Attack Surface Analyzer für Amazon Web Services

Mit dem Attack Surface Analyzer können Sie Fehlkonfigurationen in Ihrem AWS-Cloud-Verzeichnis identifizieren und die Cloud-Sicherheit verbessern.

Hier sind die von Attack Surface Analyzer für das AWS-Cloud-Verzeichnis verfolgten Dienste aufgelistet:

Voraussetzungen

Damit der Attack Surface Analyzer reibungslos funktioniert, sollte der ADAudit Plus-Server eine funktionierende Internetverbindung haben. Darüber hinaus muss der ausgehende HTTPS-Port 443 auf dem ADAudit Plus-Server geöffnet sein, um mit dem AWS-Cloud-Verzeichnis zu kommunizieren.

Bevor Sie Ihr AWS-Cloud-Verzeichnis für die Analyse der Angriffsfläche in ADAudit Plus konfigurieren, müssen Sie:

• Ein Benutzerkonto erstellen und die entsprechenden Berechtigungen über eine IAM-Richtlinie anhängen.
• Die Kontonummer, den Zugriffsschlüssel und den geheimen Zugriffsschlüssel abrufen.

Es gibt zwei Möglichkeiten, den Benutzer zu erstellen und die entsprechenden Berechtigungen über eine IAM-Richtlinie anzuhängen:

1. Mit AWS CloudFormation
2. Mit der AWS IAM-Konsole

Benutzer erstellen und die IAM-Richtlinie mit AWS CloudFormation anhängen

1. Melden Sie sich bei der AWS-Management-Konsole an und gehen Sie zu CloudFormation.
2. Wählen Sie in der Navigationsleiste oben die Regionsliste links von Ihren Kontoinformationen aus und wählen Sie die Region aus, in der Sie den Stack erstellen möchten.



3. Klicken Sie auf Stack erstellen und wählen Sie Mit neuen Ressourcen (Standard) aus dem Dropdown-Menü aus.



4. Wählen Sie auf der Seite Stack erstellen im Bereich Template angeben unter Vorlagenquelle Eine Template-Datei hochladen aus.
5. Laden Sie diese Vorlagendatei herunter.
6. Klicken Sie auf Datei auswählen, navigieren Sie zu der Datei, die Sie gerade heruntergeladen haben, wählen Sie sie aus und klicken Sie auf Öffnen.
7. Sobald die Datei hochgeladen wurde, klicken Sie auf Weiter.



8. Geben Sie einen geeigneten Stacknamen ein. Im Parameter-Panel können Sie wählen, den Namen der Richtlinie und des Benutzers zu ändern. Wählen Sie false unter UseExistingUser und klicken Sie auf Weiter.



9. Auf der Seite Stack-Optionen konfigurieren behalten Sie die Standardeinstellungen bei und klicken auf Weiter.
10. Auf der Seite Überprüfen und erstellen überprüfen Sie Ihre Einstellungen, aktivieren das Anerkenntnisfeld und klicken dann auf Absenden.



11. Sobald der Stack erstellt ist, wählen Sie die Registerkarte Ressourcen und klicken auf den gerade erstellten Benutzer. Sie werden zur IAM-Konsole weitergeleitet. Fahren Sie mit den Schritten unter Zugriffsschlüssel und geheimen Zugriffsschlüssel abrufen fort.

Einen Benutzer erstellen und die IAM-Richtlinie über die AWS IAM-Konsole anhängen

Bei dieser Methode müssen Sie zuerst eine Richtlinie in der IAM-Konsole erstellen und dann einen Benutzer erstellen und die Richtlinie anhängen.

Eine Richtlinie in der IAM-Konsole erstellen

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole.
2. Wählen Sie im IAM-Dashboard Richtlinien aus und klicken Sie dann auf Richtlinie erstellen.



3. Auf der Seite Richtlinien-Editor wählen Sie JSON-Modus aus, kopieren und fügen Sie die Berechtigungsanweisung aus dieser Datei ein und klicken Sie auf Weiter.



4. Geben Sie einen geeigneten Namen und eine Beschreibung für diese Richtlinie ein, überprüfen Sie die vom Dienst benötigten Berechtigungen und klicken Sie anschließend auf Richtlinie erstellen.



5. Nach Abschluss werden Sie zur Seite der IAM-Richtlinien weitergeleitet.

Einen Benutzer erstellen und die Richtlinie anhängen

1. Wählen Sie in der IAM-Konsole Benutzer aus dem Navigationsmenü und klicken Sie auf Benutzer erstellen.



2. Geben Sie einen geeigneten Benutzernamen für den neuen Benutzer ein und klicken Sie auf Weiter.



3. Wählen Sie auf der Seite Berechtigungen festlegen Richtlinien direkt anhängen.
4. Durchsuchen Sie die Richtlinie, die Sie gerade erstellt haben, und klicken Sie auf Weiter.



5. Überprüfen Sie Ihre Auswahl und klicken Sie auf Benutzer erstellen.

Zugriffsschlüssel und geheimer Zugriffsschlüssel abrufen

1. Klicken Sie in der IAM-Konsole auf Benutzer im Navigationsmenü und wählen Sie den Benutzer aus, den Sie erstellt haben.
2. Klicken Sie auf die Registerkarte Sicherheitsanmeldeinformationen und klicken Sie im Bereich Zugriffsschlüssel auf Zugriffsschlüssel erstellen.



3. Wählen Sie Andere als Ihren Anwendungsfall und klicken Sie auf Weiter.



4. Setzen Sie, falls erforderlich, einen geeigneten Beschreibungs-Tag-Wert und klicken Sie auf Zugriffsschlüssel erstellen.
5. Sobald der Schlüssel erstellt wurde, können Sie den Zugriffsschlüssel des Benutzers und den Geheimen Zugriffsschlüssel einsehen. Kopieren Sie diese in Ihre Zwischenablage, da Sie sie benötigen, wenn Sie das AWS-Cloud-Verzeichnis in ADAudit Plus konfigurieren.
6. Klicken Sie in der oberen Navigationsleiste auf das Dropdown-Menü neben Ihren Kontoinformationen, kopieren Sie die Kontonummer, und klicken Sie dann auf Fertig.

AWS-Cloud-Verzeichnis in ADAudit Plus konfigurieren

1. Melden Sie sich bei Ihrer ADAudit Plus-Webkonsole an.
2. Navigieren Sie zum Tab Cloud Directory > Attack Surface Analyzer > Konfiguration > Cloud Directory.
3. Klicken Sie oben rechts auf +Cloud-Verzeichnis hinzufügen.
4. Wählen Sie AWS Cloud aus dem Popup Cloud-Verzeichnis hinzufügen aus.



5. Geben Sie einen geeigneten Anzeigenamen ein und tragen Sie die Kontonummer, den Zugriffsschlüssel und den geheimen Zugriffsschlüssel ein, die Sie zuvor in die Felder Kontonummer, Zugriffsschlüssel-ID und Geheimer Zugriffsschlüssel kopiert haben.
6. Wählen Sie das Kontrollkästchen Prüfprotokoll aus, wenn Sie alle Operationen abrufen und überwachen möchten, die in Ihrem AWS-Cloud-Verzeichnis durchgeführt wurden, und klicken Sie dann auf Weiter.



7. Überprüfen Sie Ihre Einstellungen und klicken Sie auf Fertigstellen.