Mencari dan Mengesahkan Kumpulan Keselamatan yang Tidak Digunakan dalam AWS dengan Python dan Boto3

Mengurus kumpulan keselamatan AWS secara berkesan adalah penting untuk mengekalkan persekitaran awan yang selamat dan menjimatkan kos. Kumpulan keselamatan adalah bahagian penting dalam keselamatan rangkaian dalam AWS, tetapi dari masa ke masa, kumpulan keselamatan yang tidak digunakan boleh terkumpul. Kumpulan yang tidak digunakan ini bukan sahaja mengacaukan persekitaran anda tetapi juga boleh menimbulkan risiko keselamatan atau meningkatkan kos secara tidak perlu.

Dalam artikel ini, kami akan meneroka cara menggunakan Python dan Boto3 untuk mengenal pasti kumpulan keselamatan yang tidak digunakan dalam persekitaran AWS anda, mengesahkannya dan memastikan mereka tidak dirujuk oleh mana-mana sumber lain. Kami juga akan melihat cara untuk menentukan dengan selamat sama ada kumpulan ini boleh dipadamkan.

Prasyarat

Untuk mengikuti tutorial ini, anda memerlukan yang berikut:

Akaun AWS: Pastikan anda mempunyai akses kepada persekitaran AWS tempat anda ingin mencari kumpulan keselamatan yang tidak digunakan.
Boto3 Dipasang: Anda boleh memasang Boto3 Python SDK dengan menjalankan:

   pip install boto3

Kredential AWS Dikonfigurasikan: Pastikan anda mempunyai kelayakan AWS yang dikonfigurasikan sama ada menggunakan AWS CLI atau terus dalam kod anda menggunakan peranan IAM atau pembolehubah persekitaran.

Pecahan Kod

Mari kita lihat kod yang mengenal pasti kumpulan keselamatan yang tidak digunakan di rantau AWS tertentu, mengesahkannya dan menyemak sama ada ia dirujuk oleh mana-mana kumpulan lain.

Langkah 1: Dapatkan Semua Kumpulan Keselamatan dan ENI

   pip install boto3

• Mengambil semula Kumpulan Keselamatan: Kami mula-mula memanggil kaedah describe_security_groups untuk mendapatkan semua kumpulan keselamatan di rantau yang ditentukan.
• Mendapatkan semula Antara Muka Rangkaian: Seterusnya, kami mendapatkan semula semua antara muka rangkaian menggunakan describe_network_interfaces. Setiap antara muka rangkaian boleh mempunyai satu atau lebih kumpulan keselamatan yang dikaitkan dengannya.
• Mengenal pasti Kumpulan Keselamatan Terpakai: Untuk setiap antara muka rangkaian, kami menambah ID kumpulan keselamatan yang berkaitan pada set yang dipanggil used_sg_ids.
• Mencari Kumpulan Tidak Digunakan: Kami kemudian membandingkan ID kumpulan keselamatan dengan yang sedang digunakan. Jika kumpulan tidak digunakan (iaitu, IDnya tiada dalam set used_sg_ids), kami menganggapnya tidak digunakan, kecuali kumpulan keselamatan lalai, yang tidak boleh dipadamkan.

Langkah 2: Semak Rujukan Kumpulan Keselamatan

import boto3
from botocore.exceptions import ClientError

def get_unused_security_groups(region='us-east-1'):
    """
    Find security groups that are not being used by any resources.
    """
    ec2_client = boto3.client('ec2', region_name=region)

    try:
        # Get all security groups
        security_groups = ec2_client.describe_security_groups()['SecurityGroups']

        # Get all network interfaces
        enis = ec2_client.describe_network_interfaces()['NetworkInterfaces']

        # Create set of security groups in use
        used_sg_ids = set()

        # Check security groups attached to ENIs
        for eni in enis:
            for group in eni['Groups']:
                used_sg_ids.add(group['GroupId'])

        # Find unused security groups
        unused_groups = []
        for sg in security_groups:
            if sg['GroupId'] not in used_sg_ids:
                # Skip default security groups as they cannot be deleted
                if sg['GroupName'] != 'default':
                    unused_groups.append({
                        'GroupId': sg['GroupId'],
                        'GroupName': sg['GroupName'],
                        'Description': sg['Description'],
                        'VpcId': sg.get('VpcId', 'EC2-Classic')
                    })

        # Print results
        if unused_groups:
            print(f"\nFound {len(unused_groups)} unused security groups in {region}:")
            print("-" * 80)
            for group in unused_groups:
                print(f"Security Group ID: {group['GroupId']}")
                print(f"Name: {group['GroupName']}")
                print(f"Description: {group['Description']}")
                print(f"VPC ID: {group['VpcId']}")
                print("-" * 80)
        else:
            print(f"\nNo unused security groups found in {region}")

        return unused_groups

    except ClientError as e:
        print(f"Error retrieving security groups: {str(e)}")
        return None

• Menyemak Rujukan: Fungsi ini menyemak sama ada kumpulan keselamatan tertentu dirujuk oleh mana-mana kumpulan keselamatan lain. Ia berbuat demikian dengan menapis kumpulan keselamatan berdasarkan peraturan masuk (ip-permission.group-id) dan keluar (egress.ip-permission.group-id).
• Kumpulan Rujukan Kembali: Jika kumpulan dirujuk, fungsi itu mengembalikan senarai kumpulan keselamatan yang merujuk. Jika tidak, ia tidak mengembalikan Tiada.

Langkah 3: Sahkan Kumpulan Keselamatan yang Tidak Digunakan

def check_sg_references(ec2_client, group_id):
    """
    Check if a security group is referenced in other security groups' rules
    """
    try:
        # Check if the security group is referenced in other groups
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups = response['SecurityGroups']

        # Check for egress rules
        response = ec2_client.describe_security_groups(
            Filters=[
                {
                    'Name': 'egress.ip-permission.group-id',
                    'Values': [group_id]
                }
            ]
        )

        referencing_groups.extend(response['SecurityGroups'])

        return referencing_groups

    except ClientError as e:
        print(f"Error checking security group references: {str(e)}")
        return None

• Mengesahkan Kumpulan Keselamatan Yang Tidak Digunakan: Dalam langkah terakhir ini, skrip mula-mula mendapatkan semula kumpulan keselamatan yang tidak digunakan. Kemudian, bagi setiap kumpulan yang tidak digunakan, ia menyemak sama ada kumpulan keselamatan lain merujuknya dalam peraturan mereka.
• Output: Skrip mengeluarkan sama ada kumpulan itu dirujuk atau tidak, dan jika tidak, ia boleh dipadamkan dengan selamat.

Menjalankan Skrip

Untuk menjalankan skrip, hanya laksanakan fungsi validate_unused_groups. Contohnya, dengan rantau ditetapkan kepada us-east-1, skrip akan:

1. Dapatkan semula semua kumpulan keselamatan dan antara muka rangkaian dalam us-east-1.
2. Kenal pasti kumpulan keselamatan yang tidak digunakan.
3. Sahkan dan laporkan jika kumpulan yang tidak digunakan itu dirujuk oleh kumpulan keselamatan lain.

Contoh Output

def validate_unused_groups(region='us-east-1'):
    """
    Validate and provide detailed information about unused security groups
    """
    ec2_client = boto3.client('ec2', region_name=region)
    unused_groups = get_unused_security_groups(region)

    if not unused_groups:
        return

    print("\nValidating security group references...")
    print("-" * 80)

    for group in unused_groups:
        group_id = group['GroupId']
        referencing_groups = check_sg_references(ec2_client, group_id)

        if referencing_groups:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is referenced by:")
            for ref_group in referencing_groups:
                print(f"- {ref_group['GroupId']} ({ref_group['GroupName']})")
        else:
            print(f"\nSecurity Group {group_id} ({group['GroupName']}) is not referenced by any other groups")
            print("This security group can be safely deleted if not needed")

Kesimpulan

Dengan skrip ini, anda boleh mengautomasikan proses mencari kumpulan keselamatan yang tidak digunakan dalam AWS dan memastikan anda tidak menyimpan sumber yang tidak diperlukan. Ini boleh membantu mengurangkan kekacauan, meningkatkan postur keselamatan dan berpotensi menurunkan kos dengan mengalih keluar sumber yang tidak digunakan.

Anda boleh melanjutkan skrip ini kepada:

• Kendalikan penapisan tambahan berdasarkan teg, VPC atau kriteria lain.
• Laksanakan pelaporan atau makluman yang lebih lanjut apabila kumpulan yang tidak digunakan dikesan.
• Sepadukan dengan AWS Lambda untuk semakan automatik berjadual.

Pastikan persekitaran AWS anda selamat dan teratur!

Atas ialah kandungan terperinci Mencari dan Mengesahkan Kumpulan Keselamatan yang Tidak Digunakan dalam AWS dengan Python dan Boto3. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!