noviembre 5, 2024

Analizar entornos de servicios web de Amazon (AWS) de forma grafica.

0
Voiced by Amazon Polly
Comparte en redes sociales

CloudMapper es una herramienta para generar diagramas de red interactivos de cuentas de AWS y es de código abierto para la comunidad de desarrolladores en general. Ayuda a analizar entornos de servicios web de Amazon (AWS). El propósito original era generar diagramas de red y mostrarlos en el navegador. Actualmente contiene muchas más funcionalidades.

Usando CloudMapper, podemos responder rápidamente a una serie de preguntas como:

  • ¿Qué recursos están expuestos públicamente?
  • ¿Qué recursos pueden comunicarse internamente con cuáles otros recursos?
  • ¿Tenemos una arquitectura robusta en caso de una falla en la zona de disponibilidad?¿Cuántas regiones utiliza esta cuenta? ¿Qué tan «grande» es esta cuenta? ¿Qué tan complejo es?

CloudMapper permite: verificar la comprensión de lo que se ha construido, entender rápidamente otros entornos y presentar esa información a otros interesados.

Hay tres pasos para comenzar a utilizar CloudMapper:

  • Recopilar información sobre una cuenta de AWS a través de un script de shell que utiliza la CLI de AWS.
  • Convertir esos datos en un formato utilizable por el navegador web.
  • Ejecutar un servidor web simple para ver los datos recopilados en su navegador.

El primer paso para recopilar información solo requiere los privilegios para describir y enumerar información sobre una cuenta. Esto se puede hacer con la política de AWS SecurityAuditor. Si no se tiene acceso directo a la cuenta, alguien que si tenga, puede ejecutar esta secuencia de comandos y enviar el paquete de archivos que crea.

El segundo paso
para convertir estos archivos en caché del navegador web es donde está la mayor parte de la lógica. Aquí es donde se analizan los grupos de seguridad para determinar qué rutas de red existen, y se crean relaciones padre/hijo entre nodos como las instancias de EC2 y estructuras de nodos compuestas como: subredes, zonas de disponibilidad, VPC, regiones y cuentas.

El paso final para visualizar los datos en el navegador hace un uso intensivo de «cytoscape.js» para realizar el diseño del gráfico y permitir la interacción con los recursos. Históricamente, este problema se habría resuelto con «graphviz», pero esa solución es más adecuada para generar imágenes estáticas como salida. Cytoscape fue creado originalmente para visualizar redes de interacción molecular, pero se ha demostrado que es adecuado para visualizar una variedad de otras de redes.

Al utilizar «cytoscape.js» y presentar el diagrama al usuario en un navegador web, se puede hacer clic en los nodos para obtener más información sobre ellos, moverlos, eliminarlos y más. Esto es solo para visualizar los datos, por lo que cualquier acción que tome no afectará sus entornos reales de AWS.

Puede acercar y alejar, desplazar, guardar una imagen de alta definición o guardar y cargar el diseño después de mover los nodos. Se puede hacer clic en un nodo compuesto, como un VPC, y comprimirlo en un solo nodo para simplificar la visualización. Puede encontrar y seleccionar fácilmente vecinos, hermanos, hijos o nodos principales. Puede hacer clic en los bordes para obtener detalles sobre los grupos de seguridad que permiten que se produzca esa comunicación.

Visualizar redes grandes es un problema difícil. CloudMapper usa el diseño CoSE (Compound Spring Embedder) para Cytoscape.js que fue desarrollado por el laboratorio i-Vis en la Universidad de Bilkent, considerado uno de los mejores algoritmos para diseñar gráficos con nodos compuestos. Sin embargo, cualquier gráfico con un gran número de nodos y bordes es intrínsecamente complicado. Para manejar este problema, CloudMapper tiene una serie de opciones de filtrado que se pueden usar al preparar los datos para la visualización.

Las opciones para reducir la cantidad de datos mostrados incluyen:

  • Mostrar solo las regiones especificadas.
  • Ignore los bordes internos si solo desea ver qué recursos están expuestos públicamente.
  • Agregue instancias similares de EC2 a un solo nodo basado en un nombre de etiqueta.

Incluso con estas técnicas y el algoritmo de diseño avanzado, se suele pasar un tiempo reorganizando los nodos.

Más información y descarga de CloudMapper
https://github.com/duo-labs/cloudmapper

Auditoria de seguridad y Hardening de AWS:
https://www.gurudelainformatica.es/2018/05/auditoria-de-seguridad-y-hardening-de.html

Deja un comentario