AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen

AWSAccountManagementimUnternehmensumfeld

AndreasHeidötting – Director SystemsAdmin,Nasdaq

CreativeCommons:Namensnennung - Nicht-kommerziell- KeineBearbeitung3.0

http://creativecommons.org/licenses/by-nc-nd/3.0/de/

Donnerstag,30.Juni201615:45 - 16:15Uhr

AmazonWebServicesEnterpriseSummit FrankfurtAWSAccountManagementimUnternehmensumfeld

CCBY-NC-ND3.01

„DasWichtigstezuerst“/„Die10AWSGebote“

1. MehrereAWSAccountsverwenden2. Zugriffsrechteeinschränken3. RootZugangAPIZugriffentziehenundMFAaktivieren4. IAMRollen&Zugriffsbedingungenverwenden5. ProtokollierungundAlarmierungbeiAuffälligkeiteneinschalten6. Kontaktdatenkontrollieren7. ZusätzlicheAnsprechpartneranlegen8. Sicherheitsfragenvergeben9. AmazonE-Mailskontrollieren10. AWSSecurityBloglesen


AmazonWebServicesEnterpriseSummit FrankfurtAWSAccountManagementimUnternehmensumfeld

CCBY-NC-ND3.02

Rückblick


AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementimUnternehmensumfeld

CCBY-NC-ND3.03

2160

150

356

050100150200250300350400

2013 2014 2015 2016

Accounts

Inhalt

• VerwendungmehrererAWSAccounts• VermeidungvonKonsequenzen• Aufgaben- undFunktionstrennung• Ressourcen- undBenutzerverwaltung• SchutzvonLogfiles,Backups,geistigemEigentum• AbsicherungderAWSZugänge• Angriffserkennung,AlarmierungundAbwehr



CCBY-NC-ND3.04

Risiken

• UnberechtigterZugriffaufdieAWSAPIsundsomitaufAWSKonsole

• VerlustderKontrolleüberRessourcen- undBenutzerverwaltung

• Verlustbzw.ManipulationvonDaten,Logfiles,SourceCode

• ZusätzlicheKosten,diedurchdenMissbrauchentstehen

• HaftungfürdiedurchdenMissbrauchentstehendenSchäden



CCBY-NC-ND3.05

SicherheitbeieinemAccount

AWSAccount

CodeCommit

CodeDeploy

CodePipeline

CloudWatch Logs

CloudTrail

Config

Identity&AccessManagement

RootUser

Policies

Groups

Users

Development

EC2 RDS

Production

EC2 RDS

Test

EC2 RDS

DisasterRecovery

EC2 RDS

PasswordPolicy

+

+

S3 LogfilesBackups

Lambda

ElasticLoadBalancing

VPCFlowLogs

CloudFront

IntellectualProperty

Conditions

TesterDeveloper Operations Network Security Audit HackerServiceDesk Storage DataBase

SecurityChallenge



CCBY-NC-ND3.06

MehrereAccounts

Test

Production

DisasterRecovery Billing

Logging

Backup

IntellectualPropertyDevelopment

Access &IdentityManagement

Hacker



CCBY-NC-ND3.07

Abrechnung

Test

Production

DisasterRecovery

Billing

Logging

Backup


Development Identity&AccessManagement

S3DetailedBilling



CCBY-NC-ND3.08

Identitäts- undZugriffsverwaltung


RootUser

Policies

Groups

Users

PasswordPolicy

+

+

Conditions

SecurityChallenge

Identity&AccessManagement Example


RootUser

Policies

Roles

+

Conditions

SecurityChallenge

Users +

Developer

Operations

Network

Tester

Security

Audit

ServiceDesk

Storage

DataBase

Test

Production

DisasterRecovery

Billing

Logging

Backup


Roles

Development

Roles

Roles

Roles Roles

Roles

Roles

Roles



CCBY-NC-ND3.09

SystemumgebungenRoles Identity&Access Development Test Production DisasterRecovery

IAMMaster Create/ModifyPolicies /EnableIAMManager

IAMManager CreateRoles/UsePre-DefinedPolicies

Developer

Tester

Operations

ServiceDesk

Network

Storage

DataBase

Security

Audit



CCBY-NC-ND3.010

Systemumgebungen


Policies

Groups

Users

PasswordPolicy

+

Conditions


Developer

Operations

Network

Tester

Security

Audit

ServiceDesk

Storage

DataBase

Application1

EC2 RDS

Application2

EC2 RDS

Production

Roles

Application1

EC2 RDS

Application2

EC2 RDS

Development

Roles

Application1

EC2 RDS

Application2

EC2 RDS

DisasterRecovery

Roles

Application1

EC2 RDS

Application2

EC2 RDS

Test

Roles



CCBY-NC-ND3.011

Identitäts- undZugriffsverwaltung

• AbsicherndesAWSRoot Users• SetzeneinersicherenPasswort-Richtlinie• ErstellenvonIAMBenutzern• VerwendungvonMulti-Faktor-Authentifizierungs-Geräten• VerwendungvonIAMGruppen• VergabevonminimalenZugriffsrechten• EinschränkungdesZugriffsdurchBedingungeninRichtlinien• VerwendungeinerzentralenBenutzerverwaltung• VerwendungvonIAMRollen



CCBY-NC-ND3.012

Protokollierung


Users +

Developer

Operations

Network

Tester

Security

Audit

ServiceDesk

Storage

DataBase

CloudTrail

Config

EnvironmentAccounts[Development]

[Test][Production]

[DisasterRecovery]IntellectualProperty

CloudWatch Logs

CloudTrail

Config

Lambda


VPCFlowLogs

CloudFront

S3

BackupAccount

CloudTrail

Config

BillingAccount

CloudTrail

Config

Logging Account

Region 1

+Versioning+MFADelete+Replication

Region 2

+Versioning+MFADelete

LambdaSQS SES

SNS

SNS

SNS

SNS

Config



CCBY-NC-ND3.013

Datensicherung

Application1

EC2 RDS

Application2

EC2 RDS

Production

Roles

Application1

EC2 RDS

Application2

EC2 RDS

Development

Roles

Application1

EC2 RDS

Application2

EC2 RDS

DisasterRecovery

Roles

Application1

EC2 RDS

Application2

EC2 RDS

Test

Roles Users +

BackupAccount

Region 1

S3+Versioning+MFADelete+Replication

Region 2

EBSSnapshots+ Sharing+Copy+Replication

RDSSnapshots+Sharing+Copy+Replication

EBSSnapshots+ Sharing+Copy

RDSSnapshots+Sharing+Copy

S3+Versioning+MFADelete



CCBY-NC-ND3.014

GeistigesEigentum

CodeCommit

CodeDeploy

CodePipeline


S3+Versioning+MFADelete

EC2AMIs+Sharing

ReproducibleBuilds

Application1 Application2

Production

Application1

EC2

Application2

Development


DisasterRecovery


Test

EC2SharedAMIs

CodeDeploy

EC2

CodeDeploy

EC2 EC2

CodeDeploy

CodeDeploy

EC2

CodeDeploy

EC2

CodeDeploy

EC2

CodeDeploy

EC2

EC2SharedAMIs

EC2SharedAMIsEC2SharedAMIsOpsWorks

DesiredStateConfiguration



CCBY-NC-ND3.015

Funktionsumgebungen

Roles Billing Logging Backup IntellectualProperty

IAMMaster Create/ModifyPolicies /EnableIAMManager

IAMManager CreateRoles/UsePre-DefinedPolicies

Developer

Tester

Operations

ServiceDesk

Network

Storage

DataBase

Security

Audit



CCBY-NC-ND3.016

Funktionsumgebungen

• AktivierungderProtokollierung• AggregierenvonLogfiles• SchutzvonLogfiles• ToolszurAnalyseundÜberwachung• ErstellungvonBackups• ZentralisierungvonBackups• SchutzvonBackups• ZentralisierungvongeistigemEigentum• SchutzvongeistigemEigentum



CCBY-NC-ND3.017

IAMCredential Report

• VerwendungdesIAMCredential Reports• EntfernenvonungenutztenIAMUsern• EntfernenvonungenutztenIAMUserKonsolen-Passwörtern• EntfernenvonungenutztenIAMUserAPIAccessKeys• ZweiAPIAccessKeysproIAMUser• RotationderAPIAccessKeys• KeineAPIAccessKeysfürdenAWSRoot User,IAMMaster,IAMManager• IAMRollenfürApplikationen,dieaufAmazonEC2Instancelaufen



CCBY-NC-ND3.018

Erreichbarkeit

• KontrolledereignenKontaktdaten

• ZusätzlicheAnsprechpartner

• KontrolledervonAmazonverschicktenE-Mails

• VergabevonSicherheitsfragen



CCBY-NC-ND3.019

Überblick

Donnerstag,30.Juni 201615:45 - 16:15Uhr

AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementim Unternehmensumfeld

CCBY-NC-ND3.020

Billing Logging Backup IntellectualProperty

Development|Test|Production|DisasterRecovery

Identity&Access

+

ÜberwachungmitCloudWatch Logs

MetricFilter+Alarm

CloudWatchLogs

VPCFlow

OS&AppLogs

CloudTrail

Lambda

Email/SMS



CCBY-NC-ND3.021

CloudWatch Logs+Metric Filter/Alarm

• VerwendungdesRoot Users• VerwendungderAWSKonsoleohneMFA-Gerät• VerwendungderAWSAPIohneMFA-Gerät• FehlgeschlageneAnmeldeversucheanderAWSKonsole• VerwendungvonnichterlaubtenAPIKommandos• VeränderungvonIAMRichtlinien• VerwendunggroßerEC2Instanz-Typen• VeränderungderCloudTrail-Einstellungen



CCBY-NC-ND3.022

CloudTrail /Root User

CloudTrail

Quelle: CloudTrail EventsinCloudWatch Logs

Dienst: CloudWatch LogsMetricFilter

Filter: {$.userIdentity.type ="Root"&&

$.userIdentity.invokedBy NOTEXISTS&&

$.eventType !="AwsServiceEvent"}

Alarm: Summe >=1in5minute(s)

Aktion: SendE-Mailnotifications

MetricFilter+Alarm

CloudWatchLogs

Email/SMS



CCBY-NC-ND3.023

CloudTrail JSONStruktur{"eventVersion": "1.02","userIdentity": {"type": "Root","principalId": "123456789012","arn": "arn:aws:iam::123456789012:root","accountId": "123456789012"

},"eventTime": "2016-01-12T18:06:19Z","eventSource": "signin.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "92.72.234.83","userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85

Safari/537.36","requestParameters": null,"responseElements": {"ConsoleLogin": "Success"

},"additionalEventData": {"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true","MobileVersion": "No","MFAUsed": "Yes"

},"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb","eventType": "AwsApiCall","recipientAccountId": "123456789012"

}



CCBY-NC-ND3.024

CloudTrail /AnmeldeversucheanderAWSKonsole

CloudTrail

Quelle: CloudTrail EventsinCloudWatch Logs

Dienst: CloudWatch LogsMetricFilter

Filter: {($.eventName =ConsoleLogin) &&($.errorMessage ="Failed authentication") }

Alarm: Summe >=3 in5minute(s)

Aktion: SendE-Mailnotifications

MetricFilter+Alarm

CloudWatchLogs

Email/SMS



CCBY-NC-ND3.025

Beispiele

• CloudTrail/AWSKonsoleohneMFA-Gerät{$.eventName ="ConsoleLogin"&&$.additionalEventData.MFAUsed !="No"}• CloudTrail/AWSAPIsohneMFA-Gerät{$.userIdentity.sessionContext.attributes.mfaAuthenticated !="true"• CloudTrail/nichterlaubteAPIKommandos{($.errorCode ="*UnauthorizedOperation") ||($.errorCode ="AccessDenied*")}• CloudTrail/großeEC2Instanz-Typen{($.eventName =RunInstances)&&(($.requestParameters.instanceType =*.8xlarge)||($.requestParameters.instanceType =*.4xlarge))}• CloudTrail/VeränderunganCloudTrail{($.eventName =CreateTrail)||($.eventName =UpdateTrail)||($.eventName =DeleteTrail)||($.eventName =StartLogging)||($.eventName =StopLogging)}



CCBY-NC-ND3.026

Beispiele

• CloudTrail/VeränderungvonIMARichtlinien{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}



CCBY-NC-ND3.027

Nächste Schritte

• Creating CloudWatch Alarmsfor CloudTrail Events:Exampleshttp://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html

• Using anAWSCloudFormation Templateto CreateCloudWatch Alarmshttp://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html



CCBY-NC-ND3.028

Nächste Schritte

• AWSRepositoryfor CloudWatch Alarms/CloudTrail Events<URL&QRCodeEinfügen>



CCBY-NC-ND3.029

Automatisierung

• AWSCloudTrailfüralleRegionen

• AWSCloudFormationCloudTrail /CloudWatch Logs/MetrikFilter+Alarme

• AWSSDKsPython(Boto3),PowerShell /.NET,Java,Ruby,C++,Go,

• AWSPartnerTechnologyPartnerSecurity



CCBY-NC-ND3.030

AWSSecurityBlog

https://blogs.aws.amazon.com/security/



CCBY-NC-ND3.031

Kontakt

https://www.xing.com/profile/Andreas_Heidoetting

https://de.linkedin.com/in/andhei

Donnerstag,30.Juni 201615:45 - 16:15Uhr

AmazonWebServicesEnterpriseSummitFrankfurtAWSAccountManagementim Unternehmensumfeld

CCBY-NC-ND3.032

Copyright(CCBY-NC-ND3.0)

Namensnennung- Nicht-kommerziell- KeineBearbeitung3.0http://creativecommons.org/licenses/by-nc-nd/3.0/de/legalcode

Siedürfen:• Teilen— dasMaterialinjedwedemFormatoderMediumvervielfältigenundweiterverbreitenUnterfolgendenBedingungen:• Namensnennung— Siemüssen angemesseneUrheber- undRechteangabenmachen,einenLinkzurLizenzbeifügenundangeben,ob Änderungenvorgenommenwurden.DieseAngabendürfeninjederangemessenenArtundWeisegemachtwerden,allerdingsnichtso,dassderEindruckentsteht,derLizenzgeberunterstützegeradeSieoderIhreNutzungbesonders.

• Nichtkommerziell — SiedürfendasMaterialnichtfür kommerzielleZwecke nutzen.• KeineBearbeitungen—WennSiedasMaterial remixen,verändernoderdaraufanderweitigdirektaufbauen dürfenSiediebearbeiteteFassungderMaterialsnichtverbreiten.

• KeineweiterenEinschränkungen—SiedürfenkeinezusätzlichenKlauselnoder technischeVerfahreneinsetzen,dieanderenrechtlichirgendetwasuntersagen,wasdieLizenzerlaubt.



CCBY-NC-ND3.033

CloudWatch Logs+Lambda

LambdaParsingLogic

Action

SNS Email/SMS

CloudWatchLogs

VPCFlow

OS&AppLogs

CloudTrail

Lambda



CCBY-NC-ND3.034

Gegenmaßnamen

• VerwendungderAWSKonsoleohneMFA-Gerät=>Benutzersperren

• FehlgeschlageneAnmeldeversucheanderAWSKonsole=>Benutzersperren

• VerwendungderAWSAPIohneMFA-Gerät=>APIZugriffsperren

• VerwendunggroßerEC2Instanz-Typen=>StoppenderInstanzen



CCBY-NC-ND3.035

Einschränkungen/Kosten

• LambdaFunktionenproAWSAccount

• KostenfürLangzeitarchivierung



CCBY-NC-ND3.036

Kinesis

AmazonS3

LambdaParsingLogic

Action

SNS Email/SMS

ÜberwachungmitCloudWatch Logs

CloudWatchLogs

VPCFlow

OS&AppLogs

CloudTrail

Lambda



CCBY-NC-ND3.037

ÜberwachungvonCloudTrail /Config viaS3

CloudTrail S3BucketCloudTrail Logs

LambdaParsingLogic

Action

SNS Email/SMS

Config S3BucketConfig Logs

<15m

<6h



CCBY-NC-ND3.038

ÜberwachungvonCloudFront /S3/ELBviaS3

S3BucketCloudTrail Logs

LambdaParsingLogic

Action

SNS Email/SMS

S3BucketELBLogs

ELB

CloudFront

S3 S3BucketCloudTrail Logs

<15m

<15m

<15m



CCBY-NC-ND3.039

ÜberwachungConfig viaSNS/Rules

LambdaParsingLogic

Action

SNS Email/SMS

<1m

Config

SNS

TriggeredRules

ScheduleRules

Instant

Defined



CCBY-NC-ND3.040

ÜberwachungCloudWatch Events

Lambda

Action

SNS

CloudWatchEvents

Kinesis

CloudWatchRules

OS&AppLogs

CloudTrail

Lambda

EC2



CCBY-NC-ND3.041

Einblick&Verständnis

KibanaElasticSearch

CloudWatchLogs

LambdaVPCFlowLogsOS&AppLogs

& &

CloudTrail AmazonS3Config

&

ELBCloudFront S3

& & &

CloudTrail

&



CCBY-NC-ND3.042

Zusammenfassung

AWSAccounts

CloudWatchLogs

CloudTrail

Config

Lambda


VPCFlowLogs

CloudFront

S3

Region 1

+Versioning+MFADelete+Replication

Region 2

+Versioning+MFADelete

Lambda

OS&AppLogs

Kinesis

Kibana

ElasticSearch

Action

SNS

Email/SMSKibana

AWSLoggingAccount



CCBY-NC-ND3.043

LambdaimDetail

AWSSecurityBlogby SébastienStormacqHow to Receive Alerts When Specific APIsAreCalled by Using AWSCloudTrail,AmazonSNS,andAWSLambda(May15,2015)

https://blogs.aws.amazon.com/security/post/Tx2ZTUVN2VGBS85/



CCBY-NC-ND3.044

ZusammenspielderAWSDienste

Amazon CloudTrail

Amazon S3 BucketCloudTrail Logs

Amazon LambdaParsing Logic

Amazon S3 BucketConfiguration File

Amazon SNS Email Subscription

1 2 4 5

3



CCBY-NC-ND3.045

ProzessSchritt#1

Amazon CloudTrail





1

• CloudTrail erstelltProtokolleinträgefürAPIAufrufe.• CloudTrail aggregiertProtokolleinträgeineinerJSONTextDatei,komprimiertundspeichertdieseimkonfiguriertenS3Bucket.



CCBY-NC-ND3.046

ProzessSchritt#2

Amazon CloudTrail





2

• DieLogikzurVerarbeitungderLogzeilenstecktineinerLambdaFunktion.• DieLambdaFunktionwirddurchS3aufgerufen,wennvonCloudTraileineneueDateihochgeladenwird.



CCBY-NC-ND3.047

ProzessSchritt#3

Amazon CloudTrail





3

• DieLambdaFunktionlädtbeimStarteineKonfigurationsdateiherunter,inderdiegewünschtenSuchfilterenthaltensind.



CCBY-NC-ND3.048

ProzessSchritt#4

Amazon CloudTrail





4

• BeiFilter-TreffernübergibtLambdaBenachrichtigungenanSNS.



CCBY-NC-ND3.049

ProzessSchritt#5

Amazon CloudTrail





5

• SNSverteiltdieBenachrichtigungenanAbonnenten.



CCBY-NC-ND3.050

Konfiguration

• S3Bucket erstellen

• SNSTopicerstellen

• Abonnementsbestätigen

• CloudTrail konfigurieren

• IAMRollefürLambdaFunktionerstellen

• LambdaFunktionerstellenDonnerstag,30.Juni201615:45 - 16:15Uhr


CCBY-NC-ND3.051

LambdaSchrittfürSchritt

1. CloudTrail speicherteineneueProtokolldateiaufS3.2. S3ruftdieverknüpfteLambdaFunktionaufundübergibtJSONStruktur.3. Lambdaläd dieKonfigurationsdateiherunter.4. LambdafindetinS3JSONStrukturdenPfadderCloudTrail

Protokolldatei.5. Lambdaläd dieCloudTrail Protokolldateiherunter.6. LambdadekomprimiertdieProtokolldatei.7. LambdaverwendetkonfigurierteSuchfilter.8. LambdaverschicktBenachrichtigungen.



CCBY-NC-ND3.052

S3JSONStruktur{"Records": [{"eventVersion": "2.0","eventSource": "aws:s3","awsRegion": "us-east-1","eventTime": "2016-01-12T21:08:30.487Z","eventName": "ObjectCreated:Put","userIdentity": {"principalId": "AWS:AROAI6ZMWVXR3IZ6MKNSW:i-4ff1b7a5"

},"requestParameters": {"sourceIPAddress": "54.211.178.99"

},"responseElements": {"x-amz-request-id": "F104F805121C9B79","x-amz-id-2": "Lf8hbNPkrhLAT4sHT7iBYFnIdCJTmxcr1ClX93awYfF530O9AijCgja19rk3MyMF"

},"s3": {"s3SchemaVersion": "1.0","configurationId": "quickCreateConfig","bucket": {"name": "awsuglog.awscloudtrail","ownerIdentity": {"principalId": "AH42GJUX5WBQT"

},"arn": "arn:aws:s3:::awsuglog.awscloudtrail"},"object": {"key": "AWSLogs/123456789012/CloudTrail/us-east-1/2015/09/12/123456789012_CloudTrail_us-east-

1_20150912T1810Z_G1dfnHn3Occee7Yb.json.gz","size": 2331,"eTag": "63d801bb561037f59f2cb4d1c03c2392"

}}}]}



CCBY-NC-ND3.053

CloudTrail JSONStruktur{"eventVersion": "1.02","userIdentity": {"type": "Root","principalId": "123456789012","arn": "arn:aws:iam::123456789012:root","accountId": "123456789012"

},"eventTime": "2016-01-12T18:06:19Z","eventSource": "signin.amazonaws.com","eventName": "ConsoleLogin","awsRegion": "us-east-1","sourceIPAddress": "92.72.234.83","userAgent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85

Safari/537.36","requestParameters": null,"responseElements": {"ConsoleLogin": "Success"

},"additionalEventData": {"LoginTo": "https://console.aws.amazon.com/console/home?nc2=h_m_mc&state=hashArgs%23&isauthcode=true","MobileVersion": "No","MFAUsed": "Yes"

},"eventID": "3416d60e-69dd-4563-8944-160e7cb94dcb","eventType": "AwsApiCall","recipientAccountId": "123456789012"

}



CCBY-NC-ND3.054

Benachrichtigungen

ACHTUNG: Der Root User hat sich erfolgreich an der Konsole von Account 123456789012 angemeldet.

userIdentity/type : RootuserIdentity/principalId : 123456789012userIdentity/arn : arn:aws:iam::123456789012:rootuserIdentity/accountId : 123456789012eventTime : 2016-01-12T18:06:19ZeventSource : signin.amazonaws.comeventName : ConsoleLoginawsRegion : us-east-1sourceIPAddress : 92.72.234.83userAgent : Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36requestParameters : nullresponseElements : {"ConsoleLogin":"Success"}Donnerstag,30.Juni201615:45 - 16:15Uhr


CCBY-NC-ND3.055

Wasüberwachen?

• CloudTrail /VerwendungdesRoot Usersbzw.der"IAMMaster”Rolle=>AlarmperSMS/E-Mail

• CloudTrail /DeaktivierungvonCloudTrail=>AlarmperSMS/E-Mail/Re-AktivierungvonCloudTrail

• CloudTrail /ErfolgreicherZugriffvonunbekanntenIP-Adressen=>AlarmperSMS/E-Mail/Zugangsperren

• CloudTrail /Verwendungder"IAMManager"Rolle=>TäglicheZusammenfassungperE-Mail/Kontrolle

• Config o.API/ExistenzvonRoot UserAPIAccessKeys=>TäglicheZusammenfassungperE-Mail/DeaktivierendesAccessKeys



CCBY-NC-ND3.056

Wasüberwachen?

• Config o.API/FehlenvonBedingungenbei"IAMMaster","IAMManager"Rolle=>TäglicheZusammenfassungperE-Mail/AktivierungderBedingungen

• Config o.API/FehlenvonCloudTrail inAWSRegionen=>TäglicheZusammenfassungperE-Mail/AktivierungvonCloudTrail

• CloudTrail /AufrufvonKommandosohneBerechtigung=>TäglicheZusammenfassungperE-Mail/Kontrolle

• CloudTrail /VerweigerteZugriffevonunbekanntenIP-Adressen=>TäglicheZusammenfassungperE-Mail/Kontrolle

• CloudTrail /ErfolgreicheZugriffevonunbekanntenBenutzern=>TäglicheZusammenfassungperE-Mail/Kontrolle



CCBY-NC-ND3.057

Documents

AWS Account Management im Unternehmensumfeld€¦ · · 2016-06-30• Veränderung von IAM Richtlinien • Verwendung großer EC2 Instanz -Typen • Veränderung der CloudTrail-Einstellungen