Inspector

Amazon Inspector 서비스는 에이전트 기반입니다. 즉, 평가를 수행하려는 모든 EC2 인스턴스에 소프트웨어 에이전트를 설치해야 합니다. 이로 인해 기존에 실행 중인 리소스에 언제든지 쉽게 구성하고 추가할 수 있는 서비스가 되며, 기존 보안 프로세스와 절차에 다른 수준의 보안으로 원활하게 통합될 수 있습니다.

AWS Inspector에서 수행할 수 있는 테스트는 다음과 같습니다:

• CVEs

• CIS 벤치마크

• 보안 모범 사례

• 네트워크 연결성

이 중에서 EC2 머신에서 실행할 수 있습니다.

AWS Inspector의 요소

역할: Amazon Inspector가 EC2 인스턴스에 대해 읽기 전용 액세스 권한을 갖도록 하는 역할 생성 또는 선택 평가 대상: 평가를 실행하려는 EC2 인스턴스의 그룹 AWS 에이전트: EC2 인스턴스에 설치해야 하는 소프트웨어 에이전트. 데이터는 TLS 채널을 통해 Amazon Inspector로 전송됩니다. 에이전트는 정기적으로 인스펙터에게 지시를 요청하는 하트비트를 보냅니다. 자동으로 업데이트될 수 있습니다. 평가 템플릿: EC2 인스턴스에서 평가를 실행하는 방법에 대한 구체적인 구성을 정의합니다. 평가 템플릿은 생성 후 수정할 수 없습니다.

• 사용할 규칙 패키지

• 평가 실행 시간 15분/1시간/8시간

• SNS 주제, 시작, 완료, 상태 변경, 결과 보고 시 알림 선택

• 결과에 할당할 속성

규칙 패키지: 평가 실행 시 EC2에서 확인되는 여러 규칙을 포함합니다. 각 규칙에는 심각도 (높음, 중간, 낮음, 정보)도 있습니다. 가능한 옵션은 다음과 같습니다:

• 일반적인 취약점 및 노출 (CVE)

• 인터넷 보안 센터 (CIS) 벤치마크

• 보안 모범 사례

Amazon Inspector 역할을 구성하고 AWS 에이전트를 설치하고 대상을 구성하고 템플릿을 구성한 후에는 실행할 수 있습니다. 평가 실행은 중지, 재개 또는 삭제할 수 있습니다.

Amazon Inspector에는 패키지로 그룹화된 미리 정의된 규칙 세트가 있습니다. 각 평가 템플릿은 해당 평가에 사용되는 규칙 패키지를 정의합니다. 인스턴스는 평가 템플릿에 포함된 규칙 패키지에 대해 평가됩니다.

보고서

텔레메트리: 인스턴스에서 수집된 데이터로, 평가 실행 중에 구성, 동작 및 프로세스에 대한 세부 정보를 제공합니다. 데이터가 수집되면 TLS를 통해 Amazon Inspector로 실시간으로 전송되고, 일시적인 KMS 키를 통해 S3에 저장되고 암호화됩니다. 그런 다음 Amazon Inspector는 S3 버킷에 액세스하여 데이터를 메모리에서 복호화하고 해당 평가에 사용된 규칙 패키지에 대해 분석하여 결과를 생성합니다.

평가 보고서: 평가된 내용과 평가 결과에 대한 세부 정보를 제공합니다.

• 결과 보고서에는 평가 요약, EC2 및 규칙에 대한 정보 및 발견된 결과가 포함됩니다.

• 전체 보고서는 결과 보고서 + 통과한 규칙 목록입니다.

열거

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

사후 침투

TODO: PR은 환영합니다