aws account management im unternehmensumfeld€¦ · · 2016-06-30• veränderung von iam...
TRANSCRIPT
![Page 1: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/1.jpg)
AWSAccountManagementimUnternehmensumfeld
AndreasHeidötting – Director SystemsAdmin,Nasdaq
CreativeCommons:Namensnennung - Nicht-kommerziell- KeineBearbeitung3.0
http://creativecommons.org/licenses/by-nc-nd/3.0/de/
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummit FrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.01
![Page 2: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/2.jpg)
„DasWichtigstezuerst“/„Die10AWSGebote“
1. MehrereAWSAccountsverwenden2. Zugriffsrechteeinschränken3. RootZugangAPIZugriffentziehenundMFAaktivieren4. IAMRollen&Zugriffsbedingungenverwenden5. ProtokollierungundAlarmierungbeiAuffälligkeiteneinschalten6. Kontaktdatenkontrollieren7. ZusätzlicheAnsprechpartneranlegen8. Sicherheitsfragenvergeben9. AmazonE-Mailskontrollieren10. AWSSecurityBloglesen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummit FrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.02
![Page 3: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/3.jpg)
Rückblick
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.03
2160
150
356
050100150200250300350400
2013 2014 2015 2016
Accounts
![Page 4: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/4.jpg)
Inhalt
• VerwendungmehrererAWSAccounts• VermeidungvonKonsequenzen• Aufgaben- undFunktionstrennung• Ressourcen- undBenutzerverwaltung• SchutzvonLogfiles,Backups,geistigemEigentum• AbsicherungderAWSZugänge• Angriffserkennung,AlarmierungundAbwehr
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.04
![Page 5: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/5.jpg)
Risiken
• UnberechtigterZugriffaufdieAWSAPIsundsomitaufAWSKonsole
• VerlustderKontrolleüberRessourcen- undBenutzerverwaltung
• Verlustbzw.ManipulationvonDaten,Logfiles,SourceCode
• ZusätzlicheKosten,diedurchdenMissbrauchentstehen
• HaftungfürdiedurchdenMissbrauchentstehendenSchäden
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.05
![Page 6: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/6.jpg)
SicherheitbeieinemAccount
AWSAccount
CodeCommit
CodeDeploy
CodePipeline
CloudWatch Logs
CloudTrail
Config
Identity&AccessManagement
RootUser
Policies
Groups
Users
Development
EC2 RDS
Production
EC2 RDS
Test
EC2 RDS
DisasterRecovery
EC2 RDS
PasswordPolicy
+
+
S3 LogfilesBackups
Lambda
ElasticLoadBalancing
VPCFlowLogs
CloudFront
IntellectualProperty
Conditions
TesterDeveloper Operations Network Security Audit HackerServiceDesk Storage DataBase
SecurityChallenge
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.06
![Page 7: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/7.jpg)
MehrereAccounts
Test
Production
DisasterRecovery Billing
Logging
Backup
IntellectualPropertyDevelopment
Access &IdentityManagement
Hacker
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.07
![Page 8: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/8.jpg)
Abrechnung
Test
Production
DisasterRecovery
Billing
Logging
Backup
IntellectualProperty
Development Identity&AccessManagement
S3DetailedBilling
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.08
![Page 9: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/9.jpg)
Identitäts- undZugriffsverwaltung
Identity&AccessManagement
RootUser
Policies
Groups
Users
PasswordPolicy
+
+
Conditions
SecurityChallenge
Identity&AccessManagement Example
Identity&AccessManagement
RootUser
Policies
Roles
+
Conditions
SecurityChallenge
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
DataBase
Test
Production
DisasterRecovery
Billing
Logging
Backup
IntellectualProperty
Roles
Development
Roles
Roles
Roles Roles
Roles
Roles
Roles
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.09
![Page 10: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/10.jpg)
SystemumgebungenRoles Identity&Access Development Test Production DisasterRecovery
IAMMaster Create/ModifyPolicies /EnableIAMManager
IAMManager CreateRoles/UsePre-DefinedPolicies
Developer
Tester
Operations
ServiceDesk
Network
Storage
DataBase
Security
Audit
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.010
![Page 11: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/11.jpg)
Systemumgebungen
Identity&AccessManagement
Policies
Groups
Users
PasswordPolicy
+
Conditions
Identity&AccessManagement
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
DataBase
Application1
EC2 RDS
Application2
EC2 RDS
Production
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Development
Roles
Application1
EC2 RDS
Application2
EC2 RDS
DisasterRecovery
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Test
Roles
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.011
![Page 12: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/12.jpg)
Identitäts- undZugriffsverwaltung
• AbsicherndesAWSRoot Users• SetzeneinersicherenPasswort-Richtlinie• ErstellenvonIAMBenutzern• VerwendungvonMulti-Faktor-Authentifizierungs-Geräten• VerwendungvonIAMGruppen• VergabevonminimalenZugriffsrechten• EinschränkungdesZugriffsdurchBedingungeninRichtlinien• VerwendungeinerzentralenBenutzerverwaltung• VerwendungvonIAMRollen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.012
![Page 13: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/13.jpg)
Protokollierung
Identity&AccessManagement
Users +
Developer
Operations
Network
Tester
Security
Audit
ServiceDesk
Storage
DataBase
CloudTrail
Config
EnvironmentAccounts[Development]
[Test][Production]
[DisasterRecovery]IntellectualProperty
CloudWatch Logs
CloudTrail
Config
Lambda
ElasticLoadBalancing
VPCFlowLogs
CloudFront
S3
BackupAccount
CloudTrail
Config
BillingAccount
CloudTrail
Config
Logging Account
Region 1
+Versioning+MFADelete+Replication
Region 2
+Versioning+MFADelete
LambdaSQS SES
SNS
SNS
SNS
SNS
Config
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.013
![Page 14: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/14.jpg)
Datensicherung
Application1
EC2 RDS
Application2
EC2 RDS
Production
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Development
Roles
Application1
EC2 RDS
Application2
EC2 RDS
DisasterRecovery
Roles
Application1
EC2 RDS
Application2
EC2 RDS
Test
Roles Users +
BackupAccount
Region 1
S3+Versioning+MFADelete+Replication
Region 2
EBSSnapshots+ Sharing+Copy+Replication
RDSSnapshots+Sharing+Copy+Replication
EBSSnapshots+ Sharing+Copy
RDSSnapshots+Sharing+Copy
S3+Versioning+MFADelete
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.014
![Page 15: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/15.jpg)
GeistigesEigentum
CodeCommit
CodeDeploy
CodePipeline
IntellectualProperty
S3+Versioning+MFADelete
EC2AMIs+Sharing
ReproducibleBuilds
Application1 Application2
Production
Application1
EC2
Application2
Development
Application1 Application2
DisasterRecovery
Application1 Application2
Test
EC2SharedAMIs
CodeDeploy
EC2
CodeDeploy
EC2 EC2
CodeDeploy
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
CodeDeploy
EC2
EC2SharedAMIs
EC2SharedAMIsEC2SharedAMIsOpsWorks
DesiredStateConfiguration
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.015
![Page 16: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/16.jpg)
Funktionsumgebungen
Roles Billing Logging Backup IntellectualProperty
IAMMaster Create/ModifyPolicies /EnableIAMManager
IAMManager CreateRoles/UsePre-DefinedPolicies
Developer
Tester
Operations
ServiceDesk
Network
Storage
DataBase
Security
Audit
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.016
![Page 17: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/17.jpg)
Funktionsumgebungen
• AktivierungderProtokollierung• AggregierenvonLogfiles• SchutzvonLogfiles• ToolszurAnalyseundÜberwachung• ErstellungvonBackups• ZentralisierungvonBackups• SchutzvonBackups• ZentralisierungvongeistigemEigentum• SchutzvongeistigemEigentum
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.017
![Page 18: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/18.jpg)
IAMCredential Report
• VerwendungdesIAMCredential Reports• EntfernenvonungenutztenIAMUsern• EntfernenvonungenutztenIAMUserKonsolen-Passwörtern• EntfernenvonungenutztenIAMUserAPIAccessKeys• ZweiAPIAccessKeysproIAMUser• RotationderAPIAccessKeys• KeineAPIAccessKeysfürdenAWSRoot User,IAMMaster,IAMManager• IAMRollenfürApplikationen,dieaufAmazonEC2Instancelaufen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.018
![Page 19: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/19.jpg)
Erreichbarkeit
• KontrolledereignenKontaktdaten
• ZusätzlicheAnsprechpartner
• KontrolledervonAmazonverschicktenE-Mails
• VergabevonSicherheitsfragen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.019
![Page 20: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/20.jpg)
Überblick
Donnerstag,30.Juni 201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementim Unternehmensumfeld
CCBY-NC-ND3.020
Billing Logging Backup IntellectualProperty
Development|Test|Production|DisasterRecovery
Identity&Access
+
![Page 21: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/21.jpg)
ÜberwachungmitCloudWatch Logs
MetricFilter+Alarm
CloudWatchLogs
VPCFlow
OS&AppLogs
CloudTrail
Lambda
Email/SMS
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.021
![Page 22: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/22.jpg)
CloudWatch Logs+Metric Filter/Alarm
• VerwendungdesRoot Users• VerwendungderAWSKonsoleohneMFA-Gerät• VerwendungderAWSAPIohneMFA-Gerät• FehlgeschlageneAnmeldeversucheanderAWSKonsole• VerwendungvonnichterlaubtenAPIKommandos• VeränderungvonIAMRichtlinien• VerwendunggroßerEC2Instanz-Typen• VeränderungderCloudTrail-Einstellungen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.022
![Page 23: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/23.jpg)
CloudTrail /Root User
CloudTrail
Quelle: CloudTrail EventsinCloudWatch Logs
Dienst: CloudWatch LogsMetricFilter
Filter: {$.userIdentity.type ="Root"&&
$.userIdentity.invokedBy NOTEXISTS&&
$.eventType !="AwsServiceEvent"}
Alarm: Summe >=1in5minute(s)
Aktion: SendE-Mailnotifications
MetricFilter+Alarm
CloudWatchLogs
Email/SMS
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.023
![Page 24: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/24.jpg)
CloudTrail JSONStruktur{"eventVersion": "1.02","userIdentity": {"type": "Root","principalId": "123456789012","arn": "arn:aws:iam::123456789012:root","accountId": "123456789012"
},"eventTime": "2016-01-12T18:06:19Z","eventSource": "signin.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "92.72.234.83","userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36","requestParameters": null,"responseElements": {"ConsoleLogin": "Success"
},"additionalEventData": {"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true","MobileVersion": "No","MFAUsed": "Yes"
},"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb","eventType": "AwsApiCall","recipientAccountId": "123456789012"
}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.024
![Page 25: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/25.jpg)
CloudTrail /AnmeldeversucheanderAWSKonsole
CloudTrail
Quelle: CloudTrail EventsinCloudWatch Logs
Dienst: CloudWatch LogsMetricFilter
Filter: {($.eventName =ConsoleLogin) &&($.errorMessage ="Failed authentication") }
Alarm: Summe >=3 in5minute(s)
Aktion: SendE-Mailnotifications
MetricFilter+Alarm
CloudWatchLogs
Email/SMS
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.025
![Page 26: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/26.jpg)
Beispiele
• CloudTrail/AWSKonsoleohneMFA-Gerät{$.eventName ="ConsoleLogin"&&$.additionalEventData.MFAUsed !="No"}• CloudTrail/AWSAPIsohneMFA-Gerät{$.userIdentity.sessionContext.attributes.mfaAuthenticated !="true"• CloudTrail/nichterlaubteAPIKommandos{($.errorCode ="*UnauthorizedOperation") ||($.errorCode ="AccessDenied*")}• CloudTrail/großeEC2Instanz-Typen{($.eventName =RunInstances)&&(($.requestParameters.instanceType =*.8xlarge)||($.requestParameters.instanceType =*.4xlarge))}• CloudTrail/VeränderunganCloudTrail{($.eventName =CreateTrail)||($.eventName =UpdateTrail)||($.eventName =DeleteTrail)||($.eventName =StartLogging)||($.eventName =StopLogging)}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.026
![Page 27: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/27.jpg)
Beispiele
• CloudTrail/VeränderungvonIMARichtlinien{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.027
![Page 28: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/28.jpg)
Nächste Schritte
• Creating CloudWatch Alarmsfor CloudTrail Events:Exampleshttp://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html
• Using anAWSCloudFormation Templateto CreateCloudWatch Alarmshttp://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.028
![Page 29: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/29.jpg)
Nächste Schritte
• AWSRepositoryfor CloudWatch Alarms/CloudTrail Events<URL&QRCodeEinfügen>
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.029
![Page 30: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/30.jpg)
Automatisierung
• AWSCloudTrailfüralleRegionen
• AWSCloudFormationCloudTrail /CloudWatch Logs/MetrikFilter+Alarme
• AWSSDKsPython(Boto3),PowerShell /.NET,Java,Ruby,C++,Go,
• AWSPartnerTechnologyPartnerSecurity
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.030
![Page 31: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/31.jpg)
AWSSecurityBlog
https://blogs.aws.amazon.com/security/
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.031
![Page 32: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/32.jpg)
Kontakt
https://www.xing.com/profile/Andreas_Heidoetting
https://de.linkedin.com/in/andhei
Donnerstag,30.Juni 201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementim Unternehmensumfeld
CCBY-NC-ND3.032
![Page 33: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/33.jpg)
Copyright(CCBY-NC-ND3.0)
Namensnennung- Nicht-kommerziell- KeineBearbeitung3.0http://creativecommons.org/licenses/by-nc-nd/3.0/de/legalcode
Siedürfen:• Teilen— dasMaterialinjedwedemFormatoderMediumvervielfältigenundweiterverbreitenUnterfolgendenBedingungen:• Namensnennung— Siemüssen angemesseneUrheber- undRechteangabenmachen,einenLinkzurLizenzbeifügenundangeben,ob Änderungenvorgenommenwurden.DieseAngabendürfeninjederangemessenenArtundWeisegemachtwerden,allerdingsnichtso,dassderEindruckentsteht,derLizenzgeberunterstützegeradeSieoderIhreNutzungbesonders.
• Nichtkommerziell — SiedürfendasMaterialnichtfür kommerzielleZwecke nutzen.• KeineBearbeitungen—WennSiedasMaterial remixen,verändernoderdaraufanderweitigdirektaufbauen dürfenSiediebearbeiteteFassungderMaterialsnichtverbreiten.
• KeineweiterenEinschränkungen—SiedürfenkeinezusätzlichenKlauselnoder technischeVerfahreneinsetzen,dieanderenrechtlichirgendetwasuntersagen,wasdieLizenzerlaubt.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.033
![Page 34: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/34.jpg)
CloudWatch Logs+Lambda
LambdaParsingLogic
Action
SNS Email/SMS
CloudWatchLogs
VPCFlow
OS&AppLogs
CloudTrail
Lambda
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.034
![Page 35: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/35.jpg)
Gegenmaßnamen
• VerwendungderAWSKonsoleohneMFA-Gerät=>Benutzersperren
• FehlgeschlageneAnmeldeversucheanderAWSKonsole=>Benutzersperren
• VerwendungderAWSAPIohneMFA-Gerät=>APIZugriffsperren
• VerwendunggroßerEC2Instanz-Typen=>StoppenderInstanzen
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.035
![Page 36: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/36.jpg)
Einschränkungen/Kosten
• LambdaFunktionenproAWSAccount
• KostenfürLangzeitarchivierung
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.036
![Page 37: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/37.jpg)
Kinesis
AmazonS3
LambdaParsingLogic
Action
SNS Email/SMS
ÜberwachungmitCloudWatch Logs
CloudWatchLogs
VPCFlow
OS&AppLogs
CloudTrail
Lambda
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.037
![Page 38: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/38.jpg)
ÜberwachungvonCloudTrail /Config viaS3
CloudTrail S3BucketCloudTrail Logs
LambdaParsingLogic
Action
SNS Email/SMS
Config S3BucketConfig Logs
<15m
<6h
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.038
![Page 39: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/39.jpg)
ÜberwachungvonCloudFront /S3/ELBviaS3
S3BucketCloudTrail Logs
LambdaParsingLogic
Action
SNS Email/SMS
S3BucketELBLogs
ELB
CloudFront
S3 S3BucketCloudTrail Logs
<15m
<15m
<15m
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.039
![Page 40: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/40.jpg)
ÜberwachungConfig viaSNS/Rules
LambdaParsingLogic
Action
SNS Email/SMS
<1m
Config
SNS
TriggeredRules
ScheduleRules
Instant
Defined
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.040
![Page 41: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/41.jpg)
ÜberwachungCloudWatch Events
Lambda
Action
SNS
CloudWatchEvents
Kinesis
CloudWatchRules
OS&AppLogs
CloudTrail
Lambda
EC2
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.041
![Page 42: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/42.jpg)
Einblick&Verständnis
KibanaElasticSearch
CloudWatchLogs
LambdaVPCFlowLogsOS&AppLogs
& &
CloudTrail AmazonS3Config
&
ELBCloudFront S3
& & &
CloudTrail
&
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.042
![Page 43: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/43.jpg)
Zusammenfassung
AWSAccounts
CloudWatchLogs
CloudTrail
Config
Lambda
ElasticLoadBalancing
VPCFlowLogs
CloudFront
S3
Region 1
+Versioning+MFADelete+Replication
Region 2
+Versioning+MFADelete
Lambda
OS&AppLogs
Kinesis
Kibana
ElasticSearch
Action
SNS
Email/SMSKibana
AWSLoggingAccount
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.043
![Page 44: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/44.jpg)
LambdaimDetail
AWSSecurityBlogby SébastienStormacqHow to Receive Alerts When Specific APIsAreCalled by Using AWSCloudTrail,AmazonSNS,andAWSLambda(May15,2015)
https://blogs.aws.amazon.com/security/post/Tx2ZTUVN2VGBS85/
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.044
![Page 45: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/45.jpg)
ZusammenspielderAWSDienste
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
1 2 4 5
3
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.045
![Page 46: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/46.jpg)
ProzessSchritt#1
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
1
• CloudTrail erstelltProtokolleinträgefürAPIAufrufe.• CloudTrail aggregiertProtokolleinträgeineinerJSONTextDatei,komprimiertundspeichertdieseimkonfiguriertenS3Bucket.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.046
![Page 47: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/47.jpg)
ProzessSchritt#2
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
2
• DieLogikzurVerarbeitungderLogzeilenstecktineinerLambdaFunktion.• DieLambdaFunktionwirddurchS3aufgerufen,wennvonCloudTraileineneueDateihochgeladenwird.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.047
![Page 48: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/48.jpg)
ProzessSchritt#3
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
3
• DieLambdaFunktionlädtbeimStarteineKonfigurationsdateiherunter,inderdiegewünschtenSuchfilterenthaltensind.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.048
![Page 49: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/49.jpg)
ProzessSchritt#4
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
4
• BeiFilter-TreffernübergibtLambdaBenachrichtigungenanSNS.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.049
![Page 50: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/50.jpg)
ProzessSchritt#5
Amazon CloudTrail
Amazon S3 BucketCloudTrail Logs
Amazon LambdaParsing Logic
Amazon S3 BucketConfiguration File
Amazon SNS Email Subscription
5
• SNSverteiltdieBenachrichtigungenanAbonnenten.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.050
![Page 51: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/51.jpg)
Konfiguration
• S3Bucket erstellen
• SNSTopicerstellen
• Abonnementsbestätigen
• CloudTrail konfigurieren
• IAMRollefürLambdaFunktionerstellen
• LambdaFunktionerstellenDonnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.051
![Page 52: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/52.jpg)
LambdaSchrittfürSchritt
1. CloudTrail speicherteineneueProtokolldateiaufS3.2. S3ruftdieverknüpfteLambdaFunktionaufundübergibtJSONStruktur.3. Lambdaläd dieKonfigurationsdateiherunter.4. LambdafindetinS3JSONStrukturdenPfadderCloudTrail
Protokolldatei.5. Lambdaläd dieCloudTrail Protokolldateiherunter.6. LambdadekomprimiertdieProtokolldatei.7. LambdaverwendetkonfigurierteSuchfilter.8. LambdaverschicktBenachrichtigungen.
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.052
![Page 53: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/53.jpg)
S3JSONStruktur{"Records": [{"eventVersion": "2.0","eventSource": "aws:s3","awsRegion": "us-east-1","eventTime": "2016-01-12T21:08:30.487Z","eventName": "ObjectCreated:Put","userIdentity": {"principalId": "AWS:AROAI6ZMWVXR3IZ6MKNSW:i-4ff1b7a5"
},"requestParameters": {"sourceIPAddress": "54.211.178.99"
},"responseElements": {"x-amz-request-id": "F104F805121C9B79","x-amz-id-2": "Lf8hbNPkrhLAT4sHT7iBYFnIdCJTmxcr1ClX93awYfF530O9AijCgja19rk3MyMF"
},"s3": {"s3SchemaVersion": "1.0","configurationId": "quickCreateConfig","bucket": {"name": "awsuglog.awscloudtrail","ownerIdentity": {"principalId": "AH42GJUX5WBQT"
},"arn": "arn:aws:s3:::awsuglog.awscloudtrail"},"object": {"key": "AWSLogs/123456789012/CloudTrail/us-east-1/2015/09/12/123456789012_CloudTrail_us-east-
1_20150912T1810Z_G1dfnHn3Occee7Yb.json.gz","size": 2331,"eTag": "63d801bb561037f59f2cb4d1c03c2392"
}}}]}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.053
![Page 54: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/54.jpg)
CloudTrail JSONStruktur{"eventVersion": "1.02","userIdentity": {"type": "Root","principalId": "123456789012","arn": "arn:aws:iam::123456789012:root","accountId": "123456789012"
},"eventTime": "2016-01-12T18:06:19Z","eventSource": "signin.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "92.72.234.83","userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85
Safari/537.36","requestParameters": null,"responseElements": {"ConsoleLogin": "Success"
},"additionalEventData": {"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true","MobileVersion": "No","MFAUsed": "Yes"
},"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb","eventType": "AwsApiCall","recipientAccountId": "123456789012"
}
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.054
![Page 55: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/55.jpg)
Benachrichtigungen
ACHTUNG: Der Root User hat sich erfolgreich an der Konsole von Account 123456789012 angemeldet.
userIdentity/type : RootuserIdentity/principalId : 123456789012userIdentity/arn : arn:aws:iam::123456789012:rootuserIdentity/accountId : 123456789012eventTime : 2016-01-12T18:06:19ZeventSource : signin.amazonaws.comeventName : ConsoleLoginawsRegion : us-east-1sourceIPAddress : 92.72.234.83userAgent : Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36requestParameters : nullresponseElements : {"ConsoleLogin":"Success"}Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.055
![Page 56: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/56.jpg)
Wasüberwachen?
• CloudTrail /VerwendungdesRoot Usersbzw.der"IAMMaster”Rolle=>AlarmperSMS/E-Mail
• CloudTrail /DeaktivierungvonCloudTrail=>AlarmperSMS/E-Mail/Re-AktivierungvonCloudTrail
• CloudTrail /ErfolgreicherZugriffvonunbekanntenIP-Adressen=>AlarmperSMS/E-Mail/Zugangsperren
• CloudTrail /Verwendungder"IAMManager"Rolle=>TäglicheZusammenfassungperE-Mail/Kontrolle
• Config o.API/ExistenzvonRoot UserAPIAccessKeys=>TäglicheZusammenfassungperE-Mail/DeaktivierendesAccessKeys
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.056
![Page 57: AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen](https://reader033.vdokument.com/reader033/viewer/2022052711/5abf85227f8b9a3a428e5064/html5/thumbnails/57.jpg)
Wasüberwachen?
• Config o.API/FehlenvonBedingungenbei"IAMMaster","IAMManager"Rolle=>TäglicheZusammenfassungperE-Mail/AktivierungderBedingungen
• Config o.API/FehlenvonCloudTrail inAWSRegionen=>TäglicheZusammenfassungperE-Mail/AktivierungvonCloudTrail
• CloudTrail /AufrufvonKommandosohneBerechtigung=>TäglicheZusammenfassungperE-Mail/Kontrolle
• CloudTrail /VerweigerteZugriffevonunbekanntenIP-Adressen=>TäglicheZusammenfassungperE-Mail/Kontrolle
• CloudTrail /ErfolgreicheZugriffevonunbekanntenBenutzern=>TäglicheZusammenfassungperE-Mail/Kontrolle
Donnerstag,30.Juni201615:45 - 16:15Uhr
AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld
CCBY-NC-ND3.057