

  • برای بررسی آنچه مدیر فایروال به عنوان شکایت و عدم سازگار در سازمان AWS پیدا کرده است ، به حساب مدیریت (Josephndambombi) وارد شوید. بر روی خط مشی های امنیتی (DB-ACCESS-SG-POLICY) کلیک کنید.

https%3A%2F%2Fdev to uploads.s3.amazonaws.com%2Fuploads%2Farticles%2Fznut7tzvj5zfzif2283h

  • شما می توانید حساب مدیریت (josephndambombi “xxxxxxxx6565”) را شکایت کنید و حساب عضو (فایروال 1 “xxxxxxxx3165”) به دلیل 3 منبع ناامن در حساب عضو ، سازگار نیست. روی حساب عضو کلیک کنید.

https%3A%2F%2Fdev to

  • شما همان منابع ناامن را که در بالا ایجاد شده است (Demo-EC2 ، ناامن-SG و ENI نمونه) پیدا خواهید کرد. و به دلیل اعتبار سنجی ، خواهید دید که این خط مشی گروه امنیتی حسابرسی را که قبلاً ایجاد شده است نقض می کند.

https%3A%2F%2Fdev to

برای حل این مسئله فقط امکان تنظیم خودکار در مدیر فایروال را فعال کنید یا به حساب عضو وارد شوید و قوانین ورودی ناامن-SG را ویرایش کنید تا از محدوده IP منبع خصوصی برخوردار باشد.

فراموش نکنید که ابتدا با خاتمه دادن به موارد EC2 ، حذف SGS و حذف سیاست فایروال ، منابع را پاک کنید

Hurray.

بهترین روشها

  • قبل از فعال کردن اصلاح ، در حالت حسابرسی شروع کنید تا تأثیر را درک کنید.
  • منابع خود را برای ساده کردن خط مشی خط مشی برچسب بزنید.
  • جمع کننده های پیکربندی AWS را فعال کنید تا یک دیدگاه یکپارچه در مناطق و حساب ها داشته باشند.
  • برای جمع آوری و اولویت بندی یافته های امنیتی از Hub Security AWS استفاده کنید.

پایان

AWS Firewall Manager مدیریت و حسابرسی گروه های امنیتی را در چندین حساب در سازمان های AWS آسانتر می کند. با دنبال کردن این راهنما ، می توانید اطمینان حاصل کنید که گروه های امنیتی خود به بهترین روشها پایبند هستند و خطر پیکربندی غلط را کاهش می دهند.

اگر این پست را مفید پیدا کردید یا در مورد مدیریت امنیت AWS سؤالی دارید ، در زیر اظهار نظر کنید! 👇🏾 و لطفاً برای مطالب بیشتر مانند این دوست داشته باشید و به اشتراک بگذارید

توسط جوزف ندممبومبی هونپا در 20 مارس ،

پیوند متعارف

در 21 مارس 2025 از Medium صادر شد.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا