Amazon Inspector简介
在最近的Re:Invent大会上,Amazon公布了一款新的安全评估和合规性服务。这项服务叫Amazon Inspector,现在提供预览版。
Andy Jassy,Amazon网络服务的高级副总裁是这样 定位 这项服务的:“Inspector是一款自动安全评估服务,当在AWS上开发应用程序的时候,它会查找安全和合规性问题。”
当组织运用云来快速传送应用程序和服务的时候,在安全缺陷因为速度提升需要权衡的时候,安全缺陷被忽视的机率就提升了。Jeff Barr,Amazon网络服务的首席传播者把这项服务看作一个“缩短代码完成到代码测试部署的时间”的方法。Barr还补充道:“许多组织没有足够的在 职安全员工来进行耗时的人工检查单独的服务器和其他资源。”
Amazon Inspector去除了人工合规性检查,能够为审核方面的使用自动输出报告。为了建立一个Inspector作业,管理员必须首先定义一个可以附加元数 据在Production, QA, UAT等等环境上的应用程序。然后,管理员需要配置一组需要应用的Rule包。Rule包可能包含有:
- 应用程序安全最佳实践
- 网络安全最佳实践
- 身份验证最佳实践
- 操作系统安全最佳实践
- 应用程序安全最佳实践(这里原文就与第一条一模一样)
- PCI DSS 3.0评估(给需要验证支付卡产业合规性的顾客)
由于Amazon Inspector是一个托管式服务,Amazon现在提供了几百条规则,并将持续把AWS安全研究者团队开发的新的规则添加到库中。因此,随着Amazon不断地开发,顾客可以增大他们现有的安全团队的知识。
另一个管理员需要做的配置是评估需要运行的持续时间。在Inspector运行过程中,Inspector Agent将在EC2实例上运行,它将监控网络、文件系统和进程的活动。评估可以运行15分钟,1小时,8小时,12小时或是一整天。Amazon 建议24小时运行评估,就可以传送更多综合的结果。
图片来源: https://aws.amazon.com/blogs/aws/amazon-inspector-automated-security-assessment-service/
在评估运行之后,管理员可以期望接收一份Amazon Inspector Findings报告。这份报告会强调推荐优先表,包括哪个Rule包识别出了不足。下面的图片是一个管理员在评估运行后可以看见的报告的典型例子。
图片来源: http://aws.amazon.com/inspector/
Amazon不是唯一的一家提供基于云的安全评估和合规性服务的公司。它们面对着来自微软和 Nessus 这些也提供PCI DSS合规性评估的公司的竞争。 PowerUpCloud ,一家云咨询服务公司,最近 在博客上发布 了有关它们使用AWS Inspector的经验,并提供了和Nessus的对比。“AWS Inspector旨在做Nessus做的事情,所以我们先行试用了一番。Inspector还是一个新的产品,它将会变得更好,它不会很快取代 Nessus。它现在仅在Amazon Linux和Ubuntu实例上受支持。但是Inspector和它的使用便捷给我们留下了很深的印象。”
微软最近在AzureCon上 介绍 了Azure Security Center,这表明微软也加入了云服务安全评估和合规性领域。
查看英文原文: Introducing Amazon Inspector