注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 2743|回复: 0

[黑客新闻] AWS共享责任模型:今天要改进的三个方面:第3部分:AWS中的日志记录,监视和警报

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47860
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   708 小时
   最后登录
   2022-8-23
发表于 2021-3-29 20:35:18 | 显示全部楼层 |阅读模式
在本系列的最后两部分中,我们讨论了AWS共享责任模型。我们首先将您的私钥保密,然后才明智地使用网络基础结构。在这篇文章中,我们将讨论出现问题时会发生什么。AWS提供了哪些功能来监视您的环境?以及如何有效地使用它们向分析师提供高价值的警报?

AWS的日志记录功能
在讨论可以采取哪些特定步骤以最有效地监视您的云环境之前,让我们看一下AWS必须为客户提供哪些服务。

如果您处于受到严格监管的环境中,并且合规性对您来说很关键,那么您应该知道AWS CloudTrail是一项服务。CloudTrail记录了您的AWS环境中用户,角色和服务所采取的所有操作。您可以使用它来监视通过AWS管理控制台和命令行界面(CLI)以及任何AWS代码库执行的操作。

CloudTrail将来自一个帐户的所有事件存储90天。您还可以将CloudTrail配置为存档事件以供以后分析。在本文的后面,我们将看到如何将CloudTrail日志发送到下游流程以进行报告和监视功能。

VPC流日志提供对进入和流出虚拟私有云(VPC)的网络流量的可见性。这些日志可以对网络问题进行快速故障排除,例如,数据包因过于严格的安全组配置而被丢弃。您也可以使用VPC流日志查找异常的网络流量,这可能表明您的网络中存在入侵者。

Amazon CloudWatch是AWS日志记录服务系列中的灵活多变的齿轮。CloudWatch从多个不同来源收集日志,并将它们收集到一个位置以进行存储和分析。CloudWatch可以收集来自单个EC2实例的日志,CloudTrail日志,Route 53(DNS)日志等等。当涉及到AWS中的日志记录和监视时,CloudWatch是您最好的朋友,因为许多其他日志记录解决方案都可以将其日志发送到CloudWatch。CloudWatch还可以针对某些需要立即采取措施的事件启用警报。不久我们将看到如何使用CloudWatch来最大化您在AWS内的监控。

AWS不乏工具,可帮助您保护网络免受入侵者的侵害。但是您如何有效地使用它们呢?

AWS中的记录,监视和警报最佳实践
如果日志选项的数量似乎太多,那么看看已建立的最佳实践将帮助您确定最适合您的组织的方法。

应该在所有区域中启用CloudTrail日志。这使您可以监视对未使用区域的呼叫,以确保没有人试图在您不希望看到的地方使用服务。您还应该启用日志文件验证。验证可确保您的日志文件的完整性,这在法医调查中非常宝贵。默认情况下,CloudTrail将您的日志存储在S3中,并使用S3服务器端加密对它们进行加密。如果选择,则可以将其更改为改为使用密钥管理服务(KMS)。将您的CloudTrail日志发送到CloudWatch也是一个好主意,我们将在后面详细介绍。

可以将VPC流日志配置为监视每个网络接口,特定子网或整个VPC。日志将发送到CloudWatch,您可以在其中过滤和分析数据。您可以选择记录所有流量,已被VPC接受的流量或被拒绝的流量。确保知道您将需要和实际使用什么,这样您就不会占用大量空间或为分析人员制造噪音。记录对您的特定需求最重要的内容。

AWS中的集中式日志记录
集中化日志管理是AWS日志服务的最佳用途。集中化使您可以在一个方便的位置监视多个区域中的多个服务。然后,可以基于异常行为创建警报并采取快速措施。

可以在集中式日志管理策略中将几种AWS服务整合在一起。首先,了解您的要求很重要。您的业​​务和合规性要求是什么?日志要保留多长时间?什么是日志生命周期?何时可以将它们移至更具成本效益的存储(如Amazon Glacier)中?

需求完成后,就可以开始实际的集中式体系结构了。Amazon具有推荐的用于集中式日志记录的架构。我们将探索该实现的关键部分。

第一步是获取您的CloudTrail日志并将其发送到CloudWatch。VPC流日志会自动发送到CloudWatch。CloudWatch还具有来自单个EC2实例(例如Web和应用程序服务器)的日志。

接下来,Lambda函数将日志数据从CloudWatch加载到ElasticSearch Service(ES)域中。ES是一项Amazon服务,用于部署,保护,操作和扩展流行的ElasticSearch数据分析工具。您可以使用ES分析大量日志数据涌入CloudWatch。ES具有与Kibana的内置集成,可轻松创建仪表板。

该架构的前端带有一个负载均衡器,该负载均衡器位于代理服务器的前面,代理服务器具有限制IP地址的安全组,该IP地址可以连接到ES域。Kibana客户端通过代理连接到ES,从而使最终用户可以基于CloudWatch数据快速搜索和创建仪表板。

简而言之,以下是AWS的建议:

EC2,VPC流日志和CloudTrail日志发送到CloudWatch

定制的Lambda函数将数据从CloudWatch加载到ElasticSearch Service。

ElasticSearch Service为日志数据提供搜索和分析功能

该分析是通过Kibana仪表板客户端进行的,在ES之前有一组代理服务器用于基本身份验证。

该实施指南可以帮助你建立这个自己并具有CloudFormation模板,你可以用它在你的环境中部署。Kibana的数据可视化功能将使您能够快速指出应由分析师进行调查的异常情况。

保护你的房子
您不会让任何人进入自己的房子,否则可能会伤害您的家人。您隐藏密钥,并确保只有您信任的密钥才能拥有它们。您安装了门锁和窗户锁,因此只允许授权的那些进入。您有一个安全和监控系统,以防初始保护因某种原因而失效。

您的AWS环境也不例外。您可以保护敏感的凭据和加密密钥,确保只有信任的用户才能使用它们。您可以配置VPC,网络ACL和安全组,以阻止不必要的流量。如果这些操作以某种方式失败,则您将拥有一个集中的日志记录和监视系统,以快速提醒您入侵者,以便您采取行动。

最好的测试方式之一就是利用黑客提供的安全保护功能,并请才华横溢且值得信赖的黑客查看他们可以破解的内容,并将其报告给您以便快速解决。与我们联系,以了解更多有关如何帮助您保护AWS环境的信息,就像我们为SumoLogic所提供的一样。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表