AWS Config
持续记录和评估 AWS 资源配置变更的服务,基于合规规则实现自动审计和配置历史追踪
概述
AWS Config 是一项持续记录 AWS 资源配置并根据定义的规则自动评估配置合规性的服务。追踪 EC2 实例、安全组、S3 存储桶、IAM 策略等 300 多种资源类型的配置变更。使用 AWS 提供的托管规则(350 多条)和通过 Lambda 实现的自定义规则,自动评估组织安全策略和合规要求的遵从情况。
配置记录与变更历史
启用 Config 后,每次目标资源的配置变更都会记录一条 Configuration Item(CI)。CI 包含资源类型、ID、配置内容、关联资源和变更时间。通过此历史记录,可即时回答安全组规则何时由谁修改、S3 存储桶加密设置何时启用等问题。Config 的高级查询功能可使用类 SQL 语法横向搜索资源的当前配置。例如可即时获取未启用加密的 S3 存储桶列表、允许公共访问的安全组列表等。配置历史交付到 S3 存储桶,可进行长期保存和 Athena 分析。
合规规则与自动修复
Config 规则自动评估资源配置是否符合定义的条件。托管规则示例包括 s3-bucket-server-side-encryption-enabled、ec2-instance-no-public-ip、iam-password-policy 等。检测到不合规资源时,可设置自动修复操作(Remediation Action)。修复操作定义为 Systems Manager Automation 运行手册,自动将不合规资源修正为合规状态。例如检测到未启用加密的 S3 存储桶时,可自动执行启用加密的修复操作。Azure 对应服务为 Azure Policy,同样可评估资源配置合规性并执行自动修复。
实际应用模式
Config 作为安全审计和合规证据的基础使用。PCI DSS、HIPAA、SOC 2 等法规要求追踪资源配置变更并持续遵从安全策略。Config 的合规包(Conformance Pack)是将特定法规框架对应的规则集打包的模板。与 Organizations 集成后,可对组织内所有账户应用统一的 Config 规则,并在聚合视图中一元管理合规状况。Config 的费用基于记录的 Configuration Item 数量,资源较多的环境成本会增加,建议将记录对象限制在必要范围内。相关书籍(Amazon)可帮助系统性学习。