Deep Dive AWS CloudTrail

Click here to load reader

  • date post

    16-Apr-2017
  • Category

    Technology

  • view

    385
  • download

    0

Embed Size (px)

Transcript of Deep Dive AWS CloudTrail

  • 2016, Amazon Web Services, Inc. ou ses filiales. Tous droits rservs.

    Julien SimonPrincipal Technical Evangelist, [email protected]@julsimon

    Deep Dive : rsoudre les problmes oprationnels et de scurit avec AWS CloudTrail

  • Agenda

    Prsentation de CloudTrail

    Mise en route

    Rechercher des vnements

    Recevoir des notifications lors de lappel dune API

    Solutions partenaires

    Questions et rponses

  • Prsentation de CloudTrail

  • CloudTrail

    Les clients effectuent des appels d'API...

    Sur un ensemble de services de plus en plus vaste dans le monde entier...

    CloudTrail enregistre

    continuellement nos appels

    d'API

    Et transmet les fichiers journaux

    aux clients

    CloudTrail prend en charge la plus grande partie desservicesAWS.https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-supported-services.html

  • Cas d'utilisation de CloudTrail

    Analyse de scurit

    Utilisez les fichiers journaux dans vos solutions d'analyse et de gestion afin de procder l'analyse du comportement des utilisateurs.

    Suivi des modifications apportes aux ressources AWS Suivez la cration, la modification et la suppression de ressources AWS telles que

    les instances Amazon EC2, les groupes de scurit AmazonVPC et les volumesAmazonEBS

    Rsolution des problmes oprationnels Identifiez rapidement les dernires modifications apportes aux ressources

    prsentes dans votre environnement

    Aide la conformit Il est plus simple de prouver la conformit lorsque lon dispose de toutes les

    informations CloudTrail est certifi PCI DSS, ISO 9001 / 27001 / 27017 / 27018, SOC 1 / 2 / 3

  • Que contient un vnement CloudTrail?

    Qui a effectu l'appel de l'API?Quand l'appel de l'API a-t-il t effectu?Quelle tait la nature de l'appel d'API?Quelles ressources ont t utilises dans le cadre de l'appel d'API?A partir d'o l'appel d'API a-t-il t effectu et vers quelle destination?

    En rgle gnrale, les fichiers journaux contenant des vnements sont transmis S3 en moins de 10minutes. Ces fichiers peuvent tre chiffrs laide de cls gres par KMS.

  • Disponibilit et tarification

    Disponible dans toutes les rgions AWS, y compris GovCloud et les rgions chinoises

    CloudTrail est trs conomique Management Events: $2.00 / 100,000 appels Data Events (S3) : $0.10 / 100,000 appels Stockage : tarif S3 habituel.

  • Mise en route

  • Activer CloudTrail dans toutes les rgions

    Nous vous recommandons de le faire ds que possible.

    Lhistorique dappels est une ressource trs prcieuse !

    CLoudTrail est la bote noire de votre plate-forme : #utilisez-la sans attendre.

  • Activer CloudTrail dans toutes les rgionsLopration peut se faire trs simplement dans la console CloudTrail.

    Voici galement un script pour le faire programmatiquement :

    CLOUDTRAIL_S3_BUCKET=yourbucket"PROFILE="yourprofile"REGION_FOR_GLOBAL_EVENTS="us-east-1"regionlist=($(aws ec2 describe-regions --query Regions[*].RegionName --output text))for region in ${regionlist[@]}doif[ $region = $REGION_FOR_GLOBAL_EVENTS ]thenaws --profile $PROFILE --region $region cloudtrail create-trail --name $region --s3-bucket-name $CLOUDTRAIL_S3_BUCKET --include-global-service-events --output tableaws --profile $PROFILE --region $region cloudtrail start-logging --name $region --output tableelseaws --profile $PROFILE --region $region cloudtrail create-trail --name $region --s3-bucket-name $CLOUDTRAIL_S3_BUCKET --no-include-global-service-events --output tableaws --profile $PROFILE --region $region cloudtrail start-logging --name $region --output tablefidone

  • Dmonstration : crer un nouveau trail avec la

    console CloudTrail

  • Recherche dans CloudTrail

  • Recherche d'vnements CloudTrail dans la console Diagnostiquez les problmes oprationnels et de scurit lis votre compteAWS Recherchez les vnements

    Cration, suppression et modification des ressourcesAWS 7derniers jours

    Filtrez les vnements Plage de temps Nom utilisateur Nom de la ressource Type de ressource Nom de l'vnement ID d'vnement

  • Dmonstration :

    rechercher des vnements avec la console CloudTrail

  • Recherche d'vnements CloudTrail dans la console

  • Rechercher des vnements avec la ligne de commande

    Tous les vnements des 7derniers joursaws cloudtrail lookup-events

    Tous les vnements pour lesquels le nom d'utilisateur est rootaws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

    Tous les vnements portant sur une instanceEC2aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::Instance

    http://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-cli.html

  • Recevoir des notifications

    lors de lappel dune API spcifique

  • Recevoir des notifications

    Pourquoi? Surveiller les tendances ventuelles dans les vnements CloudTrail Agir immdiatement lorsqu'un vnement spcifique a lieuQue devez-vous faire? Configurer les vnements CloudTrail de faon ce qu'ils soient

    consigns dans CloudWatch Logs Cot de CloudWatch Logs : $0.50 / Go ingr + stockage S3

    Configurer des alarmes CloudWatch Note : il est galement possible dintgrer CloudTrail avec CloudWatch

    Events, pour ragir des appels dAPI (par exemple avec Lambda)

  • Quels vnements dois-je surveiller?

    Les vnements lis la scurit et au rseau, par exemple :1. Cration, suppression et modification des groupes de scurit et des VPC2. Modifications apportes aux stratgies IAM3. Echecs de connexion la console4. Appels d'API ayant entran des checs d'autorisation Les vnements lis des ressources spcifiques, par exemple :1. Lancement / arrt d'instancesEC2, RDS, EMR, etc.2. Cration des instancesEC2 les plus coteuses : 4xlarge, 8xlarge, etc.

  • Configuration d'alarmes CloudWatch pour CloudTrail

    Pour commencer, utilisez le modle CloudFormation qui comporte 10alarmes prdfinies, notamment les exemples mentionns prcdemment.

    Crez ces 10alarmes CloudWatch en moins de 5minutes !

    Recevez des notifications par e-mail lorsque ces vnements ont lieu dans votre compteAWS

    http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html https://s3-us-west-2.amazonaws.com/awscloudtrail/cloudwatch-alarms-for-cloudtrail-api-activity/CloudWatch_Alarms_for_CloudTrail_API_Activity.json

  • Ajouter une alarme CloudWatch pour CloudTrail

    1. Configurez lexport des vnements CloudTrail vers #CloudWatch Logs.

    2. Crez un nouveau filtre de mtrique, en utilisant la syntaxe de CloudWatch.

    3. Crez une nouvelle alarme CloudWatch base sur la nouvelle mtrique.

    4. Dfinissez une notification associe lalarme.

    https://docs.aws.amazon.com/fr_fr/AmazonCloudWatch/latest/logs/MonitoringLogData.html

  • Dmonstration :

    ajouter une notification

  • Exporter les vnements CloudTrail vers CloudWatch Logs#Console CloudTrail

  • Crer un filtre de mtrique dans CloudWatch Logs#Console CloudWatch Logs

  • Crer une alarme base sur la mtrique#Console CloudWatch

  • Effectuer laction qui dclenche lalarme

    Visualiser laction dans CloudTrail

  • Dclenchement de lalarme dans CloudWatch

  • Rception de lemail de notification

  • Crer une notification depuis CloudWatch Events#Console CloudWatch Events

  • Solutions partenaires

  • Partenaires technologiquesintgrs CloudTrail#Gestion et analyse de logs#

    https://aws.amazon.com/cloudtrail/partners/

  • Partenaires consulting#

    https://aws.amazon.com/cloudtrail/partners/

  • Ressources complmentaires

    Livres blancs AWShttps://aws.amazon.com/whitepapers/auditing-security-checklist-for-use-of-aws/ https://aws.amazon.com/blogs/security/new-whitepaper-security-at-scale-logging-in-aws/ https://aws.amazon.com/whitepapers/overview-of-risk-and-compliance/

    AWS re:Invent 2016: Automated Governance of Your AWS Resources (DEV302)https://www.youtube.com/watch?v=2P2I7HlrFtA

    AWS re:Invent 2016: Scaling Security Operations and Automating Governance (SAC315)https://www.youtube.com/watch?v=_yfeCvqHdNg

    Slides et vidos des webinaires : http://bit.ly/2hKPihB

  • Merci !

    Julien SimonPrincipal Technical Evangelist, [email protected]@julsimon

    Lundi Bonnes pratiques d'authentification avec AWS IAM Chiffrez vos donnes avec AWSMardi Fireside chat avec Matthieu Bouthors et Julien Simon Re:Invent update 1Mercredi Deep dive : Amazon Virtual Private Cloud Bonnes pratiques anti-DDoSJeudi Re:Invent update 2 Grez les incidents de scurit avec AWS CloudTrailVendredi Automatisez vos audits de scurit avec Amazon Inspector Bonnes pratiques de scurit sur AWS