亚马逊网络服务攻击面分析器
通过攻击面分析器,您可以识别 AWS 云目录中的配置错误并增强云安全性。
以下是攻击面分析器跟踪的 AWS 云目录服务:
- Amazon EC2
- Amazon VPC
- AWS IAM
- Amazon S3
- Amazon RDS
- Amazon DynamoDB
- AWS Lambda
- AWS Elastic Beanstalk
- AWS CloudTrail
- Amazon EFS
- AWS KMS
- Amazon SNS
- Amazon SQS
- Amazon EC2 自动扩展
- AWS 弹性负载均衡
- AWS 弹性负载均衡 V2
- Amazon CloudFront
- Amazon CloudWatch
- Amazon CloudWatch 日志
- Amazon ElastiCache
- Amazon MemoryDB for Redis
- Amazon DocumentDB
- AWS CodeBuild
- Amazon Config 服务
- Amazon Route 53
- AWS WAF
- AWS WAF 区域
- AWS WAF V2
先决条件
为了让攻击面分析器顺利运行,ADAudit Plus 服务器应具备 有效的互联网连接。此外,需要在 ADAudit Plus 服务器上打开 出站 HTTPS 端口 443,以便与 AWS 云目录进行通信。
在 ADAudit Plus 中配置 AWS 云目录以进行攻击面分析之前,您需要:
- 创建一个用户并通过 IAM 策略附加适当的权限。
- 获取账户 ID、访问密钥和秘密访问密钥。
有两种方法可以创建用户并通过 IAM 策略附加适当的权限:
- 使用 AWS CloudFormation
- 使用 AWS IAM 控制台
使用 AWS CloudFormation 创建用户并附加 IAM 策略
- 登录 AWS 管理控制台,进入 CloudFormation。
- 在顶端导航栏中,点击您账户信息左侧的区域列表,选择您希望创建堆栈的区域。
- 点击 创建堆栈 并从下拉菜单中选择 使用新资源(标准)。
- 在 创建堆栈 页面中,在 指定模板 面板的 模板来源 下,选择 上传模板文件。
- 下载此 模板文件。
- 点击 选择文件,浏览到您刚刚下载的文件,选择它,然后点击 打开。
- 文件上传后,点击 下一步。
- 输入合适的栈名称。在参数面板中,您可以选择更改策略和用户的名称。在UseExistingUser下选择false,然后点击下一步。
- 在配置栈选项页面上,保留默认设置,然后点击下一步。
- 在审查并创建页面上,审核您的设置,勾选确认复选框,然后点击提交。
- 栈创建完成后,选择资源标签,点击您刚刚创建的用户。您将被重定向到IAM控制台。按照检索访问密钥和秘密访问密钥中的步骤进行操作。
使用AWS IAM控制台创建用户并附加IAM策略
在这种方法中,您需要先在IAM控制台中创建一个策略,然后创建用户并附加该策略。
在IAM控制台中创建策略
- 登录AWS管理控制台并打开IAM控制台。
- 在IAM仪表板中,选择策略,然后点击创建策略。
- 在策略编辑器页面上,选择JSON模式,从此文件复制并粘贴权限声明,然后点击下一步。
- 输入此策略的合适名称和描述,审核服务所需的权限,然后点击创建策略。
- 完成后,您将被重定向到IAM策略页面。
创建用户并附加策略
- 在IAM控制台中,选择用户
从导航菜单中,点击 创建用户。
- 为新用户输入一个合适的 用户名,然后点击 下一步。
- 在 设置权限 页面上,选择 直接附加策略。
- 浏览并选择您刚刚创建的策略,然后点击 下一步。
- 审核您的选择,然后点击 创建用户。
检索访问密钥和秘密访问密钥
- 在 IAM 控制台中,点击导航菜单中的 用户,然后选择您创建的用户。
- 点击 安全凭证 标签,在 访问密钥 面板中,点击 创建访问密钥。
- 选择 其他 作为您的用例,然后点击 下一步。
- 如有必要,设置合适的描述标签值,然后点击 创建访问密钥。
- 密钥创建后,您可以查看用户的 访问密钥 和 秘密访问密钥。将它们复制到剪贴板中,因为您在配置 ADAudit Plus 中的 AWS 云目录时将需要这些信息。
- 在顶部的导航栏中,点击您的账户信息旁边的下拉菜单,复制 账户 ID,然后点击 完成。
- 登录您的 ADAudit Plus 网络控制台。
- 导航到 云目录 标签 > 攻击面分析器 > 配置 > 云目录。
- 在右上角点击 +添加云目录。
- 从 添加云目录 弹出窗口中选择 AWS 云。
- 输入合适的 显示名称,并在 账户编号、访问密钥ID 和 秘密访问密钥 字段中分别输入您之前复制的账户ID、访问密钥和秘密访问密钥。
- 如果您希望提取和监控在AWS云目录中执行的所有操作,请选择 审计日志 复选框,然后点击 下一步。
- 审核您的设置,然后点击 完成。