AWS Account Hardening mit Prowler

Blog AWS Account Hardening mit Prowler

Für eine effiziente und sichere AWS Account Security, benutzen wir bei KaWa commerce das Befehlszeilentool Prowler. Hier erfahren Sie mehr darüber, wie wir das für unsere Kunden umsetzen:

Prowler unterstützt uns bei der AWS-Sicherheitsbewertung, Auditierung und Accounthärtung innerhalb der AWS-Umgebung. Mit dem Tool scannen wir ein gesamtes AWS-Konto, um nach potenziellen Schwachstellen oder übermäßig freizügigen Berechtigungen für das Identitäts- und Zugriffsmanagement (IAM) zu suchen. 

Prowler führt seine Prüfungen gegen den AWS Foundations Benchmark der CIS (Center of Internet Security) durch. Der Prüfungsbericht wird im Anschluss in einem Report zusammengestellt und lesbar für den Endnutzer in verschiedenen Dateiformaten (z.B. csv, html, json) abgespeichert. 

Die Richtlinien für den Prowler-Report bauen auf den CIS Amazon Web Services Foundations Benchmark auf und verfügen über mehr als 100 zusätzliche Prüfungen, unter anderem auch basierend auf die ISO-27001. Der CIS (Center of Internet Security) ist eine unabhängige, gemeinnützige Organisation die anerkannte Best Practices zur Sicherung von IT-Systemen und Daten liefert. 

Realisiert wird diese mittels eines Zeitplans (Scheduler), der einmal am ersten Tag eines Monats startet und ein Lambda (Serverless Function) auslöst. Dieses Lambda startet den AWS Service CodeBuild, hier wird eine kurzweilige Umgebung (Serverless) geschaffen. Diese führt das Befehlszeilentool Prowler aus und erstellt vom jeweiligen Account einen Report. 

Unser Prowler Account Hardening Tool baut auf das Konzept von @toniblyx auf. Hier wird eine Umgebung geschaffen, um einen einzelnen AWS Account zu prüfen. Wir sind noch einen Schritt weiter gegangen und  haben das Tool so angepasst, dass wir ab sofort alle produktiven Accounts in der AWS Organization von KaWa commerce gleichzeitig mittels Prowler überprüfen können.

Der Report wird dann zentral in S3 (Simple Storage Service) gespeichert und erhält gleichzeitig eine Zugangskontrolle für die abgelegten Daten. Bei S3 handelt es sich um einen Objektspeicher, hier können beliebige Daten wie Fotos, Text, Backups, etc. abgelegt werden. 

Die Zugangskontrolle des Objektspeichers (S3) regelt wer die Berichte vom Prowler einsehen darf. Berechtigtes Personal innerhalb der Organisation kann auf die Daten zugreifen und die Auswertung durchführen.

Die Anpassungen und Änderungen können dann an die zuständigen Abteilungen weitergegeben werden. So werden die Accounts unserer Kunden kontinuierlich verbessert und damit auch sicherer!

Darstellung: Prozess mit bspw. 3 AWS Accounts

Welche Services nutzen wir dafür?

Für dieses Service werden Templates in JSON oder YAML erstellt. Mit diesen Templates werden Ressourcen verwaltet bzw. erstellt. Man spricht hier auch von Infrastructure as Code (IaC).
In diesen Fall wurde das Template für alle Produktiven Accounts in unserer Organization, über ein AWS Deployment Framework (ADF) ausgerollt. 

Dieser Service wird eigentlich für Quellcodekompilierung oder Tests für Softwarepakete genutzt. 

Für unsere Anwendung haben wir den Service zweckentfremdet, denn wir nutzen CodeBuild, um eine Art „serverless“ Umgebung zu schaffen, in der Prowler und dessen Abhängigkeiten erstellt werden. 

AWS S3 ist ein Objektspeicher und wird meistens Bucket (Eimer) genannt. Hier können beliebige Mengen an Daten gespeichert werden. Wir nutzen diesen Service zum Speichern der erstellten Prowler-Reporte. Diese Reporte werden dort im html-Format abgelegt und nur an User mit den jeweiligen Berechtigungen freigegeben. 

Prowler ist ein Befehlszeilentool, welches bei der AWS-Sicherheitsbewertung, Auditierung und Account-Härtung unterstützt. Es folgt den Richtlinien des CIS Amazon Web Services Foundations Benchmark und verfügt über mehr als 100 zusätzliche Prüfungen, unter anderem auch ISO-27001.

Sie haben Fragen oder wünschen sich diesen Security-Service für Ihren AWS Account? Dann nehmen Sie unverbindlich mit uns Kontakt auf. Wir beraten Sie gerne!

Robert Sturm

Robert Sturm

Zertifizierter AWS SysOps Administrator mit mehrjähriger Erfahrung als IT-Techniker und IT-Systemadministrator

Teilen:

Weitere Beiträge

Nach oben scrollen