Inspector

Сервіс Amazon Inspector є агентним, що означає, що для оцінки вам потрібно встановити програмні агенти на будь-які екземпляри EC2. Це робить його легким сервісом для налаштування та додавання в будь-який момент до існуючих ресурсів, які вже працюють у вашій інфраструктурі AWS. Це допомагає Amazon Inspector стати безшовною інтеграцією з будь-якими існуючими процесами та процедурами безпеки.

Ось тести, які дозволяє виконати AWS Inspector:

• CVEs

• CIS Benchmarks

• Найкращі практики з безпеки

• Доступність мережі

Ви можете запустити будь-який з цих тестів на екземплярах EC2, які ви оберете.

Елемент AWS Inspector

Роль: Створіть або виберіть роль, щоб дозволити Amazon Inspector мати доступ тільки для читання до екземплярів EC2 (DescribeInstances) Ціль оцінки: Група екземплярів EC2, яку ви хочете оцінити AWS агенти: Програмні агенти, які повинні бути встановлені на екземплярах EC2 для моніторингу. Дані надсилаються в Amazon Inspector за допомогою каналу TLS. Регулярний пульс надсилається від агента до інспектора, запитуючи інструкції. Він може автоматично оновлюватися Шаблони оцінки: Визначте конкретні конфігурації для запуску оцінки на ваших екземплярах EC2. Шаблон оцінки не може бути змінений після створення.

• Пакети правил для використання

• Тривалість запуску оцінки 15 хвилин/1 година/8 годин

• Теми SNS, виберіть, коли повідомляти: Початок, завершення, зміна стану, повідомлення про виявлення

• Атрибути, які мають бути призначені для виявлень

Пакет правил: Містить кілька окремих правил, які перевіряються на екземплярі EC2 під час запуску оцінки. Кожен з них також має важкість (висока, середня, низька, інформаційна). Можливості:

• Загальні вразливості та витоки (CVEs)

• Центр інтернет-безпеки (CIS) Benchmark

• Найкращі практики з безпеки

Після налаштування ролі Amazon Inspector, встановлення AWS агентів, налаштування цілі та шаблону, ви зможете запустити його. Запуск оцінки можна зупинити, відновити або видалити.

Amazon Inspector має попередньо визначений набір правил, згрупованих у пакети. Кожен шаблон оцінки визначає, які пакети правил включати в тест. Екземпляри оцінюються за пакетами правил, включеними в шаблон оцінки.

Звітність

Телеметрія: дані, які збираються з екземпляра, що деталізують його конфігурацію, поведінку та процеси під час запуску оцінки. Після збору дані відправляються назад в Amazon Inspector майже в реальному часі через TLS, де вони зберігаються та шифруються на S3 за допомогою ефемерного ключа KMS. Потім Amazon Inspector отримує доступ до відра S3, розшифровує дані в пам'яті та аналізує їх проти будь-яких пакетів правил, використаних для цієї оцінки для генерації виявлень.

Звіт про оцінку: Надає деталі про те, що було оцінено та результати оцінки.

• Звіт про виявлення містить підсумок оцінки, інформацію про EC2 та правила та виявлення, які виникли.

• Повний звіт - це звіт про виявлення + список правил, які були пройдені.

Перелік

# Assessments info, there is a "describe" action for each one to get more info
aws inspector list-assessment-runs
aws inspector list-assessment-targets
aws inspector list-assessment-templates
aws inspector list-event-subscriptions

# Get findings
aws inspector list-findings

# Get exclusions
aws inspector list-exclusions --assessment-run-arn <arn>

# Rule packages
aws inspector list-rules-packages

Після експлуатації

TODO: Pull Request-и вітаються