IDS en cuentas de AWS separadas

Navega tus respuestas
1

Tengo dos cuentas de AWS separadas y me gustaría usar un escáner / IDS Vuln en una para escanear otra.

Un entorno es una cuenta regular de AWS y el otro está en AWS Gov Cloud. Debido a las limitaciones dentro de Gov Cloud, solo pude instalar mi IDS en la cuenta regular de AWS. Me gustaría escanear mis máquinas dentro de la nube Gov desde la cuenta regular.

¿Cuál es la mejor manera de hacer esto?

Estaba pensando en adjuntar direcciones IP públicas a mis instancias de Gov Cloud y crear un SG para permitir solo el acceso a mi IDS. ¿Cuál es la mejor práctica aquí? ¿Es esta una solución aceptable?

Nota: me doy cuenta de que la instalación de IDS en Gov Cloud es ideal, pero la licencia de IDS ya está adquirida y la AMI solo se puede compartir con una cuenta regular.

    
pregunta 에이바 31.10.2014 - 16:18
fuente

2 respuestas

2

Primero intentaría contactar al proveedor y explicarles lo que ocurrió para que vuelvan a hacer su licencia para permitirle mover su escáner a donde debería estar. La mayoría, si no todos, harían esto.

En segundo lugar, no quiero malinterpretar las cosas aquí, pero cuando dice "debido a las limitaciones en la nube de gobierno", estoy interpretando que esto significa que no tiene los permisos adecuados. Voy a errar por el lado de la precaución con esta declaración: asegúrese de tener plena autoridad, derechos y permisos para instalar algo en esta instancia, de lo contrario, es probable que esté infringiendo las leyes. No veo ninguna razón para que usted no tenga permisos si es parte de su rol.

Ahora en la pregunta / porción de IDS. La mayoría de las partes de IDS se basan en la información de registro (registros de eventos, syslogs, etc.) para generar "eventos". Estos eventos se activan (se envía una alerta, se activan alarmas, etc.). Su objetivo parece ser obtener estos datos del punto A al punto B. Lo óptimo sería crear algún tipo de sesión de comunicación cifrada para transportar datos desde y hacia cada máquina. Para hacer esto, usaría una sesión / túnel VPN en lugar de poner una dirección pública en una máquina que probablemente no debería tener una dirección pública.

La desventaja de poner una dirección pública es que convierte a su máquina en un objetivo. Al hacerlo (configurar una dirección pública), entonces necesitaría crear dos reglas de firewall en cada ubicación para minimizar la conectividad de ubicaciones no autorizadas. Esto crea más trabajo, más configuración, más espacio para el error.

Si CANOT hace que el proveedor se ocupe de cambiar la licencia de vulnerabilidad / IDS, yo haría lo siguiente: 

IDS SYSTEM —> VPN TUNNEL —> GOV MACHINE

Esto cifra los datos ay desde, y dependiendo de cómo configure su conexión (sitio a sitio, roaming) le permitirá evitar la creación de reglas de firewall en ambos extremos. Determine qué es lo que el IDS está buscando (syslog, registros de eventos, etc.) y configure el cliente para enviarlos al servidor de IDS de manera segura (a través de VPN). No es tan complicado.

    
respondido por el munkeyoto 04.11.2014 - 17:02
fuente
0

Parece más una pregunta que debería hacerle al personal de soporte de AWS, ya que cualquier posible solución estará más limitada por las restricciones de contrato de su plan que por restricciones técnicas.

    
respondido por el DarkLighting 31.10.2014 - 19:40
fuente

Lea otras preguntas en las etiquetas

Tráfico TCP extraño en Mac OS X desde 'rdmd' ¿El malware común compromete las particiones de recuperación?