Infrastruktur in Amazon Web Services Konfigurationsanalyse von AWS-Ressourcen

„Wir würden gerne die Konfiguration unserer AWS Ressourcen aufzeichnen und überprüfen. Welche Empfehlungen und Services existieren für das Anlegen einer Konfigurationshistorie?“

Anbieter zum Thema

Vogel IT-Akademie

Windhoff Group

Amazon Web Services Germany GmbH

Die Konfiguration von AWS-Infrastruktur lässt sich sehr einfach mit Hilfe von AWS Config analysieren, prüfen und beurteilen. Dieser Service überwacht dabei kontinuierlich die Konfiguration von AWS-Ressourcen und speichert diese.

Ein weiterer wichtiger Aspekt besteht darin, dass AWS Config es erlaubt, die Evaluierung der gespeicherten Konfigurationen zu automatisieren. So ist es möglich, Konfigurationsänderungen bzw. Drifts schnell zu erkennen, die Historie der Konfigurationen beurteilen zu können und die Compliance des Gesamtsystems auf Basis interner Richtlinien zu ermitteln. Wenn erkannt wurde, dass sich der Zustand einer Konfiguration geändert hat, kann über Amazon Simple Notification Service (SNS) eine Benachrichtigung versendet werden.

AWS Config unterstützt darüber hinaus auch die Datenaggregation von mehreren AWS-Accounts in unterschiedlichen Regionen. Somit kann sehr einfach eine Compliance-Prüfung auf Ebene des Gesamtunternehmens für AWS-Ressourcen durchgeführt werden.

Integration in andere AWS-Dienste

Andere Amazon Web Services wie beispielsweise CloudTrail und Systems Manager erlauben eine Integration mit AWS Config. CloudTrail bietet die Möglichkeit, Konfigurationsänderungen mit bestimmten Ereignissen im AWS-Account zu korrelieren. Für die weitere Analyse der Konfigurationsänderung können AWS-CloudTrail-Logdateien verwendet werden, um weitere Informationen wie den Zeitpunkt, die IP-Adresse und den Urheber einer Änderung zu erhalten.

Ein zusätzlicher interessanter Aspekt ist die Integration in AWS Systems Manager, was es erlaubt, Konfigurationsänderungen der Software auf EC2-Instanzen zu sichern. Dies ermöglicht ein höheres Maß an Visibilität in der Betriebssystem-Konfiguration. Besonders interessant ist die aufgezeichnete Historie der Konfigurationsänderungen, die beispielsweise mit Performance-Anomalien korreliert werden kann.

Dynamische Prüfung der Compliance

In einem hochdynamischen Umfeld kann es hin und wieder schwierig sein, die internen Compliance-Richtlinien einzuhalten, ohne dass eine große Menge Bürokratie notwendig ist. AWS Config bietet ein sehr flexibles und mächtiges Regelsystem, das es erlaubt, Regeln von Amazon Web Services, AWS-Partnern und selbst implementierte Regeln zu integrieren.

Das GitHub-Repository von AWS Labs enthält Beispiele, wie typische AWS Config Rule-Implementierungen aufgebaut werden können. Um eine eigene Konfigurationsregel zu erzeugen, muss eine AWS-Lambda-Funktion implementiert werden. Die Lambda-Funktion wird vom Config-Service aufgerufen, evaluiert die übergebenen Konfigurationsdaten und gibt einen entsprechenden Wert zurück.

Sascha Möllering

In der AWS Lambda-Konsole befinden sich zwei Vorlagen („blueprints“), die für die Entwicklung eigener Regeln genutzt werden können:

• config-rule-change-triggered: wird aufgerufen bei einer Änderung der Konfiguration

• config-rule-periodic: wird zyklisch aufgerufen, die Frequenz ist frei wählbar (beispielsweise alle 24 Stunden)

In diesen Vorlagen muss lediglich eigene Logik zur Prüfung implementiert werden, der für die Funktionalität notwendige Boilerplate-Code ist bereits implementiert.

* Sascha Möllering arbeitet als Solutions Architect bei der Amazon Web Services Germany GmbH.

(ID:45255827)