Por Weberton Souza
O AWS Config é um serviço regional totalmente gerenciado que provê um inventário de recursos da AWS como histórico de configuração e notificação de alterações proporcionando assim segurança e governança.
Como funciona?
Utilizamos o AWS Config para descobrir recursos efetivos e excluídos da AWS, e ver detalhes das configurações e saber como ele foi estruturado em determinado momento. Além disso, ele permite fazer auditoria de conformidade, análise de segurança, rastreamento de alteração de recursos e solução de problemas.
Regras
Uma regra representa os valores de atributo do Configuration Item (CI – Item
de configuração) desejados para os recursos e são avaliados pela comparação
desses valores de atributo com CIs registrados pelo AWS Config. Existem dois
tipos de regras:
- Regras gerenciadas pela AWS: São
pré-concebidas e gerenciadas pela AWS. Basta escolher a regra que você
deseja habilitar, e um exemplo é a “iam-password-policy” que
verifica se a política de senha da conta para usuários do IAM atende aos
requisitos especificados indicados nos parâmetros
- Regras gerenciadas pelo cliente: são
regras personalizadas, definidas e concebidas por você. Você pode criar
uma função no AWS Lambda que possa ser invocada como parte de uma regra
personalizada e uma utilizada pelos usuários é “ConfigurationItemChangeNotification”
que Essas configurações habilitam sua regra para ser acionada sempre que o
AWS Config gerar um item de configuração
Config recording x config rules
O config
recording é um recurso do AWS Config que usa de um gravador de configurações
para armazenar logs de alterações nas configurações dos seus recursos e
serviços de forma detalhada a fim de aprimorar a rastreabilidade de atividades
da conta e facilitar qualquer necessidade de roll-back de configurações. E o
config rules são regras de automação de ações ou checagem predefinidas e
personalizáveis que o AWS Config usa para avaliar se seus recursos da AWS estão
em conformidade com as práticas recomendadas para o pilar de segurança
utilizando nas regras pré definidas frameworks padrão de mercado como CIS, PCI
e nativamente o AWS Foundations além de regras personalizadas sem a fundação de
um framework específico, além de ação de remediação no caso de inconformidade.
Benefícios
- Visão geral de configurações em recursos e
serviços funcionais;
- Evitar complexidade de baselines antigos;
- Automatização de tarefas;
- Mais agilidade em pesquisa;
- Detalhamento de modificações;
- Aprimoramento de rastreabilidade.
Preços
Com o AWS Config, você é cobrado com base no número de itens de configuração registrados na sua conta AWS. Um item de configuração é registrado sempre que um recurso passa por uma mudança de configuração ou de relacionamento. O recurso pode ser um recurso AWS, de terceiros ou personalizado. Lembrando que é um serviço regional, então se você tiver dois itens em cada região você será cobrado por cada um deles. Em média o você pagará $ 0,003 por item e no final do mês os itens acumulados serão cobrados na sua fatura mensal.
Soluções de parceiros
Soluções de parceiros do APN, como Splunk, ServiceNow, Evident.IO, CloudCheckr, Redseal Networks e RedHat CloudForms apresentam ofertas totalmente integradas com os dados do AWS Config. Além disso, com o Config Rules, parceiros como CloudHealth Technologies, AlertLogic e TrendMicro estão fornecendo ofertas integradas que podem ser usadas pelos clientes.
weberton.souza@darede.com.br
Weberton possui uma vasta experiência na implementação e administração de ambientes Cloud Computing e é especializado em segurança da informação possuindo uma certificação AWS Security – Specialty.
