AWS Germany – Amazon Web Services in Deutschland

AWS CloudTrail – Aufzeichnung von AWS API Aktivitäten

Mit dem neuen AWS CloudTrail Dienst können Sie die AWS API Aufrufe von einem oder mehreren AWS Accounts überwachen und aufzeichnen, gleich ob diese Aufrufe aus der AWS Management Console, dem AWS Command Line Interface (CLI), eigenen Anwendungen oder Anwendungen von Drittanbietern stammen.

CloudTrail loggt alle API Aufrufe im JSON Format mit und schreibt sie in ein S3 Bucket Ihrer Wahl. Über Amazon SNS können Sie informiert werden, wenn eine Datei geschrieben wurde. Es ist möglich, die Aktivitäten von mehreren AWS Konten in ein S3 Bucket zu loggen.

Typische Anwendungsfälle für die Verwendung von CloudTrail Logs sind:

  • Compliance Überwachung: Sie können mit Hilfe der Logfiles nachweisen, dass alle Zugriffe auf Ihre AWS Ressourcen Ihren Compliance-Regelungen entsprechen
  • Resource Life Cycle Tracking –Sie können den Lebenszyklus von AWS Ressourcen von Erstellung bis Löschung überwachen
  • Troubleshooting im Betrieb – Sie können bei Problemen die letzten Änderungen an einer AWS Ressource nachvollziehen und so die Ursache von Problemen finden
  • Sicherheitsanalysen– Sie können überprüfen, welche Benutzeraktionen erfolgreich waren und welche mangels Berechtigungen fehlgeschlagen sind.

CloudTrail loggt derzeit die API Aufrufe der folgenden AWS Dienste:

Weitere Dienste werden folgen. Sie können uns hier mitteilen, welche Dienste für Sie besonders wichtig sind.

CloudTrail selbst ist kostenlos, nur der Speicherplatz für S3 und die Benachrichtigungen in SNS werden zu den üblichen Preisen abgerechnet.

Verfügbarkeit
Derzeit ist CloudTrail in den AWS Regionen US East (Northern Virginia) und US West (Oregon) verfügbar. Wir werden weitere Regionen so schnell wie möglich unterstützen

CloudTrail Architektur
In dieser Grafik ist die CloudTrail Architektur zusammengefasst:

Aktivierung und Konfiguration von CloudTrail
Sie können CloudTrail direkt aus der AWS Management Konsole aktivieren:

Als nächstes geben Sie entweder ein bestehendes S3 Bucket als Ziel an oder Sie erstellen ein neues. Wenn Sie ein neues Bucket verwenden wird eine geeignete Zugriffs-Policy gesetzt, bei einem bestehenden Bucket müssen Sie selbst den Zugriff nach Bedarf einschränken:

Verwendung von CloudTrail
Nachdem Sie CloudTrail aktiviert haben werden neue Logeinträge typischerweise innerhalb von 15 Minuten nach dem zu loggenden Ereignis nach S3 geschrieben. Die Logfiles sind mit Hilfe der S3 Server Side Encryption verschlüsselt und verbleiben im Bucket, bis Sie die Dateien löschen oder z.B. nach Amazon Glacier archivieren. Zum zusätzlichen Schutz gegen Löschung können Sie MFA Delete für den Bucket aktivieren.

Die Logfiles werden nach AWS Account Id, Region, Dienstnamen, Daum und Zeit organisiert gespeichert:

Innerhalb der Logfiles werden die einzelnen Ereignisse als JSON-Objekte gespeichert. Hier ist als Beispiel ein einzelner Stop Instance Aufruf aus der AWS Management Konsole:

 {
    "awsRegion": "us-east-1",
    "eventName": "StopInstances",
    "eventSource": "ec2.amazonaws.com",
    "eventTime": "2013-10-22T07:22:13Z",
    "requestParameters": {
        "force": false,
        "instancesSet": {
            "items": [
              {
                  "instanceId": "i-14678924"
              }
            ]
        }
    },
    "responseElements": {
        "instancesSet": {
            "items": [
              {
                  "currentState": {
                      "code": 64,
                      "name": "stopping"
                  },
                  "instanceId": "i-14678937",
                  "previousState": {
                      "code": 16,
                      "name": "running"
                  }
              }
            ]
        }
    },
    "sourceIPAddress": "1.2.3.4",
    "userAgent": "AWS Console",
    "userIdentity": {
        "accessKeyId": "ASxxxxxxxxxxxxxxxxxx",
        "accountId": "123456789012",
        "arn": "arn:aws:iam::123456789012:user/skrause",
        "principalId": "AIxxxxxxxxxxxxxxxxxxx",
        "sessionContext": {
            "attributes": {
                "creationDate": "Thu Sep 30 12:20:12 PDT 2013",
                "mfaAuthenticated": "false"
            }
        },
        "type": "IAMUser",
        "userName": "jdoe"
    }
}

CloudTrail Partner

Bereits zum Start gibt es eine breite Partnerunterstützung. Dadurch stehen unseren Kunden verschiedene Lösungen für grafische Auswertungen Ihrer CloudTrail Logs zur Verfügung. Hier sehen Sie die Screenshots von einigen dieser Tools. Mehr Informationen gibt es auf der CloudTrail Partnerseite.

2nd Watch

Alert Logic

Boundary

Cognizant

Datapipe

Foghorn Consulting

Loggly

Stackdriver

Splunk

Sumo Logic

Gruß,
Steffen