AWS Inspector 和AWS Config – 逐步提高安全性

AWS Inspector 是一款功能強大且複雜的工具，可用於監控AWS 資源的安全風險– 但即使是微小的步驟也能帶來巨大的變化。將其與AWS Config 結合使用，可實現更高的合規性和可持續性。本文將提供一些關於如何使用AWS Inspector 和AWS Config 來確保AWS 中的資源更加安全、合規的啟發。

在處理客戶專案時，出現了保護客戶環境中的堡壘主機這個主題。最安全的堡壘主機是不存在的，但如果使用會話管理器不是一種選擇，並且您無法在沒有堡壘主機的情況下應對，那麼應該採取一些安全措施。最明顯的做法是使用強化映像來提供更多安全性，並透過僅允許真正需要的連接埠進入來加強堡壘主機所附加的安全性群組。

但是，運行了很長時間的實例可能會發生變化，或者剛剛發現新安全漏洞。如果許多人都在使用它，則最有可能在安全群組和/或實例本身上開啟受限制的IP/連接埠– 有時人們會忘記撤銷此類變更。

AWS Config

對於後者，AWS Config使您能夠評估、審計和評估AWS 資源的配置。在此處描述的案例中，安全群組控制對範例堡壘主機的存取。完成AWS Config 檢查後，任何違反規則的變更都會轉送到SNS 主題。這提供了對所做的更改做出快速反應的機會。 AWS Config 定價是基於記錄的項目數量（0.003 美元）和規則評估數量（0.001 美元）。

AWS 檢查器

另一個評估角度是針對EC2 實例本身的AWS Inspector。 AWS Inspector 直接在EC2 執行個體上執行安全性檢查，並提高部署的應用程式的安全性和合規性。

配備AWS Inspector 代理程式的實例確實提供了各種系統特定檢查，可在系統上進行評估。但即使系統上沒有可用的代理，AWS Inspector 也可以從外部檢查實例的可及性，例如，當堡壘主機僅涉及網路部分時，這足以進行檢查。結合自動運行評估計劃和通知概念，這可以是一種簡單但強大的安全風險警報。

需要注意的一些AWS Inspector 特性：

1. AWS Inspector 評估是從單獨的AWS 託管帳戶運行的。使用terraform 或CloudFormation 為每個區域單獨編寫Inspector 評估程式碼時請記住這一點。必須按照此處列出的規則處理。
2. AWS Inspector 無法觸發Cloudwatch 事件規則。 Inspector 對事件做出反應的唯一方法是使用SNS（由Inspector 支援）作為通知目標，並（例如）透過呼叫lambda 函數對「運行完成」事件做出反應，以進一步處理結果並將報告轉發給電子郵件收件人或將其保存在S3 存儲桶中以供下載。AWS Inspector 支援4 種可以在評估模板中定義的事件類型：“運行已開始」、「運行狀態已更改」、「發現已報告”和“運行已完成」。
3. 可以透過點擊「下載報告」從AWS 管理主控台擷取所有掃描結果- 此主控台根據您選擇的詳細程度產生PDF 並提供下載連結。此類連結是暫時的，因此僅透過電子郵件將連結傳送到某個警報目標（例如，僅允許收件人在報告可用時下載報告）。這些操作。發送的事件中獲取所有詳細資訊：
4. 使用事件中的Inspector 運行ID → 描述評估運行
5. 從運行詳細資訊中取得assessment_template_arn
6. 完整屬性列表
7. 如果您使用基礎架構即程式碼，那麼在使用AWS 管理主控台時，您很可能會遇到許多未宣告的魔法。請確保授予正確的資源存取權限，例如，接收Inspector 事件的SNS 主題需要允許來自「inspector.amazonaws.com」的主體類型「Service」。這些可能是在嘗試將控制台編輯的評估重現為程式碼時錯過的事情。

當然，如果您只是想要收到可以從控制台手動檢索新報告的通知，則無需使用lambda 進行過濾和報告生成。只需提供SNS 主題的所需訂閱即可。唯一需要的事件類型是「運行完成」事件類型；報告每個事件將導致大量通知。對於描述的兩種情況（有和沒有lambda 進行過濾和報告生成），這都是唯一有趣的情況。

AWS Inspector 的定價取決於評估運行次數和細節。適合本文場景的一次網路可及性檢查費用為0.15 美元，如果每天運行一次，則每月總計4.5 美元。

結論：

不能阻止可能影響安全性的變化，但如果發生變化，它會提醒您，以便您可以做出反應。

上述兩種服務都可以滿足此處提供的場景。您可能選擇哪種服務在很大程度上取決於周圍因素和您想要實現的最終目標。如果您只想涵蓋這一個方面，那麼使用預定的Inspector 評估應該會為您提供最大的靈活性和控制力。為了涵蓋更多場景，可以根據需要組合此處討論的AWS 服務集。 AWS Inspector 是特定於實例的，並主動掃描缺陷和違規行為。 AWS Config 記錄您希望密切控制的任何資源，並提供有關變更和合規性違規的通知。在許多情況下，兩者的結合將是一個不錯的選擇。