Behalten Sie Ihre Amazon EC2 Firewall-Regeln im Auge

Amazon AWS macht es für jeden wirklich einfach, Firewall-Regeln zu erstellen und zu aktualisieren, die den Zugang zu den virtuellen Maschinen in AWS ermöglichen. Innerhalb von Sekunden können Sie Ihre eigene IP-Adresse hinzufügen, so dass Sie von zu Hause oder vom Büro aus arbeiten können. Allerdings kann man auch leicht vergessen, sie wieder zu entfernen, wenn man fertig ist. Das Dienstprogramm aws-sg-revoker , hilft Ihnen bei der Pflege Ihrer Firewall-Regeln. aws-sg-revoker prüft alle Ihre eingehenden Zugriffsberechtigungen und vergleicht sie mit den öffentlichen IP-Adressen der Maschinen in Ihrem AWS-Konto. Bei Berechtigungen für IP-Adressen, die nicht in Ihrem Konto gefunden werden, generiert es einen aws CLI-Befehl zum Widerruf. Aber keine Angst: er wird nur generiert, nicht direkt ausgeführt. Vielleicht möchten Sie das vor der Entfernung untersuchen. Folgen Sie den folgenden 4 Schritten, um Ihr Konto zu schützen!

Schritt 1. Untersuchen Sie

Führen Sie zunächst den folgenden Befehl aus, um eine Liste aller IP-Adressbereiche zu erstellen, auf die verwiesen wird, die aber nicht in Ihrem Konto enthalten sind.

aws-sg-revoker -l
1.2.3.4 x.y.z.
4.5.6.7. hostname.de.
5.5.123.4 a.b.c.
8.9.10.11/16
....

Möglicherweise müssen Sie jq und das aws CLI installieren :-)

Schritt 2. Bekannte Adressen ausschließen

Schließen Sie die IP-Adressen aus, die in Ordnung sind. Diese Adressen werden als reguläre Ausdrücke hinzugefügt.

aws-sg-revoker -l -w 1.2.3.4 -w 8.9.10.11/16

Schritt 3. Befehle für den Widerruf erzeugen

Wenn Sie zufrieden sind, können Sie die Widerrufsbefehle erstellen:

aws-sg-revoker -w 1.2.3.4 -w 4.5.6.7 -w 8.9.10.11/16
aws ec2 revoke-security-group-ingress --group-id sg-aaaaaaaa --port 22-22 --protocol tcp --cidr 5.5.123.4/32 # revoke from sg blablbsdf
aws ec2 revoke-security-group-ingress --group-id sg-aaaaaaaa --port 9200-9200 --protocol tcp --cidr 5.5.123.4/32 # revoke from sg blablbsdf
aws ec2 revoke-security-group-ingress --group-id sg-aaaaaaaa --port 9080-9080 --protocol tcp --cidr 5.5.123.4/32 # revoke from sg blablbsdf
aws ec2 revoke-security-group-ingress --group-id sg-bbbbbbbb --protocol -1 --cidr 5.5.123.4/32 # revoke from sg sg-1
aws ec2 revoke-security-group-ingress --group-id sg-bbbbbbbb --protocol -1 -cidr 5.5.123.4/32 # revoke from sg sg-3

Schritt 4. Ausführen!

Wenn die Widerrufe in Ordnung sind, können Sie sie ausführen, indem Sie sie an eine Shell weiterleiten:

aws-sg-revoker -w 1.2.3.4 -w 8.9.10.11/16 | tee revoked.log | bash

Fazit

Dieses Dienstprogramm macht es Ihnen leicht, Ihre Firewall-Regeln regelmäßig zu überprüfen und zu pflegen und Ihre AWS-Ressourcen sicher zu halten!