• Zuhause
  • Artikel
  • 100 DevOps-Tage - Tag 42 - Überprüfen Sie Ihre AWS-Umgebung
Veröffentlicht am 21-03-2019

100 DevOps-Tage - Tag 42 - Überprüfen Sie Ihre AWS-Umgebung

Willkommen an Tag 42 von 100 DevOps-Tagen. Heute liegt der Schwerpunkt auf dem Überprüfen Ihrer AWS-Umgebung.

An Tag 40 habe ich über AWS config gesprochen, das zur Erfüllung Ihrer Compliance-Anforderungen verwendet wird. Lassen Sie uns heute darüber sprechen, wie Sie Ihre AWS-Umgebung mithilfe von Tools überwachen können

  • AWS Trusted Advisor
  • Scout2
Was ist AWS Trusted Advisor?

AWS Trusted Advisor ist ein Online-Tool, das Sie in Echtzeit zur Verfügung stellt, um Sie bei der Bereitstellung Ihrer Ressourcen gemäß den AWS-Best Practices zu unterstützen.

Gehen Sie zu Trusted Advisor → https://console.aws.amazon.com/trustedadvisor
Grün: Kein Problem oder Anliegen gefunden
Gelb: Untersuchung wird empfohlen
Rot: Kritische Aktion empfohlen
  • Wenn Sie die Seite "Vertrauenswürdiger Advisor" weiter ausdehnen und die Details untersuchen, werden bei allen nicht rot markierten Kriterien die Details und empfohlenen Maßnahmen aufgeführt
    • Öffnen Sie die Sicherheitsgruppe, die rot markiert ist
  • Ändern Sie den Port 21, um nur den IP-Bereich Ihres Unternehmens zu hören
    • Aktualisieren Sie den Sicherheitsratgeber, und wie Sie sehen, wird Port 21 nicht mehr angezeigt

    HINWEIS: Sie können den Status nur alle 5 Minuten aktualisieren. Wenn der Aktualisierungs-Button ausgegraut ist, warten Sie bitte 5 Minuten.

    Dies ist das einfache Beispiel, wie Sie mit Trusted Advisor Sicherheitsprobleme beheben können.

    Ebenso können Sie nach anderen Sicherheitsempfehlungen suchen und diese beheben

    Scout2

    Ein weiteres Werkzeug, das ich jedem empfehlen kann, ist Scout2, da es sehr viel detailliertere Informationen für das Auditieren enthält.

    • Die Installation ist ziemlich unkompliziert
    pip installiere awsscout2
    • Exportieren Sie Ihre Schlüssel
    Export AWS_ACCESS_KEY_ID = ""
    export AWS_SECRET_ACCESS_KEY = ""
    • Starte es
    # Scout2
    IAM-Konfig abrufen ...
    Gruppenrichtlinien Rollen Benutzer Credential_report Kennwort_Politik
    3/3 48/48 40/40 2/2 1/1 1/1
    Route53Domains-Konfig abrufen ...
    Domänen
    1/1
    SES-Konfig abrufen ...
    Regionsidentitäten
    3/3 0/0
    RDS-Konfig abrufen ...
    Bereiche Parametergruppen Instanzen Momentaufnahmen Sicherheitsgruppen Subnetzgruppen
    14/14 2/2 0/0 0/0 14/14 1/1
    CloudTrail-Konfiguration abrufen ...
    Wanderwege der Regionen
    14/14 57/57
    ELB-Konfig abrufen ...
    Regionen Elben
    14/14 0/0
    EFS-Konfig abrufen ...
    Regionen Dateisysteme
    6/6 0/0
    ELBV2-Konfiguration wird abgerufen ...
    Regionen lbs ssl_policies
    14/14 1/1 7/7
    CloudWatch-Konfiguration abrufen ...
    Regionen Alarme
    14/14 2/2
    Lambda-Konfiguration abrufen ...
    Regionsfunktionen
    14/14 3/3
    RedShift-Konfiguration wird abgerufen ...
    Regions parameter_groups Cluster Sicherheitsgruppen
    14/14 0/0 0/0 0/0
    S3 Konfig abrufen ...
    Eimer
    Fehler beim Abrufen der Verschlüsselungskonfiguration für Cloudwatch-zu-s3-Protokolle: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    1 / 11Erhält keine Verschlüsselungskonfiguration für mytests3bucketforcloudtrail: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für s3-event-notification-topic-mydemo-bucket: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für mein-tf-test-bucket-terraform-12345676: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für s3-cloudtrail-bucket-with-terraform-code: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für config-bucket-349934551430: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für mys3bucket-withkms-serverside-Verschlüsselung: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für mytestcloudtrailbucketforevent: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für mys3kmsbuckettestforencryption: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für testingcloudtraillogfilevalidationbucket: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    Fehler beim Abrufen der Verschlüsselungskonfiguration für mytestkmsbuckettest: 'S3'-Objekt hat kein Attribut' get_bucket_encryption '
    11/11
    CloudFormation-Konfiguration abrufen ...
    Regionen Stapel
    14/14 1/1
    SQS-Konfig abrufen ...
    Warteschlangen der Regionen
    14/14 0/0
    EC2-Konfiguration wird abgerufen ...
    Regionsinstanzen Momentaufnahmen Netzwerk_Interfaces Volumes Sicherheitsgruppen
    14/14 4/4 38/38 11/11 7/7 30/30
    VPC-Konfig abrufen ...
    Regions-Subnetze route_tables vpn_gateways vpcs customer_gateways network_acls vpn_connections
    14/14 48/48 18/18 0/0 16/16 0/0 16/16 0/0 2/2 0/0
    EMR-Konfig abrufen ...
    Regionen Cluster
    14/14 0/0
    Direct Connect-Konfiguration abrufen ...
    regionale Verbindungen
    14/14 0/0
    ElastiCache-Konfiguration wird abgerufen ...
    Regionscluster Sicherheitsgruppen
    14/14 0/0 0/0
    Route53-Konfig abrufen ...
    hosted_zones
    2/2
    SNS-Konfig abrufen ...
    Themen-Abonnements für Regionen
    14/14 5/5 4/4
    Verarbeitung der CloudTrail-Konfig ...
    Übereinstimmungen mit EC2-Instanzen und IAM-Rollen ...
    'Subnetze'
    Pfad: ['services', u'vpc ', u'regions', u'us-west-2 ', u'flow_logs']
    Schlüssel = flow_logs
    Wert = fl-03eca4e646e3ce517
    Pfad = []
    Daten in scout2-report / inc-awsconfig / aws_config.js speichern
    Config speichern ...
    Die Datei 'scout2-report / inc-awsconfig / aws_config.js' ist bereits vorhanden. Möchten Sie es überschreiben (J / N)? y
    Daten werden in scout2-report / inc-awsconfig / exceptions.js gespeichert
    Config speichern ...
    Die Datei 'scout2-report / inc-awsconfig / exceptions.js' ist bereits vorhanden. Möchten Sie es überschreiben (J / N)? y
    Scout2-report / report.html wird erstellt ...
    Die Datei 'scout2-report / report.html' ist bereits vorhanden. Möchten Sie es überschreiben (J / N)? y
    HTML-Bericht öffnen ...
    • Am Ende erhalten Sie die schöne Benutzeroberfläche
    • Zum Beispiel: Wenn ich auf EC2 klicke und weiter bringe, ähnlich wie bei Trusted Advisor (Sie werden grün, orange und rot sehen)
    • Wenn Sie einen weiteren Drilldown ausführen, erhalten Sie detaillierte Informationen

    HINWEIS: Gemäß dem GitHub-Link wird das Scout2-Projekt jetzt zu ScoutSuite migriert

    Ich freue mich von euch, diese Reise zu unternehmen und jeden Tag mindestens eine Stunde an DevOps-Arbeit zu verbringen und den Fortschritt mit einem der unten angegebenen Mittel zu posten.

    • Twitter: @ 100daysofdevops ODER @ Lakhera2015
  • Facebook: https://www.facebook.com/groups/795382630808645/
    • Medium: https://medium.com/@devopslearning
  • Slack: https://devops-myworld.slack.com/messages/CF41EFG49/
    • GitHub Link: https: //github.com/100daysofdevops

    Referenz

Siehe auch

Der Fall gegen die Trennung von Big TechWie ich bei der Jobsuche navigierte und meinen Traumjob bekamReact Context API als Alternative zu Statusverwaltungsbibliotheken