【问题标题】:How to increase IPs/Ports Security in AWS Security Groups and Network ACL?如何提高 AWS 安全组和网络 ACL 中的 IP/端口安全性?
【发布时间】:2021-07-10 13:43:53
【问题描述】:

我有以下 AWS 架构:

可以由 API Gateway、SNS 或 SQS 触发 lambda。

我尝试尽可能关闭安全组的 IP 和端口以及 Lambda 和 RDS 基础设施的 ACL。

RDS的SG和NACL很封闭,只允许Lambda访问,但是Lambda安全组和NACL是开放的0.0.0.0/0 Inbound/Outbound。

看下面的结构:

  • NAT 网关使用端口 1024-65535。
  • AWS Lambda 函数使用端口 1024-65535。

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html

API Gateway 支持以下端点端口:80、443 和 1024-65535。

https://docs.aws.amazon.com/apigateway/latest/developerguide/setup-http-integrations.html

我使用 VPC Flow 查看了哪些 IP 和端口正在进入 Lambda 子网,以及我可以理解它们是动态的并且不断变化的。

我在许多建议中发现您不应该使用 0.0.0.0/0 并且应该尽可能关闭 IP 和端口,我怎样才能关闭更多我的安全架构?

我还发现这个链接创建了一个 lambda 以在亚马逊的 IP 列表中动态创建基于规则的规则。这是最好的方法吗?

https://blog.rowanudell.com/updating-security-groups-with-lambda/

【问题讨论】:

    标签: amazon-web-services security amazon-ec2 aws-lambda aws-security-group


    【解决方案1】:

    您已经为安全做了很多准备,但是对于生产帐户,为了进一步防弹,我建议您不仅应该关注 ip/ports 和 ACL,还应该评估其他基础设施组件。

    您正在使用大量 AWS 基础设施元素,并且还需要评估这些元素是否配置错误。

    为了评估您的架构/部署的安全状况,我将提出以下建议。

    1. 使用开源工具 prowler 对您的帐户执行 CIS/GDPR 合规性检查。

    https://github.com/toniblyx/prowler

    CIS 基准供参考:https://www.cisecurity.org/benchmark/amazon_web_services/

    以高优先级解决评分结果。

    1. 启用和配置 AWS Config 规则(AWS 提供的规则)以检查您账户中正在进行的活动并实施某种动态合规性。为新发现启用 SNS 通知。

    https://aws.amazon.com/config/#:~:text=AWS%20Config%20is%20a%20service,recorded%20configurations%20against%20desired%20configurations.

    https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html

    1. 启用 AWS 安全中心并启用以下检查:
    AWS Foundational Security Best Practices 
    AWS Inspector assessment 
    CIS AWS Foundations Benchmark v1.2.0 
    PCI DSS
    
    1. 通过为您的帐户/区域启用云跟踪日志来启用审核。

    问候 阿米特·米娜

    【讨论】:

    • 感谢您的安全提示 Amit Meena,我尝试使用 prowler,它显示了许多安全点,并显示“发现允许 0.0.0.0 IN 或 OUT 流量”和补救措施:“应用零信任方法。实施一个流程来扫描和修复不受限制或过于宽松的安全组。推荐的最佳实践是缩小所需最小端口的定义。”。但没有显示如何缩小 IP 和端口的范围。我在 Security Hub 中做了一些阅读,显然也只是指出存在问题,但我找不到解决方法。
    • 哇!!这是一个伟大的步骤@Leonardo 我同意 Prowler 指出了差距,但不建议进行详细的补救。有关详细的修复步骤,我建议请下载 CIS Amazone 基准测试:cisecurity.org/benchmark/amazon_web_services 并执行提供的修复步骤。
    猜你喜欢
    • 2020-12-31
    • 1970-01-01
    • 1970-01-01
    • 2016-10-06
    • 1970-01-01
    • 2015-03-14
    • 1970-01-01
    • 2020-12-10
    • 2023-03-27
    相关资源
    最近更新 更多