Inspector

Usługa Amazon Inspector jest oparta na agentach, co oznacza, że wymaga zainstalowania agentów oprogramowania na dowolnych instancjach EC2, które chcesz ocenić. Sprawia to, że jest to łatwa usługa do skonfigurowania i dodania w dowolnym momencie do istniejących zasobów już działających w Twojej infrastrukturze AWS. Pomaga to Amazon Inspectorowi stać się bezproblemową integracją z istniejącymi procesami i procedurami związanymi z bezpieczeństwem.

Oto testy, które umożliwia wykonanie AWS Inspector:

• CVEs

• CIS Benchmarks

• Najlepsze praktyki dotyczące bezpieczeństwa

• Dostępność sieciowa

Możesz uruchomić dowolny z tych testów na maszynach EC2, które wybierzesz.

Elementy AWS Inspector

Rola: Utwórz lub wybierz rolę, która umożliwi Amazon Inspectorowi dostęp tylko do odczytu do instancji EC2 (DescribeInstances) Cele oceny: Grupa instancji EC2, na których chcesz przeprowadzić ocenę Agenci AWS: Agenci oprogramowania, które muszą być zainstalowane na instancjach EC2 w celu monitorowania. Dane są wysyłane do Amazon Inspector za pomocą kanału TLS. Regularnie wysyłany jest sygnał życia od agenta do inspektora, pytając o instrukcje. Może automatycznie aktualizować się Szablony oceny: Określ konkretne konfiguracje dotyczące sposobu przeprowadzania oceny na instancjach EC2. Szablon oceny nie może być modyfikowany po utworzeniu.

• Pakiety reguł do użycia

• Czas trwania oceny: 15 minut/1 godzina/8 godzin

• Tematy SNS, wybierz, kiedy powiadamiać: Rozpoczęcie, zakończenie, zmiana stanu, zgłoszenie wyników

• Atrybuty przypisane do wyników

Pakiet reguł: Zawiera wiele indywidualnych reguł, które są sprawdzane podczas uruchamiania oceny na instancji EC2. Każda z nich ma również stopień powagi (wysoki, średni, niski, informacyjny). Możliwości to:

• Wspólne podatności i wystawienia (CVEs)

• Centrum Bezpieczeństwa Internetowego (CIS) - Benchmark

• Najlepsze praktyki dotyczące bezpieczeństwa

Po skonfigurowaniu roli Amazon Inspector, zainstalowaniu agentów AWS, skonfigurowaniu celu i skonfigurowaniu szablonu, będziesz mógł go uruchomić. Ocena może zostać zatrzymana, wznowiona lub usunięta.

Amazon Inspector ma predefiniowany zestaw reguł, pogrupowanych w paczki. Każdy szablon oceny określa, które pakiety reguł mają być uwzględnione w teście. Instancje są oceniane na podstawie pakietów reguł zawartych w szablonie oceny.

Raportowanie

Telemetria: dane zbierane z instancji, szczegółowo opisujące jej konfigurację, zachowanie i procesy podczas uruchomienia oceny. Po zebraniu danych są one wysyłane z powrotem do Amazon Inspector w czasie zbliżonym do rzeczywistego za pomocą protokołu TLS, gdzie są przechowywane i szyfrowane na S3 za pomocą tymczasowego klucza KMS. Następnie Amazon Inspector uzyskuje dostęp do kubełka S3, odszyfrowuje dane w pamięci i analizuje je pod kątem pakietów reguł używanych w tej ocenie w celu wygenerowania wyników.

Raport z oceny: Zapewnia szczegóły dotyczące tego, co zostało ocenione i wyników oceny.

• Raport wyników zawiera podsumowanie oceny, informacje o instancji EC2 i regułach oraz wynikach, które wystąpiły.

• Pełny raport to raport wyników + lista reguł, które zostały zaliczone.

Wyliczanie

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Post Eksploatacja

TODO: PRy są mile widziane