|
|
Al operar un negocio, debe encontrar el equilibrio adecuado entre velocidad y control para sus operaciones en la nube. Por un lado, desea tener la capacidad de aprovisionar rápidamente los recursos de la nube que necesita para sus aplicaciones. Al mismo tiempo, dependiendo de su industria, debe mantener el cumplimiento de las mejores prácticas normativas, de seguridad y operativas.
AWS Config proporciona normasen el que puedes ejecutar modo detective para evaluar si los ajustes de configuración de sus recursos de AWS cumplen con los ajustes de configuración deseados. Hoy, estamos ampliando las reglas de AWS Config para admitir modo proactivo para que se puedan ejecutar en cualquier momento antes del aprovisionamiento y ahorre tiempo para implementar validaciones personalizadas previas a la implementación.
Al crear plantillas de recursos estándar, los equipos de la plataforma pueden ejecutar reglas de AWS Config en modo proactivo para que se pueda probar que cumplen con las normas antes de compartirlas con su organización. Al implementar un nuevo servicio o una nueva funcionalidad, los equipos de desarrollo pueden ejecutar reglas en modo proactivo como parte de su proceso de integración continua y entrega continua (CI/CD) para identificar los recursos que no cumplen.
También puede usar AWS CloudFormation Guard en sus canalizaciones de implementación para verificar el cumplimiento de manera proactiva y asegurarse de que se aplique un conjunto coherente de políticas antes y después de que se aprovisionen los recursos.
Veamos cómo funciona esto en la práctica.
Uso del cumplimiento proactivo con AWS Config
En la consola de AWS Config, elijo Normas en el panel de navegación. En la tabla de reglas, veo el nuevo Modo de evaluación habilitado columna que especifica si la regla es proactivo o detective. Establezcamos mi primera regla.
yo elijo Agregar reglay luego entro rds-storage en el Reglas administradas por AWS cuadro de búsqueda para encontrar el rds-almacenamiento-cifrado regla. Esta regla verifica si el cifrado de almacenamiento está habilitado para sus instancias de base de datos de Amazon Relational Database Service (RDS) y se puede agregar en modo de evaluación proactiva o de detección. yo elijo próximo.
En el Modo de evaluación sección, activo la evaluación proactiva. Ahora los interruptores de evaluación proactiva y de detección están habilitados.
Dejo todas las demás configuraciones a sus valores predeterminados y elijo próximo. En el siguiente paso, reviso la configuración y agrego la regla.
Ahora, puedo usar el cumplimiento proactivo a través de la API de AWS Config (incluida la interfaz de línea de comandos (CLI) de AWS y los SDK de AWS) o con CloudFormation Guard. En mi canalización de CI/CD, puedo usar la API de AWS Config para verificar el cumplimiento de un recurso antes de crearlo. Cuando implemento con AWS CloudFormation, puedo configurar un gancho de CloudFormation para verificar de manera proactiva mi configuración antes de que ocurra la implementación real.
Hagamos un ejemplo usando la CLI de AWS. Primero, llamo al StartProactiveEvaluationResponse API con la entrada del ID del recurso (solo como referencia), el tipo de recurso y su configuración mediante el esquema de CloudFormation. Para simplificar, en la configuración de la base de datos, solo uso el StorageEncrypted opción y configúrelo en true para pasar la evaluación. Utilizo un tiempo de espera de evaluación de 60 segundos, que es más que suficiente para esta regla.
{
"ResourceEvaluationId": "be2a915a-540d-4595-ac7b-e105e39b7980-1847cb6320d"
}Vuelvo a salir el ResourceEvaluationId que utilizo para verificar el estado de evaluación usando el GetResourceEvaluationSummary API. Al principio, la evaluación es IN_PROGRESS. Por lo general, se tarda unos segundos en obtener una COMPLIANT o NON_COMPLIANT resultado.
{
"ResourceEvaluationId": "be2a915a-540d-4595-ac7b-e105e39b7980-1847cb6320d",
"EvaluationMode": "PROACTIVE",
"EvaluationStatus": {
"Status": "SUCCEEDED"
},
"EvaluationStartTimestamp": "2022-11-15T19:13:46.029000+00:00",
"Compliance": "COMPLIANT",
"ResourceDetails": {
"ResourceId": "myDB",
"ResourceType": "AWS::RDS::DBInstance",
"ResourceConfiguration": "{\"StorageEncrypted\":true}"
}
}Como era de esperar, la configuración de Amazon RDS cumple con la rds-almacenamiento-cifrado regla. Si repito los pasos anteriores con StorageEncrypted ajustado a falseobtengo un resultado no conforme.
Si se habilita más de una regla para un tipo de recurso, todas las reglas aplicables se ejecutan en modo proactivo para la evaluación del recurso. Para averiguar el cumplimiento del nivel de regla individual para el recurso, puedo llamar al GetComplianceDetailsByResource API:
{
"EvaluationResults": [
{
"EvaluationResultIdentifier": {
"EvaluationResultQualifier": {
"ConfigRuleName": "rds-storage-encrypted",
"ResourceType": "AWS::RDS::DBInstance",
"ResourceId": "myDB",
"EvaluationMode": "PROACTIVE"
},
"OrderingTimestamp": "2022-11-15T19:14:42.588000+00:00",
"ResourceEvaluationId": "be2a915a-540d-4595-ac7b-e105e39b7980-1847cb6320d"
},
"ComplianceType": "COMPLIANT",
"ResultRecordedTime": "2022-11-15T19:14:55.588000+00:00",
"ConfigRuleInvokedTime": "2022-11-15T19:14:42.588000+00:00"
}
]
}Si, al mirar estos detalles, no se invoca la regla deseada, asegúrese de verificar que el modo proactivo esté activado.
Disponibilidad y precios
El cumplimiento proactivo estará disponible en todas las regiones comerciales de AWS donde se ofrece AWS Config, pero la implementación de esta nueva capacidad en todas estas regiones puede demorar algunos días. Actualizaré esta publicación cuando se complete esta implementación. Para ver qué reglas de AWS Config se pueden convertir en modo proactivo, consulte la Guía para desarrolladores.
Se le cobra en función del número de evaluaciones de reglas de AWS Config registradas. Se registra una evaluación de regla cada vez que se evalúa el cumplimiento de un recurso con respecto a una regla de AWS Config. Las evaluaciones de reglas se pueden ejecutar en modo de detección y/o en modo proactivo, si está disponible. Si está ejecutando una regla tanto en el modo de detección como en el modo proactivo, se le cobrará solo por las evaluaciones en el modo de detección. Para obtener más información, consulte Precios de AWS Config.
Con esta nueva característica, puede usar AWS Config para verificar sus reglas antes del aprovisionamiento y evitar implementar sus propias validaciones personalizadas.
— Danilo
