Wie liste ich meine Assets in der Cloud auf?

cloud enumeration digital-assets asset-management
cloud asset-management
English

Warum?

  • Security-Audits
  • Penetrationstests (bedingt)
  • Budget-Verwaltung
  • Asset-Management
Azure Resource Graph-Explorer
Azure Resource Graph-Explorer

Cloud und Übersicht

Ein Unternehmen kann als Kunde eines Cloudanbieters oder gar mehrerer Anbieter schnell die Übersicht verlieren, was genau dort so passiert und was eigentlich für Ressourcen dort angelegt wurden im Laufe der Zeit. Um die Übersicht nicht zu verlieren, sollten diese Informationen stets frisch gehalten werden. Zur Not reicht auch ein regelmäßiges Auflisten, falls das nicht schon Teil einer Automation mit Dashboard ist. Ein Dashboard zeigt große komplexe Prozesse und Zustände in übersichtlicher Weise an.

Ressourcen

Die Cloudanbieter bezeichnen all das, was ein Unternehmen in der Cloud irgendwann einmal aktiviert und nicht mehr gelöscht hat, als Ressource (auf englisch resource). Das sind anders gesagt “Fleisch gewordene” Dienste, wie zum Beispiel virtuelle Rechner, Speicherkonten und vieles andere.

Typische Beispiele

Selbst kleinere Unternehmen können da schnell mehrere Hundert Ressourcen in vielleicht mehreren Clouds haben, wobei viele auch nur inaktiv sind und keine Kosten verursachen. Im Übrigen empfehle ich immer eine Einrichtung eines festen Budgets mit einer weichen Grenze (E-Mail mit Warnung) und einer harten Obergrenze (Stopp), um bei einer Fehlkonfiguration oder ähnlich eine Kostenexplosion zu verhindern!

AWS (Amazon)
  • CloudFront (Content Delivery Network)
  • CloudWatch (Betriebsüberwachung)
  • Cognito (Authentifizierung, Autorisierung und Benutzerverwaltung)
  • DynamoDB (NoSQL-Datenbank)
  • EC2 (virtuelle Rechner/Server)
  • Elastic Container (Container, Kubernetes)
  • IAM (Identitäts- und Zugriffsmanagement)
  • RDS (relationale Datenbank)
  • S3 (Cloudspeicher)
  • SNS (Pub/Sub-Messaging, SMS, E-Mail und mobile Push-Benachrichtigungen)
Azure (Microsoft)
  • Speicherkonten
  • CDN-Profile
  • Endpunkte
  • Virtuelle Machinen
  • Notifcation Hubs
  • Logik-Apps
  • Virtuelle Netzwerke
  • API-Verbindung
  • Azure Active Directory
  • Cosmos DB
  • Kubernetes-Dienste

Ressourcen auflisten

Cloudanbieter haben viele Möglichkeiten, in ihrer Cloud zu navigieren, daher werde ich nur ein Beispiele nennen, die ich für sinnvoll halte bzw. von denen ich glaube, dass sie sich mit den meisten Umgebungen realisieren lassen.

Um folgendes tun zu können, werden entsprechende Rechte vorausgesetzt.

Azure

Vom Dashboard

Die vermutlich einfachste Möglichkeit ist im Azure-Dashboard auf “Allgemein” und dann auf “alle Ressourcen” zu klicken (Link).

Vorteile:

  • Die einzelne Ressource lässt sich einzeln anwählen.
  • Sie können es als CSV herunterladen.

Azure Resource Graph-Explorer

Hin kommt man über “alle Dienste”, dann “Ressourcen”. Dort lässt sich dann eine Abfrage öffnen.

Die einfachste Abfrage wäre tatsächlich, nur einfach alle Ressourcen anzuzeigen: Azure Resources

Ein weiteres Abfragebeispiel wäre, die Ressourcen nach Namen zu sortieren:

Resources
| project name, type, location
| order by name asc

Vorteile:

  • CSV-Export
  • Formatierte Ausgabe
  • Kontrolle über die Spalten
  • Verknüpfung mit anderen Abfragen
  • Ausgabe als Diagramme/Karten

Azure Cloudshell

Die PowerShell-Cloudshell hat das AZ-Modul, das eine Menge an cmdlets zur Verfügung stellt für die Azure-Cloud, bereits geladen.

Das einfachste (formatierte) Beispiel wäre dann:

Get-AzResource | ft

Beispielausgabe:

Name    ResourceGroupName  ResourceType                            Location
----    -----------------  ------------                            --------
testVM  testRG             Microsoft.Compute/virtualMachines       westus
disk    testRG             Microsoft.Compute/disks                 westus
nic     testRG             Microsoft.Network/networkInterfaces     westus
nsg     testRG             Microsoft.Network/networkSecurityGroups westus
ip      testRG             Microsoft.Network/publicIPAddresses     westus
vnet    testRG             Microsoft.Network/virtualNetworks       westus
testKV  otherRG            Microsoft.KeyVault/vaults               eastus
storage otherResourceGroup Microsoft.Storage/storageAccounts       eastus
testVM2 otherResourceGroup Microsoft.Compute/virtualMachines       eastus

Mehr Informationen: https://docs.microsoft.com/en-us/powershell/module/az.resources/get-azresource

Vorteile:

  • Integration in eine PowerShell-Umgebung.

AWS

Der Tag-Editor eignet sich meiner Meinung nach sehr gut dafür, eine Übersicht über alle Ressourcen zu erhalten.

Dazu am Besten “All Regions” und “All Supported Resource Types” auswählen und auf “Ressourcen suchen” klicken.

Das dauert ein wenig und vielleicht werden Hinweise vom FraudDetector angezeigt (diesmal ignorieren), aber danach lassen sich die einzelnen Ressourcen sogar einzeln anwählen. Die Liste ist exportierbar.

Vorteile:

  • CSV-Export