Warum sollte ich mich um verlorene AWS-Ressourcen kümmern?

Nun, Ressourcen kosten Geld, das ist also eine Sache.

Aber hier ist noch etwas: Was ist, wenn Sie Konten migrieren und einige alte Snapshots und Volumes vergessen? Ein Angreifer verschafft sich Zugriff auf das alte AWS-Konto. Sie mounten die alten Snapshots und Volumes auf neuen Instances, auf die sie Zugriff haben, und überprüfen die Volumes. Die Paket- und Konfigurationsdaten sind größtenteils alt und irrelevant, aber sie finden den Quellcode und in diesem Quellcode Anmeldeinformationen für den Zugriff auf das private GitHub des Unternehmens.

Und was ist mit den Instanzen, die Entwickler zum Testen einer Funktion erstellt und dann vergessen haben? Wie viele Sicherheitslücken haben sie?

‍

Okay, also wie finde ich AWS-Ressourcen, die verloren gehen oder vergessen werden könnten?

Benutzen Open Source cnquery um alle Ressourcen in Ihrem AWS-Konto in allen Regionen zu erkunden.

Öffne die Schale

AWS_PROFILE="vvdefault" cnquery shell aws

Schnappschüsse finden

aws.ec2.snapshots { id region startTime }

Bände finden

aws.ec2.volumes { arn createTime }

Finden Sie EC2-Instances ohne angehängte Tags oder mit einem bestimmten Tag‍

aws.ec2.instances.where(tags['Name'] == "k8s-operator03") { instanceId region }

Finden Sie AWS-Sicherheitsgruppen mit uneingeschränktem IPRange-Zugriff

aws.ec2.securityGroups.where(ipPermissions { ipRanges.contains("0.0.0.0/0") }) { arn }

Suchen Sie die AWS EC2-Instances, die diese Sicherheitsgruppen verwenden.

aws.ec2.instances.where(securityGroups.where(ipPermissions { ipRanges.contains("0.0.0.0/0") })) { arn }

Erkunden Sie alle Ressourcen im Rahmen des EC2-Service

aws.ec2 { * }

Referenzen

• cnquery repo
• cnquery.io
• cnquery-Dokumente