Vortrag "AWS Account Management im Unternehmensumfeld" von Andreas Heidoetting beim AWS Security Web Day 2016. Alle Videos und Präsentationen finden Sie hier: http://amzn.to/1NFtR5P
Dieser Vortrag befasst sich mit Sicherheitskonzepten rund um die Verwendung mehrerer AWS Accounts zur Vermeidung schwerwiegender Konsequenzen von Cyberattacken, sowie der Entdeckung von Angriffen, um Gegenmaßnahmen unverzüglich einleiten zu können. Behandelt werden die Aufgaben- und Funktionstrennung in der Ressourcen- und Benutzerverwaltung, der Schutz von Logfiles, Backups, geistigem Eigentum gegen Verlust oder Manipulation, die Absicherung der AWS Zugänge, sowie Möglichkeiten der Angriffserkennung und Methoden zur Alarmierung und Abwehr.
Deploying and Scaling Your First Cloud Application with Amazon Lightsail
AWS Account Management im Unternehmensumfeld - AWS Security Web Day
1. AWS Account Management
im Unternehmensumfeld
Andreas Heidötting – Director Systems Admin, NASDAQ
Creative Commons: Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
1
2. Inhalt
• Verwendung mehrerer AWS Accounts
• Entdeckung von Angriffen
• Einleitung von Gegenmaßnahmen
• Vermeidung von Konsequenzen
• Aufgaben- und Funktionstrennung
• Ressourcen- und Benutzerverwaltung
• Schutz von Logfiles, Backups, geistigem Eigentum
• Absicherung der AWS Zugänge
• Angriffserkennung, Alarmierung und Abwehr
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
2
3. Risiken
• Unberechtigter Zugriff auf die AWS Konsole bzw. AWS APIs
• Verlust der Kontrolle über Ressourcen- und Benutzerverwaltung
• Verlust bzw. Manipulation von Daten, Logfiles, Source Code
• Zusätzliche Kosten, die durch den Missbrauch entstehen
• Haftung für die durch den Missbrauch entstehenden Schäden
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
3
4. Sicherheit bei einem Account
AWS Account
CodeCommit
CodeDeploy
CodePipeline
CloudWatch Logs
CloudTrail
Config
Identity & Access Management
Root User
Policies
Groups
Users
Development
EC2 RDS
Integration
EC2 RDS
Test
EC2 RDS
Production
EC2 RDS
Password Policy
+
+
S3 LogfilesBackups
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
Intellectual
Property
Conditions
TesterDeveloper Operations Network Security Audit HackerServiceDesk Storage Data Base
Security Challenge
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
4
7. Identitäts- und Zugriffsverwaltung
Identity & Access Management
Root User
Policies
Groups
Users
Password Policy
+
+
Conditions
Security Challenge
Identity & Access
Management Example
Identity & Access Management
Root User
Policies
Roles
+
Conditions
Security Challenge
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
Test
Integration
Production
Billing
Logging
Backup
Intellectual Property
Roles
Development
Roles
Roles
Roles Roles
Roles
Roles
Roles
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
7
8. Systemumgebungen
Roles
Identity & Access
Management Account
Development Account Test Account Integration Account Production Account
IAM Master Role
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
IAM Manager Role
Create Users / Groups
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Developer Assume Developer Role Limited Read Only Read Only None
Tester Assume Tester Role Read Only Limited Limited None
Operations
Assume Operations Role
Assume IAM Manager Role
Limited Limited Limited Limited
ServiceDesk Change User passwords None None None None
Network Assume Network Role Limited Limited Limited Limited
Storage Assume Storage Role Limited Limited Limited Limited
Data Base Assume Data Base Role Limited Limited Limited Limited
Security
Assume Security Role
Assume IAM Master Role
Limited Limited Limited Limited
Audit Assume Audit Role Read Only Read Only Read Only Read Only
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
8
9. Systemumgebungen
Identity & Access Management
Policies
Groups
Users
Password Policy
+
Conditions
Identity & Access
Management
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
Application 1
EC2 RDS
Application 2
EC2 RDS
Integration
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Development
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Production
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Test
Roles
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
9
10. Identitäts- und Zugriffsverwaltung
• Absichern des AWS Root Users
• Setzen einer sicheren Passwort-Richtlinie
• Erstellen von IAM Benutzern
• Verwendung von Multi-Faktor-Authentifizierungs-Geräten
• Verwendung von IAM Gruppen
• Vergabe von minimalen Zugriffsrechten
• Einschränkung des Zugriffs durch Bedingungen in Richtlinien
• Verwendung einer zentralen Benutzerverwaltung
• Verwendung von IAM Rollen
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
10
11. Protokollierung
Identity & Access Management
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
CloudTrail
Config
Environment Accounts
[Development]
[Test]
[Integration]
[Production]
Intellectual Property
CloudWatch Logs
CloudTrail
Config
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
S3
Backup Account
CloudTrail
Config
Billing Account
CloudTrail
Config
Logging Account
Region 1
+ Versioning
+ MFA Delete
+ Replication
Region 2
+ Versioning
+ MFA Delete
Lambda
SQS SES
SNS
SNS
SNS
SNS
Config
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
11
13. Geistiges Eigentum
CodeCommit
CodeDeploy
CodePipeline
Intellectual Property
S3
+ Versioning
+ MFA Delete
EC2 AMIs
+ Sharing
Reproducible Builds
Application 1 Application 2
Integration
Application 1
EC2
Application 2
Development
Application 1 Application 2
Production
Application 1 Application 2
Test
EC2 Shared AMIs
CodeDeploy
EC2
CodeDeploy
EC2 EC2
CodeDeploy
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
EC2 Shared AMIs
EC2 Shared AMIsEC2 Shared AMIsOpsWorks
Desired State Configuration
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
13
14. Funktionsumgebungen
Roles Billing Account Logging Account Backup Account Intellectual Property Account
IAM Master
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
Create / Modify Policies
Enable IAM Manager
IAM Manager
Create Roles
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Create Roles
Use Pre-Defined Policies
Developer None Read Only Read Only Commit Code
Tester None Read Only Read Only Deploy Code to Test
Operations Read Only Read Only Read Only
Deploy Code to Intergation
Deploy Code to Production
ServiceDesk None Read Only Read Only None
Network None Read Only Read Only None
Storage None Read Only Read Only None
Data Base None Read Only Read Only None
Security None Read Only Read Only Read Only
Audit None Read Only Read Only Read Only
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
14
15. Funktionsumgebungen
• Aktivierung der Protokollierung
• Aggregieren von Logfiles
• Schutz von Logfiles
• Tools zur Analyse und Überwachung
• Erstellung von Backups
• Zentralisierung von Backups
• Schutz von Backups
• Zentralisierung von geistigem Eigentum
• Schutz von geistigem Eigentum
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
15
16. IAM Credential Report
• Verwendung des IAM Credential Reports
• Entfernen von ungenutzten IAM Usern
• Entfernen von ungenutzten IAM User Konsolen-Passwörtern
• Entfernen von ungenutzten IAM User API Access Keys
• Zwei API Access Keys pro IAM User
• Rotation der API Access Keys
• Keine API Access Keys für den AWS Root User, IAM Master, IAM
Manager
• IAM Rollen für Applikationen, die auf Amazon EC2 Instance laufen
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
16
17. Erreichbarkeit
• Kontrolle der eignen Kontaktdaten
• Zusätzliche Ansprechpartner
• Kontrolle der von Amazon verschickten E-Mails
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
17
18. Überwachung mit CloudWatch Logs
Metric Filter
+ Alarm
CloudWatch
Logs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Email / SMS
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
18
19. CloudWatch Logs + Metric Filter / Alarm
• Verwendung des Root Users
• Verwendung der AWS Konsole ohne MFA-Gerät
• Verwendung der AWS API ohne MFA-Gerät
• Fehlgeschlagene Anmeldeversuche an der AWS Konsole
• Verwendung von nicht erlaubten API Kommandos
• Veränderung von IAM Richtlinien
• Verwendung großer EC2 Instanz-Typen
• Veränderung der CloudTrail-Einstellungen
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
19
20. CloudTrail / Root User
CloudTrail
Quelle: CloudTrail Events in CloudWatch Logs
Dienst: CloudWatch Logs Metric Filter
Filter: { $.userIdentity.type = "Root" &&
$.userIdentity.invokedBy NOT EXISTS &&
$.eventType != "AwsServiceEvent" }
Alarm: Summe >= 1 in 5 minute(s)
Aktion: Send E-Mail notifications
Metric Filter
+ Alarm
CloudWatch
Logs
Email / SMS
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
20
22. Beispiele
• CloudTrail/Veränderung von IMA Richtlinien
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||
($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||
($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||
($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||
($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||
($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||
($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||(
$.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
22
23. CloudTrail / Anmeldeversuche an der AWS Konsole
CloudTrail
Quelle: CloudTrail Events in CloudWatch Logs
Dienst: CloudWatch Logs Metric Filter
Filter: { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
Alarm: Summe >= 3 in 5 minute(s)
Aktion: Send E-Mail notifications
Metric Filter
+ Alarm
CloudWatch
Logs
Email / SMS
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
23
24. CloudWatch Logs + Lambda
Lambda
Parsing Logic
Action
SNS Email / SMS
CloudWatch
Logs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
24
25. Gegenmaßnamen
• Verwendung der AWS Konsole ohne MFA-Gerät
=> Benutzer sperren
• Fehlgeschlagene Anmeldeversuche an der AWS Konsole
=> Benutzer sperren
• Verwendung der AWS API ohne MFA-Gerät
=> API Zugriff sperren
• Verwendung großer EC2 Instanz-Typen
=> Stoppen der Instanzen
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
25
26. Einschränkungen / Kosten
• Lambda Funktionen pro AWS Account
• Kosten für Langzeitarchivierung
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
26
27. Kinesis
Amazon S3
Lambda
Parsing Logic
Action
SNS Email / SMS
Überwachung mit CloudWatch Logs
CloudWatch
Logs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
27
28. Überwachung von CloudTrail / Config via S3
CloudTrail S3 Bucket
CloudTrail Logs
Lambda
Parsing Logic
Action
SNS Email / SMS
Config S3 Bucket
Config Logs
< 15 m
< 6h
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
28
29. Überwachung von CloudFront / S3 / ELB via S3
S3 Bucket
CloudTrail Logs
Lambda
Parsing Logic
Action
SNS Email / SMS
S3 Bucket
ELB Logs
ELB
CloudFront
S3 S3 Bucket
CloudTrail Logs
< 15 m
< 15 m
< 15 m
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
29
30. Überwachung Config via SNS / Rules
Lambda
Parsing Logic
Action
SNS Email / SMS
< 1 m
Config
SNS
Triggered Rules
Schedule Rules
Instant
Defined
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
30
32. Einblick & Verständnis
KibanaElastic
Search
CloudWatch
Logs
LambdaVPC Flow LogsOS & App Logs
& &
CloudTrail Amazon S3Config
&
ELBCloudFront S3
& & &
CloudTrail
&
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
32
33. Zusammenfassung
AWS Accounts
CloudWatch
Logs
CloudTrail
Config
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
S3
Region 1
+ Versioning
+ MFA Delete
+ Replication
Region 2
+ Versioning
+ MFA Delete
Lambda
OS & App Logs
Kinesis
Kibana
Elastic Search
Action
SNS
Email / SMSKibana
AWS Logging Account
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
33
34. Lambda im Detail
AWS Security Blog by Sébastien Stormacq
How to Receive Alerts When Specific APIs Are
Called by Using AWS CloudTrail, Amazon SNS, and
AWS Lambda (May 15, 2015)
https://blogs.aws.amazon.com/security/post/Tx2ZTUVN2VGBS85/
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
34
35. Zusammenspiel der AWS Dienste
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
1 2 4 5
3
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
35
36. Prozess Schritt #1
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
1
• CloudTrail erstellt Protokolleinträge für API Aufrufe.
• CloudTrail aggregiert Protokolleinträge in einer JSON Text Datei,
komprimiert und speichert diese im konfigurierten S3 Bucket.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
36
37. Prozess Schritt #2
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
2
• Die Logik zur Verarbeitung der Logzeilen steckt in einer Lambda
Funktion.
• Die Lambda Funktion wird durch S3 aufgerufen, wenn von CloudTrail
eine neue Datei hochgeladen wird.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
37
38. Prozess Schritt #3
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
3
• Die Lambda Funktion lädt beim Start eine Konfigurationsdatei
herunter, in der die gewünschten Suchfilter enthalten sind.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
38
39. Prozess Schritt #4
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
4
• Bei Filter-Treffern übergibt Lambda Benachrichtigungen an SNS.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
39
40. Prozess Schritt #5
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
5
• SNS verteilt die Benachrichtigungen an Abonnenten.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
40
41. Konfiguration
• S3 Bucket erstellen
• SNS Topic erstellen
• Abonnements bestätigen
• CloudTrail konfigurieren
• IAM Rolle für Lambda Funktion erstellen
• Lambda Funktion erstellen
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
41
42. Lambda Schritt für Schritt
1. CloudTrail speichert eine neue Protokolldatei auf S3.
2. S3 ruft die verknüpfte Lambda Funktion auf und übergibt JSON Struktur.
3. Lambda läd die Konfigurationsdatei herunter.
4. Lambda findet in S3 JSON Struktur den Pfad der CloudTrail
Protokolldatei.
5. Lambda läd die CloudTrail Protokolldatei herunter.
6. Lambda dekomprimiert die Protokolldatei.
7. Lambda verwendet konfigurierte Suchfilter.
8. Lambda verschickt Benachrichtigungen.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
42
44. CloudTrail JSON Struktur
{
"eventVersion": "1.02",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012"
},
"eventTime": "2016-01-12T18:06:19Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "92.72.234.83",
"userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "Yes"
},
"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
44
45. Benachrichtigungen
ACHTUNG: Der Root User hat sich erfolgreich an der Konsole von Account
123456789012 angemeldet.
userIdentity/type : Root
userIdentity/principalId : 123456789012
userIdentity/arn : arn:aws:iam::123456789012:root
userIdentity/accountId : 123456789012
eventTime : 2016-01-12T18:06:19Z
eventSource : signin.amazonaws.com
eventName : ConsoleLogin
awsRegion : us-east-1
sourceIPAddress : 92.72.234.83
userAgent : Mozilla/5.0 (Windows NT 6.3; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
requestParameters : null
responseElements : {"ConsoleLogin":"Success"}
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
45
46. Was überwachen?
• CloudTrail / Verwendung des Root Users bzw. der "IAM Master” Rolle
=> Alarm per SMS / E-Mail
• CloudTrail / Deaktivierung von CloudTrail
=> Alarm per SMS / E-Mail / Re-Aktivierung von CloudTrail
• CloudTrail / Erfolgreicher Zugriff von unbekannten IP-Adressen
=> Alarm per SMS / E-Mail / Zugang sperren
• CloudTrail / Verwendung der "IAM Manager" Rolle
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• Config o. API / Existenz von Root User API Access Keys
=> Tägliche Zusammenfassung per E-Mail / Deaktivieren des Access Keys
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
46
47. Was überwachen?
• Config o. API / Fehlen von Bedingungen bei "IAM Master", "IAM Manager" Rolle
=> Tägliche Zusammenfassung per E-Mail / Aktivierung der Bedingungen
• Config o. API / Fehlen von CloudTrail in AWS Regionen
=> Tägliche Zusammenfassung per E-Mail / Aktivierung von CloudTrail
• CloudTrail / Aufruf von Kommandos ohne Berechtigung
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• CloudTrail / Verweigerte Zugriffe von unbekannten IP-Adressen
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• CloudTrail / Erfolgreiche Zugriffe von unbekannten Benutzern
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
47
48. Automatisierung
• AWS CloudTrail
für alle Regionen
• AWS CloudFormation
CloudTrail / CloudWatch Logs / Metrik Filter + Alarme
• AWS SDKs
Python (Boto3), PowerShell / .NET, Java, Ruby, C++, Go,
• AWS Partner
Technology Partner Security
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
48
50. Copyright (CC BY-NC-ND 3.0)
Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/legalcode
Sie dürfen:
• Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
Unter folgenden Bedingungen:
• Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link
zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen
in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck
entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
• Nicht kommerziell — Sie dürfen das Material nicht für kommerzielle Zwecke nutzen.
• Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig
direkt aufbauen dürfen Sie die bearbeitete Fassung der Materials nicht verbreiten.
• Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische
Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
50