AWS Account Management im Unternehmensumfeld - AWS Security Web Day

AWS Account Management
im Unternehmensumfeld
Andreas Heidötting – Director Systems Admin, NASDAQ
Creative Commons: Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
Donnerstag, 28. Januar 2016
09:00 Uhr MEZ
Amazon Web Services Security Cloud Web Day
AWS Account Management im Unternehmensumfeld
CC BY-NC-ND 3.0
1

Inhalt
• Verwendung mehrerer AWS Accounts
• Entdeckung von Angriffen
• Einleitung von Gegenmaßnahmen
• Vermeidung von Konsequenzen
• Aufgaben- und Funktionstrennung
• Ressourcen- und Benutzerverwaltung
• Schutz von Logfiles, Backups, geistigem Eigentum
• Absicherung der AWS Zugänge
• Angriffserkennung, Alarmierung und Abwehr
09:00 Uhr MEZ
CC BY-NC-ND 3.0
2

Risiken
• Unberechtigter Zugriff auf die AWS Konsole bzw. AWS APIs
• Verlust der Kontrolle über Ressourcen- und Benutzerverwaltung
• Verlust bzw. Manipulation von Daten, Logfiles, Source Code
• Zusätzliche Kosten, die durch den Missbrauch entstehen
• Haftung für die durch den Missbrauch entstehenden Schäden
09:00 Uhr MEZ
CC BY-NC-ND 3.0
3

Sicherheit bei einem Account
AWS Account
CodeCommit
CodeDeploy
CodePipeline
CloudWatch Logs
CloudTrail
Config
Identity & Access Management
Root User
Policies
Groups
Users
Development
EC2 RDS
Integration
EC2 RDS
Test
EC2 RDS
Production
EC2 RDS
Password Policy
+
+
S3 LogfilesBackups
Lambda
Elastic Load Balancing
VPC Flow Logs
CloudFront
Intellectual
Property
Conditions
TesterDeveloper Operations Network Security Audit HackerServiceDesk Storage Data Base
Security Challenge
09:00 Uhr MEZ
CC BY-NC-ND 3.0
4

Mehrere Accounts
Test
Integration
Production Billing
Logging
Backup
Intellectual PropertyDevelopment
Access & Identity
Management
Hacker
09:00 Uhr MEZ
CC BY-NC-ND 3.0
5

Abrechnung
Test
Integration
Production
Billing
Logging
Backup
Intellectual Property
Development Identity & Access
Management
S3
Detailed Billing
09:00 Uhr MEZ
CC BY-NC-ND 3.0
6

Identitäts- und Zugriffsverwaltung
Root User
Policies
Groups
Users
Password Policy
+
+
Conditions
Security Challenge
Identity & Access
Management Example
Root User
Policies
Roles
+
Conditions
Security Challenge
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
Test
Integration
Production
Billing
Logging
Backup
Roles
Development
Roles
Roles
Roles Roles
Roles
Roles
Roles
09:00 Uhr MEZ
CC BY-NC-ND 3.0
7

Systemumgebungen
Roles
Identity & Access
Management Account
Development Account Test Account Integration Account Production Account
IAM Master Role
Create / Modify Policies
Enable IAM Manager
Enable IAM Manager
Enable IAM Manager
Enable IAM Manager
Enable IAM Manager
IAM Manager Role
Create Users / Groups
Use Pre-Defined Policies
Create Roles
Create Roles
Create Roles
Create Roles
Developer Assume Developer Role Limited Read Only Read Only None
Tester Assume Tester Role Read Only Limited Limited None
Operations
Assume Operations Role
Assume IAM Manager Role
Limited Limited Limited Limited
ServiceDesk Change User passwords None None None None
Network Assume Network Role Limited Limited Limited Limited
Storage Assume Storage Role Limited Limited Limited Limited
Data Base Assume Data Base Role Limited Limited Limited Limited
Security
Assume Security Role
Assume IAM Master Role
Limited Limited Limited Limited
Audit Assume Audit Role Read Only Read Only Read Only Read Only
09:00 Uhr MEZ
CC BY-NC-ND 3.0
8

Systemumgebungen
Policies
Groups
Users
Password Policy
+
Conditions
Identity & Access
Management
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
Application 1
EC2 RDS
Application 2
EC2 RDS
Integration
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Development
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Production
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Test
Roles
09:00 Uhr MEZ
CC BY-NC-ND 3.0
9

Identitäts- und Zugriffsverwaltung
• Absichern des AWS Root Users
• Setzen einer sicheren Passwort-Richtlinie
• Erstellen von IAM Benutzern
• Verwendung von Multi-Faktor-Authentifizierungs-Geräten
• Verwendung von IAM Gruppen
• Vergabe von minimalen Zugriffsrechten
• Einschränkung des Zugriffs durch Bedingungen in Richtlinien
• Verwendung einer zentralen Benutzerverwaltung
• Verwendung von IAM Rollen
09:00 Uhr MEZ
CC BY-NC-ND 3.0
10

Protokollierung
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
Data Base
CloudTrail
Config
Environment Accounts
[Development]
[Test]
[Integration]
[Production]
CloudWatch Logs
CloudTrail
Config
Lambda
VPC Flow Logs
CloudFront
S3
Backup Account
CloudTrail
Config
Billing Account
CloudTrail
Config
Logging Account
Region 1
+ Versioning
+ MFA Delete
+ Replication
Region 2
+ Versioning
+ MFA Delete
Lambda
SQS SES
SNS
SNS
SNS
SNS
Config
09:00 Uhr MEZ
CC BY-NC-ND 3.0
11

Datensicherung
Application 1
EC2 RDS
Application 2
EC2 RDS
Integration
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Development
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Production
Roles
Application 1
EC2 RDS
Application 2
EC2 RDS
Test
Roles
Users +
Backup Account
Region 1
S3
+ Versioning
+ MFA Delete
+ Replication
Region 2
EBS Snapshots
+ Sharing
+ Copy
+ Replication
RDS Snapshots
+ Sharing
+ Copy
+ Replication
EBS Snapshots
+ Sharing
+ Copy
RDS Snapshots
+ Sharing
+ Copy
S3
+ Versioning
+ MFA Delete
09:00 Uhr MEZ
CC BY-NC-ND 3.0
12

Geistiges Eigentum
CodeCommit
CodeDeploy
CodePipeline
S3
+ Versioning
+ MFA Delete
EC2 AMIs
+ Sharing
Reproducible Builds
Application 1 Application 2
Integration
Application 1
EC2
Application 2
Development
Production
Test
EC2 Shared AMIs
CodeDeploy
EC2
CodeDeploy
EC2 EC2
CodeDeploy
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
EC2 Shared AMIs
EC2 Shared AMIsEC2 Shared AMIsOpsWorks
Desired State Configuration
09:00 Uhr MEZ
CC BY-NC-ND 3.0
13

Funktionsumgebungen
Roles Billing Account Logging Account Backup Account Intellectual Property Account
IAM Master
Enable IAM Manager
Enable IAM Manager
Enable IAM Manager
Enable IAM Manager
IAM Manager
Create Roles
Create Roles
Create Roles
Create Roles
Developer None Read Only Read Only Commit Code
Tester None Read Only Read Only Deploy Code to Test
Operations Read Only Read Only Read Only
Deploy Code to Intergation
Deploy Code to Production
ServiceDesk None Read Only Read Only None
Network None Read Only Read Only None
Storage None Read Only Read Only None
Data Base None Read Only Read Only None
Security None Read Only Read Only Read Only
Audit None Read Only Read Only Read Only
09:00 Uhr MEZ
CC BY-NC-ND 3.0
14

Funktionsumgebungen
• Aktivierung der Protokollierung
• Aggregieren von Logfiles
• Schutz von Logfiles
• Tools zur Analyse und Überwachung
• Erstellung von Backups
• Zentralisierung von Backups
• Schutz von Backups
• Zentralisierung von geistigem Eigentum
• Schutz von geistigem Eigentum
09:00 Uhr MEZ
CC BY-NC-ND 3.0
15

IAM Credential Report
• Verwendung des IAM Credential Reports
• Entfernen von ungenutzten IAM Usern
• Entfernen von ungenutzten IAM User Konsolen-Passwörtern
• Entfernen von ungenutzten IAM User API Access Keys
• Zwei API Access Keys pro IAM User
• Rotation der API Access Keys
• Keine API Access Keys für den AWS Root User, IAM Master, IAM
Manager
• IAM Rollen für Applikationen, die auf Amazon EC2 Instance laufen
09:00 Uhr MEZ
CC BY-NC-ND 3.0
16

Erreichbarkeit
• Kontrolle der eignen Kontaktdaten
• Zusätzliche Ansprechpartner
• Kontrolle der von Amazon verschickten E-Mails
09:00 Uhr MEZ
CC BY-NC-ND 3.0
17

Überwachung mit CloudWatch Logs
Metric Filter
+ Alarm
CloudWatch
Logs
VPC Flow
OS & App Logs
CloudTrail
Lambda
Email / SMS
09:00 Uhr MEZ
CC BY-NC-ND 3.0
18

CloudWatch Logs + Metric Filter / Alarm
• Verwendung des Root Users
• Verwendung der AWS Konsole ohne MFA-Gerät
• Verwendung der AWS API ohne MFA-Gerät
• Fehlgeschlagene Anmeldeversuche an der AWS Konsole
• Verwendung von nicht erlaubten API Kommandos
• Veränderung von IAM Richtlinien
• Verwendung großer EC2 Instanz-Typen
• Veränderung der CloudTrail-Einstellungen
09:00 Uhr MEZ
CC BY-NC-ND 3.0
19

CloudTrail / Root User
CloudTrail
Quelle: CloudTrail Events in CloudWatch Logs
Dienst: CloudWatch Logs Metric Filter
Filter: { $.userIdentity.type = "Root" &&
$.userIdentity.invokedBy NOT EXISTS &&
$.eventType != "AwsServiceEvent" }
Alarm: Summe >= 1 in 5 minute(s)
Aktion: Send E-Mail notifications
Metric Filter
+ Alarm
CloudWatch
Logs
Email / SMS
09:00 Uhr MEZ
CC BY-NC-ND 3.0
20

Beispiele
• CloudTrail/AWS Konsole ohne MFA-Gerät
{ $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed != "No" }
• CloudTrail/AWS APIs ohne MFA-Gerät
{ $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true"
• CloudTrail/nicht erlaubte API Kommandos
{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }
• CloudTrail/große EC2 Instanz-Typen
{ ($.eventName = RunInstances) && (($.requestParameters.instanceType =
*.8xlarge) || ($.requestParameters.instanceType = *.4xlarge)) }
• CloudTrail/Veränderung an CloudTrail
{ ($.eventName = CreateTrail) || ($.eventName = UpdateTrail) || ($.eventName =
DeleteTrail) || ($.eventName = StartLogging) || ($.eventName = StopLogging) }
09:00 Uhr MEZ
CC BY-NC-ND 3.0
21

Beispiele
• CloudTrail/Veränderung von IMA Richtlinien
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||
($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||
($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||
($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||
($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||
($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||
($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||(
$.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
09:00 Uhr MEZ
CC BY-NC-ND 3.0
22

CloudTrail / Anmeldeversuche an der AWS Konsole
CloudTrail
Quelle: CloudTrail Events in CloudWatch Logs
Dienst: CloudWatch Logs Metric Filter
Filter: { ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
Alarm: Summe >= 3 in 5 minute(s)
Aktion: Send E-Mail notifications
Metric Filter
+ Alarm
CloudWatch
Logs
Email / SMS
09:00 Uhr MEZ
CC BY-NC-ND 3.0
23

CloudWatch Logs + Lambda
Lambda
Parsing Logic
Action
SNS Email / SMS
CloudWatch
Logs
VPC Flow
OS & App Logs
CloudTrail
Lambda
09:00 Uhr MEZ
CC BY-NC-ND 3.0
24

Gegenmaßnamen
• Verwendung der AWS Konsole ohne MFA-Gerät
=> Benutzer sperren
• Fehlgeschlagene Anmeldeversuche an der AWS Konsole
=> Benutzer sperren
• Verwendung der AWS API ohne MFA-Gerät
=> API Zugriff sperren
• Verwendung großer EC2 Instanz-Typen
=> Stoppen der Instanzen
09:00 Uhr MEZ
CC BY-NC-ND 3.0
25

Einschränkungen / Kosten
• Lambda Funktionen pro AWS Account
• Kosten für Langzeitarchivierung
09:00 Uhr MEZ
CC BY-NC-ND 3.0
26

Kinesis
Amazon S3
Lambda
Parsing Logic
Action
SNS Email / SMS
Überwachung mit CloudWatch Logs
CloudWatch
Logs
VPC Flow
OS & App Logs
CloudTrail
Lambda
09:00 Uhr MEZ
CC BY-NC-ND 3.0
27

Überwachung von CloudTrail / Config via S3
CloudTrail S3 Bucket
CloudTrail Logs
Lambda
Parsing Logic
Action
SNS Email / SMS
Config S3 Bucket
Config Logs
< 15 m
< 6h
09:00 Uhr MEZ
CC BY-NC-ND 3.0
28

Überwachung von CloudFront / S3 / ELB via S3
S3 Bucket
CloudTrail Logs
Lambda
Parsing Logic
Action
SNS Email / SMS
S3 Bucket
ELB Logs
ELB
CloudFront
S3 S3 Bucket
CloudTrail Logs
< 15 m
< 15 m
< 15 m
09:00 Uhr MEZ
CC BY-NC-ND 3.0
29

Überwachung Config via SNS / Rules
Lambda
Parsing Logic
Action
SNS Email / SMS
< 1 m
Config
SNS
Triggered Rules
Schedule Rules
Instant
Defined
09:00 Uhr MEZ
CC BY-NC-ND 3.0
30

Überwachung CloudWatch Events
Lambda
Action
SNS
CloudWatch
Events
Kinesis
CloudWatch
Rules
OS & App Logs
CloudTrail
Lambda
EC2
09:00 Uhr MEZ
CC BY-NC-ND 3.0
31

Einblick & Verständnis
KibanaElastic
Search
CloudWatch
Logs
LambdaVPC Flow LogsOS & App Logs
& &
CloudTrail Amazon S3Config
&
ELBCloudFront S3
& & &
CloudTrail
&
09:00 Uhr MEZ
CC BY-NC-ND 3.0
32

Zusammenfassung
AWS Accounts
CloudWatch
Logs
CloudTrail
Config
Lambda
VPC Flow Logs
CloudFront
S3
Region 1
+ Versioning
+ MFA Delete
+ Replication
Region 2
+ Versioning
+ MFA Delete
Lambda
OS & App Logs
Kinesis
Kibana
Elastic Search
Action
SNS
Email / SMSKibana
AWS Logging Account
09:00 Uhr MEZ
CC BY-NC-ND 3.0
33

Lambda im Detail
AWS Security Blog by Sébastien Stormacq
How to Receive Alerts When Specific APIs Are
Called by Using AWS CloudTrail, Amazon SNS, and
AWS Lambda (May 15, 2015)
https://blogs.aws.amazon.com/security/post/Tx2ZTUVN2VGBS85/
09:00 Uhr MEZ
CC BY-NC-ND 3.0
34

Zusammenspiel der AWS Dienste
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
Amazon SNS Email Subscription
1 2 4 5
3
09:00 Uhr MEZ
CC BY-NC-ND 3.0
35

Prozess Schritt #1
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
1
• CloudTrail erstellt Protokolleinträge für API Aufrufe.
• CloudTrail aggregiert Protokolleinträge in einer JSON Text Datei,
komprimiert und speichert diese im konfigurierten S3 Bucket.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
36

Prozess Schritt #2
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
2
• Die Logik zur Verarbeitung der Logzeilen steckt in einer Lambda
Funktion.
• Die Lambda Funktion wird durch S3 aufgerufen, wenn von CloudTrail
eine neue Datei hochgeladen wird.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
37

Prozess Schritt #3
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
3
• Die Lambda Funktion lädt beim Start eine Konfigurationsdatei
herunter, in der die gewünschten Suchfilter enthalten sind.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
38

Prozess Schritt #4
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
4
• Bei Filter-Treffern übergibt Lambda Benachrichtigungen an SNS.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
39

Prozess Schritt #5
Amazon
CloudTrail
Amazon S3 Bucket
CloudTrail Logs
Amazon Lambda
Parsing Logic
Amazon S3 Bucket
Configuration File
5
• SNS verteilt die Benachrichtigungen an Abonnenten.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
40

Konfiguration
• S3 Bucket erstellen
• SNS Topic erstellen
• Abonnements bestätigen
• CloudTrail konfigurieren
• IAM Rolle für Lambda Funktion erstellen
• Lambda Funktion erstellen
09:00 Uhr MEZ
CC BY-NC-ND 3.0
41

Lambda Schritt für Schritt
1. CloudTrail speichert eine neue Protokolldatei auf S3.
2. S3 ruft die verknüpfte Lambda Funktion auf und übergibt JSON Struktur.
3. Lambda läd die Konfigurationsdatei herunter.
4. Lambda findet in S3 JSON Struktur den Pfad der CloudTrail
Protokolldatei.
5. Lambda läd die CloudTrail Protokolldatei herunter.
6. Lambda dekomprimiert die Protokolldatei.
7. Lambda verwendet konfigurierte Suchfilter.
8. Lambda verschickt Benachrichtigungen.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
42

S3 JSON Struktur{
"Records": [{
"eventVersion": "2.0",
"eventSource": "aws:s3",
"awsRegion": "us-east-1",
"eventTime": "2016-01-12T21:08:30.487Z",
"eventName": "ObjectCreated:Put",
"userIdentity": {
"principalId": "AWS:AROAI6ZMWVXR3IZ6MKNSW:i-4ff1b7a5"
},
"requestParameters": {
"sourceIPAddress": "54.211.178.99"
},
"responseElements": {
"x-amz-request-id": "F104F805121C9B79",
"x-amz-id-2": "Lf8hbNPkrhLAT4sHT7iBYFnIdCJTmxcr1ClX93awYfF530O9AijCgja19rk3MyMF"
},
"s3": {
"s3SchemaVersion": "1.0",
"configurationId": "quickCreateConfig",
"bucket": {
"name": "awsuglog.awscloudtrail",
"ownerIdentity": {
"principalId": "AH42GJUX5WBQT"
},
"arn": "arn:aws:s3:::awsuglog.awscloudtrail"
},
"object": {
"key": "AWSLogs/123456789012/CloudTrail/us-east-1/2015/09/12/123456789012_CloudTrail_us-east-
1_20150912T1810Z_G1dfnHn3Occee7Yb.json.gz",
"size": 2331,
"eTag": "63d801bb561037f59f2cb4d1c03c2392"
}}}]}
09:00 Uhr MEZ
CC BY-NC-ND 3.0
43

CloudTrail JSON Struktur
{
"eventVersion": "1.02",
"userIdentity": {
"type": "Root",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:root",
"accountId": "123456789012"
},
"eventTime": "2016-01-12T18:06:19Z",
"eventSource": "signin.amazonaws.com",
"eventName": "ConsoleLogin",
"awsRegion": "us-east-1",
"sourceIPAddress": "92.72.234.83",
"userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36",
"requestParameters": null,
"responseElements": {
"ConsoleLogin": "Success"
},
"additionalEventData": {
"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true",
"MobileVersion": "No",
"MFAUsed": "Yes"
},
"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb",
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012"
}
09:00 Uhr MEZ
CC BY-NC-ND 3.0
44

Benachrichtigungen
ACHTUNG: Der Root User hat sich erfolgreich an der Konsole von Account
123456789012 angemeldet.
userIdentity/type : Root
userIdentity/principalId : 123456789012
userIdentity/arn : arn:aws:iam::123456789012:root
userIdentity/accountId : 123456789012
eventTime : 2016-01-12T18:06:19Z
eventSource : signin.amazonaws.com
eventName : ConsoleLogin
awsRegion : us-east-1
sourceIPAddress : 92.72.234.83
userAgent : Mozilla/5.0 (Windows NT 6.3; WOW64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
requestParameters : null
responseElements : {"ConsoleLogin":"Success"}
09:00 Uhr MEZ
CC BY-NC-ND 3.0
45

Was überwachen?
• CloudTrail / Verwendung des Root Users bzw. der "IAM Master” Rolle
=> Alarm per SMS / E-Mail
• CloudTrail / Deaktivierung von CloudTrail
=> Alarm per SMS / E-Mail / Re-Aktivierung von CloudTrail
• CloudTrail / Erfolgreicher Zugriff von unbekannten IP-Adressen
=> Alarm per SMS / E-Mail / Zugang sperren
• CloudTrail / Verwendung der "IAM Manager" Rolle
=> Tägliche Zusammenfassung per E-Mail / Kontrolle
• Config o. API / Existenz von Root User API Access Keys
=> Tägliche Zusammenfassung per E-Mail / Deaktivieren des Access Keys
09:00 Uhr MEZ
CC BY-NC-ND 3.0
46

Was überwachen?
• Config o. API / Fehlen von Bedingungen bei "IAM Master", "IAM Manager" Rolle
=> Tägliche Zusammenfassung per E-Mail / Aktivierung der Bedingungen
• Config o. API / Fehlen von CloudTrail in AWS Regionen
=> Tägliche Zusammenfassung per E-Mail / Aktivierung von CloudTrail
• CloudTrail / Aufruf von Kommandos ohne Berechtigung
• CloudTrail / Verweigerte Zugriffe von unbekannten IP-Adressen
• CloudTrail / Erfolgreiche Zugriffe von unbekannten Benutzern
09:00 Uhr MEZ
CC BY-NC-ND 3.0
47

Automatisierung
• AWS CloudTrail
für alle Regionen
• AWS CloudFormation
CloudTrail / CloudWatch Logs / Metrik Filter + Alarme
• AWS SDKs
Python (Boto3), PowerShell / .NET, Java, Ruby, C++, Go,
• AWS Partner
Technology Partner Security
09:00 Uhr MEZ
CC BY-NC-ND 3.0
48

AWS Security Blog
https://blogs.aws.amazon.com/security/
09:00 Uhr MEZ
CC BY-NC-ND 3.0
49

Copyright (CC BY-NC-ND 3.0)
Namensnennung - Nicht-kommerziell - Keine Bearbeitung 3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/legalcode
Sie dürfen:
• Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
Unter folgenden Bedingungen:
• Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link
zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen
in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck
entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
• Nicht kommerziell — Sie dürfen das Material nicht für kommerzielle Zwecke nutzen.
• Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig
direkt aufbauen dürfen Sie die bearbeitete Fassung der Materials nicht verbreiten.
• Keine weiteren Einschränkungen — Sie dürfen keine zusätzlichen Klauseln oder technische
Verfahren einsetzen, die anderen rechtlich irgendetwas untersagen, was die Lizenz erlaubt.
09:00 Uhr MEZ
CC BY-NC-ND 3.0
50

AWS Account Management im Unternehmensumfeld - AWS Security Web Day

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (9)

Ähnlich wie AWS Account Management im Unternehmensumfeld - AWS Security Web Day

Ähnlich wie AWS Account Management im Unternehmensumfeld - AWS Security Web Day (20)

Mehr von AWS Germany

Mehr von AWS Germany (20)

AWS Account Management im Unternehmensumfeld - AWS Security Web Day