IDS su account AWS separati

1

Ho due account AWS separati e vorrei uno scanner / ID Vulnistico su uno per eseguire la scansione di un altro.

Un ambiente è un normale account AWS e l'altro è in AWS Gov Cloud. A causa di limitazioni all'interno di Gov Cloud, ho potuto installare il mio ID solo sul normale account AWS. Vorrei eseguire la scansione delle mie macchine all'interno di Gov Cloud dall'account normale.

Qual è il modo migliore per farlo?

Stavo pensando di allegare indirizzi IP pubblici alle mie istanze di Gov Cloud e di creare una SG per consentire il mio accesso IDS. Qual è la migliore pratica qui? È una soluzione accettabile?

Nota: mi rendo conto che installare l'IDS all'interno di Gov Cloud è l'ideale, ma la licenza IDS è già stata acquistata e l'AMI può essere condiviso solo con un account normale.

    
posta 에이바 31.10.2014 - 16:18
fonte

2 risposte

2

Vorrei prima provare a contattare il fornitore e spiegare loro cosa è accaduto in modo che possano rifare la tua licenza per permetterti di spostare lo scanner dove dovrebbe essere. La maggior parte, se non tutti lo farebbero.

In secondo luogo, non voglio interpretare male le cose qui, ma quando dichiari "a causa di limitazioni sul cloud Gov" sto interpretando questo per indicare che non hai le autorizzazioni appropriate. Sto andando oltre la prudenza con questa affermazione: Assicurati di avere piena autorità, i diritti e le autorizzazioni per installare qualcosa su questa istanza, altrimenti probabilmente stai infrangendo le leggi. Non vedo alcun motivo per cui non hai i permessi se fa parte del tuo ruolo.

Ora alla domanda / parte IDS. La maggior parte delle porzioni IDS si basano su informazioni di registrazione (registri eventi, syslogs, ecc.) Per generare "eventi". Questi eventi vengono quindi attivati (viene inviato un avviso, vengono attivati allarmi, ecc.). Il tuo obiettivo sembra essere quello di ottenere questi dati dal punto A al punto B. L'ideale sarebbe creare una qualche forma di sessione di comunicazione crittografata per trasportare i dati da e verso ciascuna macchina. Per fare questo, vorrei utilizzare una sessione / tunnel VPN invece di mettere un indirizzo pubblico su una macchina che probabilmente non dovrebbe avere un indirizzo pubblico.

Gli svantaggi di mettere su un indirizzo pubblico è che tu rendi la tua macchina un bersaglio. In tal modo (configurazione di un indirizzo pubblico) sarà necessario creare due regole firewall su ciascuna posizione per ridurre al minimo la connettività da posizioni non autorizzate. Questo crea più lavoro, più configurazione, più spazio per errori.

Se NON non riesce a convincere il fornitore a modificare la licenza di Vulnscanner / IDS, farei quanto segue:

IDS SYSTEM —> VPN TUNNEL —> GOV MACHINE

Questo crittografa i dati da e verso, e in base a come configuri la connessione (sito al sito, roaming) ti permetterà di evitare di creare regole firewall su entrambe le estremità. Determinare che cosa sta cercando IDS (syslog, registri eventi, ecc.) E configurare il client per inviarli al server IDS in modo sicuro (tramite VPN). Non è così complicato.

    
risposta data 04.11.2014 - 17:02
fonte
0

Sembra più una domanda che dovresti fare al personale di supporto di AWS, dal momento che qualsiasi soluzione possibile sarà più limitata dalle restrizioni contrattuali del tuo piano che dai vincoli tecnici.

    
risposta data 31.10.2014 - 19:40
fonte

Leggi altre domande sui tag