Infrastruktur in Amazon Web Services

Konfigurationsanalyse von AWS-Ressourcen

| Autor / Redakteur: Sascha Möllering * / Stephan Augsten

Der Config-Dienst überwacht kontinuierlich die Konfigurationen von AWS-Ressourcen und zeichnet diese auf.
Der Config-Dienst überwacht kontinuierlich die Konfigurationen von AWS-Ressourcen und zeichnet diese auf. (Bild: AWS Germany GmbH)

„Wir würden gerne die Konfiguration unserer AWS Ressourcen aufzeichnen und überprüfen. Welche Empfehlungen und Services existieren für das Anlegen einer Konfigurationshistorie?“

Die Konfiguration von AWS-Infrastruktur lässt sich sehr einfach mit Hilfe von AWS Config analysieren, prüfen und beurteilen. Dieser Service überwacht dabei kontinuierlich die Konfiguration von AWS-Ressourcen und speichert diese.

Ein weiterer wichtiger Aspekt besteht darin, dass AWS Config es erlaubt, die Evaluierung der gespeicherten Konfigurationen zu automatisieren. So ist es möglich, Konfigurationsänderungen bzw. Drifts schnell zu erkennen, die Historie der Konfigurationen beurteilen zu können und die Compliance des Gesamtsystems auf Basis interner Richtlinien zu ermitteln. Wenn erkannt wurde, dass sich der Zustand einer Konfiguration geändert hat, kann über Amazon Simple Notification Service (SNS) eine Benachrichtigung versendet werden.

AWS Config unterstützt darüber hinaus auch die Datenaggregation von mehreren AWS-Accounts in unterschiedlichen Regionen. Somit kann sehr einfach eine Compliance-Prüfung auf Ebene des Gesamtunternehmens für AWS-Ressourcen durchgeführt werden.

Integration in andere AWS-Dienste

Andere Amazon Web Services wie beispielsweise CloudTrail und Systems Manager erlauben eine Integration mit AWS Config. CloudTrail bietet die Möglichkeit, Konfigurationsänderungen mit bestimmten Ereignissen im AWS-Account zu korrelieren. Für die weitere Analyse der Konfigurationsänderung können AWS-CloudTrail-Logdateien verwendet werden, um weitere Informationen wie den Zeitpunkt, die IP-Adresse und den Urheber einer Änderung zu erhalten.

Ein zusätzlicher interessanter Aspekt ist die Integration in AWS Systems Manager, was es erlaubt, Konfigurationsänderungen der Software auf EC2-Instanzen zu sichern. Dies ermöglicht ein höheres Maß an Visibilität in der Betriebssystem-Konfiguration. Besonders interessant ist die aufgezeichnete Historie der Konfigurationsänderungen, die beispielsweise mit Performance-Anomalien korreliert werden kann.

Dynamische Prüfung der Compliance

In einem hochdynamischen Umfeld kann es hin und wieder schwierig sein, die internen Compliance-Richtlinien einzuhalten, ohne dass eine große Menge Bürokratie notwendig ist. AWS Config bietet ein sehr flexibles und mächtiges Regelsystem, das es erlaubt, Regeln von Amazon Web Services, AWS-Partnern und selbst implementierte Regeln zu integrieren.

Das GitHub-Repository von AWS Labs enthält Beispiele, wie typische AWS Config Rule-Implementierungen aufgebaut werden können. Um eine eigene Konfigurationsregel zu erzeugen, muss eine AWS-Lambda-Funktion implementiert werden. Die Lambda-Funktion wird vom Config-Service aufgerufen, evaluiert die übergebenen Konfigurationsdaten und gibt einen entsprechenden Wert zurück.

Sascha Möllering
Sascha Möllering (Bild: AWS Germany GmbH)

In der AWS Lambda-Konsole befinden sich zwei Vorlagen („blueprints“), die für die Entwicklung eigener Regeln genutzt werden können:

  • config-rule-change-triggered: wird aufgerufen bei einer Änderung der Konfiguration
  • config-rule-periodic: wird zyklisch aufgerufen, die Frequenz ist frei wählbar (beispielsweise alle 24 Stunden)

In diesen Vorlagen muss lediglich eigene Logik zur Prüfung implementiert werden, der für die Funktionalität notwendige Boilerplate-Code ist bereits implementiert.

* Sascha Möllering arbeitet als Solutions Architect bei der Amazon Web Services Germany GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45291463 / Technologien)