如何执行AWS安全扫描和配置监控?
AWS(亚马逊网络服务)提供了一个强大的云平台来托管您的应用程序、基础设施,但是安全性是您自己要注意的事情。
有许多事件中,attacker黑客入侵了AWS账户并且滥用它们以达到自己的目的或者只是为了好玩。
我在Quora上看到了这篇帖子,在这个帖子中用户的AWS account was hacked and received a $50,000 bill!
一次敏感信息泄露可能会给您带来巨大的损失并破坏您的声誉。那么,您如何确保您已经采取了所有必要的措施来保护AWS账户呢?
您可以通过遵循行业安全准则手动操作,但这是耗时且容易出错的。或者,您可以使用以下SaaS(软件即服务)自动审核您的AWS平台以查找安全漏洞和配置错误。
注意:以下漏洞扫描仅适用于AWS云,而不适用于website or web applications。
让我们来探索一下我们有哪些选择…
更新:正在使用Google Cloud Platform(GCP)?请查看GCP security scanner。
AWS Config
AWS Config是一种有效的工具,用于评估、评估、记录和审核您AWS环境中的资源配置。它简化了安全分析、合规审计、操作故障排除和变更管理。
关键特点包括:
- 持续监控、评估和记录资源配置。
- 使您能够发现资源,在您的AWS环境中记录配置,并保留有关其更改和删除的重要信息。
- 自动评估所记录的AWS资源配置与预期值的一致性。
- 通过确定导致问题的最近资源配置更改,快速排除操作问题。
- 通过跟踪所创建、更新和删除的资源,支持变更管理流程,并在任何修改时通知您。
Intruder
Intruder是一种现代化的漏洞扫描工具,从一开始就与三个主要的云提供商AWS、GCP和Azure无缝配合。它已经准备好供企业使用,并提供了无复杂性的政府和银行级安全扫描引擎。
Intruder使云安全变得轻而易举,您可以轻松监控云系统,发现新资产,并自动同步扫描目标。它不断观察您向Internet公开的内容,并发送通知,如开放的端口和服务更改,如果不注意可能导致安全漏洞。
与一些仅限云的漏洞扫描工具不同,Intruder能够无缝监控您的传统边缘网络、Web应用程序和内部环境,为您提供全方位的无忧漏洞管理体验。
其强大的安全检查包括检测:
- 缺少补丁
- 配置错误
- Web应用程序问题,如OWASP前10名、SQL注入和跨站脚本攻击
- 内容管理系统问题
Intruder会主动扫描您的系统以查找新的漏洞,确保您免受最新威胁的侵害。这种积极的行动对于忙碌的团队来说至关重要,因为他们没有时间进行手动研究。
您可以免费试用Intruder 30天。
Astra Pentest
Astra Pentest’s平台提供了针对AWS的内外云安全审查服务,包括对您的AWS环境进行全面的漏洞扫描和手动渗透测试。
Astra提供了对AWS基础架构的白盒和黑盒扫描。安全审查包括扫描IAM策略、EC2实例和其他服务,如S2、RDS、Lambda等。
通过Astra的深度渗透测试,确保您的整个基础架构安全无漏洞。您可以在Astra的平台上管理所有的漏洞,使其成为您的唯一真理来源。Astra Pentest的其他显著特点包括:
- 云配置审查:对AWS配置进行系统性检查,以查找任何漏洞,并确保遵循最新的最佳安全实践。
- 业务逻辑错误测试:评估AWS基础架构对特权升级或绕过安全限制的易感性。
- 登录后扫描:使用Astra的Chrome扩展程序扫描托管在AWS上的Web应用程序的区域,查找任何内部漏洞。
- 基于风险的漏洞管理:基于可行的风险评分、POC视频和上下文协作,快速修补漏洞。
- 合规性扫描:适用于PCI-DSS、ISO27001、HIPAA、GDPR、SOC2等。
- 安全专家进行渗透测试:拥有3500多个测试用例,可帮助检测漏洞。
- 与Slack、Jira、GitHub、GitLab等集成的CI/CD:可实现从DevOps到DevSecOps的无缝过渡。
- 可操作的漏洞报告:提供详细的漏洞信息、基于上下文数据的可行风险评分和CVSS评分,便于补救。
- 协作仪表板:允许渗透测试团队与开发团队协作,进行快速漏洞管理。
- Astra公认的渗透测试证书:可公开验证,展示服务的可靠性。
- 24/7专家客户支持:通过仪表板或支持团队在24小时内帮助解决客户问题。
- 提供重新扫描:确保所有漏洞都得到了缓解。
根据Astra提供的各种套餐,轻松满足您的AWS安全需求!
Cloud Custodian
Cloud Custodian是一个灵活的开源规则引擎,用于管理AWS云资源和账户,以确保安全和策略合规性。这使您能够管理和优化AWS云环境的安全、成本和治理。
Cloud Custodian的关键特点
- 提供实时合规性检查,并报告违规行为。
- 通过管理未使用和非工作时间的资源,控制成本。
- 灵活的部署方式,可以在实例、本地或无服务器上运行工具。
- 能够在AWS云环境中管理用户并强制执行安全策略。
- 将多个功能整合到一个灵活、轻量级的工具中,具有统一的度量和报告。
Prowler
Prowler是一个AWS账户的安全配置评估、审计和加固工具,还检查与CIS AWS Foundations安全标准的合规性。此外,该工具还执行100多个附加检查,包括HIPAA、GRDR、取证准备、信任边界等。
Prowler命令行工具涵盖了许多身份和访问管理实践,日志记录、监控和其他安全评估活动,例如Redshift、CloudFront、ElasticCache、Elasticsearch、API Gateway等Amazon账户。
亮点
- 全面评估您的AWS账户的安全状况
- 与其他工具(如Cloud Security Suite、Telegram等)集成
- 并行检查多个AWS账户
- 无需执行整个测试即可运行指定检查
- 识别未受安全系统覆盖的资产。
Cloudmapper
Cloudmapper是一个开源工具,可以分析并构建您在AWS环境中的资产、服务和其他组件的交互式可视化。
通常,该工具允许开发人员检查和了解他们构建的环境类型。它通过收集来自您的AWS帐户的数据,然后将其转换为可在浏览器中访问的格式来实现此目的。
通常,Cloudmapper以网络图的形式输出AWS云环境的分析结果。这种可视化呈现方式使您能够了解您的帐户,它们与云资源的关系以及是否存在配置错误或其他问题。
这使您能够:
- 查看AWS帐户的复杂性、大小和服务区域等
- 确定环境中可以相互通信的资源
- 执行安全审计,并轻松共享分析信息
- 识别公开暴露的资源
云报告
Cloud reports是来自Tensult的一个基于node.js的开源工具,用于收集和分析各种云组件的广泛信息。该工具将所发现的结果与最佳实践进行比较。
然后生成报告,通常为HTML、CSV、JSON或PDF格式,显示运行的不同AWS服务以及应遵循的最佳实践。报告还包含所识别的问题及其对您的服务的影响。
HTML报告通常可以通过Web浏览器访问,而JSON、CSV和PDF报告则存储在文件夹中。在运行多个扫描时,每个报告都有一个时间戳以便于识别和访问。
AWStealth
AWStealth是一个安全工具,团队可以使用它来发现AWS云环境中的最高权限实体。扫描结果显示具有过多、风险或敏感权限的用户。这使安全团队能够识别需要妥善保护免受潜在攻击和利用的最高权限帐户。
应关注的典型AWS实体具有敏感权限,包括明确的管理员和风险的影子管理员。
因此,AWStealth使安全团队能够防止由影子管理员和其他特权帐户漏洞引发的威胁。
Salesforce策略哨兵
Policy sentry是一个AWS IAM特权管理工具。它具有IAM最小特权策略生成器、审计机制和分析数据库。该工具根据AIM文档编制数据库表,其中包含有关资源、操作和条件键的信息。然后使用这些数据创建IAM最小特权策略。
亮点
- 简化编写基于安全的IAM策略
- 限制安全漏洞的影响,因为使用用户凭据访问系统的攻击者只有不能执行管理任务的最低权限。
- 自动且轻松地创建安全的IAM策略,从而消除需要更高级技术专业知识的繁琐手动测试。
Komiser
Komiser是一个全面的检查和分析工具,可帮助您监控和控制AWS云平台的开销。这个开源的成本优化工具可以检查云平台并检查各种配置和成本问题。这样可以发现任何隐藏的费用,并为您提供建议,帮助您节省开支并保持预算范围内。
主要特点
- 它可以让您从一个地方实时分析和管理AWS平台的使用情况、成本、安全性和合规性。
- 为您提供您正在使用的所有服务的可见性
- 识别和解决AWS配置和环境中的漏洞和合规问题。
- 了解所有服务的可见性以及如何控制成本和最大化投资回报。
Alien Vault
Alien Vault USM(统一安全管理)是AWS安全信息和事件管理(SIEM)解决方案市场领导者之一。
USM是一个单一的安全监控平台,可以提供正在发生的情况的可见性,以便您可以完全控制AWS云并管理风险。
一些基本的内置功能包括:
- 对S3和ELB日志、CloudTrail、文件完整性、VPC流量进行监视和警报
- 事件关联
- 使用网络、API、软件和服务进行资产发现
- 网络、云和基础设施的漏洞扫描
- 云、网络、主机的入侵检测
Alien Vault提供由OTX(开放威胁情报)提供支持的可行性威胁情报。它与Amazon的共享责任模型配合使用。借助AWS本地传感器的帮助,您可以在可疑实例被配置、创建新用户、修改安全组等情况下进行检测。
CloudSploit
CloudSploit能够通过自动化的安全扫描和配置监控,在AWS账户中检测到数百种威胁。
您可以在每个AWS区域使用CloudSploit,它不仅提供扫描结果,还提供了修复问题的建议。
CloudSploit提供有用的API,如果您想将安全扫描集成到您的应用程序中,这将非常有用。一个好处是您不需要在server to be monitored上安装任何代理。
您可以免费开始使用无限的按需扫描。如果您想要自动化扫描、风险发现邮件、实时事件流等功能,则需要付费。
Skyhigh
Skyhigh为AWS基础设施提供全面的安全监控、审计、合规性和修复。
Skyhigh的一些基本功能包括:
- 用户活动的完整审计记录
- 检测内部威胁、被入侵的账户
- 合规性、用户权限和安全配置审计
- 执行数据丢失防止策略
- 云活动监控
- IAM、账户访问、用户行为分析
- 与SIEM和IDM集成
- 多层修复
它支持法医调查,并自动将威胁解决数据包含在自学习中,以提高检测准确性。
Qualys
Qualys是领先的行业领导者之一,提供网络和资产安全评估,为内部和外部策略提供AWS云的全面可见性和安全编译。
Qualys提供了一个云代理,可以安装在EC2上或在AMI中安装,用于自动资产发现、分类、监控和漏洞修复。
ScoutSuite
ScoutSuite是一个基于Python的开源工具,用于查看AWS环境的安全状况。它获取CloudTrail、S3、AMI、EC2等数据,并以HTML格式报告。
风险项目会自动分类,并用红色和黄色表示危险和警告。
Alert Logic
通过Alert Logic Cloud Insight提高您的AWS安全性。Alert Logic能够检查完整的堆栈基础架构,包括网络、开源、企业软件,以防止超过90000种已知漏洞。
Alert Logic的一些重要功能包括:
- 可视化拓扑图,以加快优先级排序
- 根据漏洞的严重程度进行优先级排序
- 跟踪改进趋势
- 使用RESTful API轻松与SecOps和DevOps集成
- 无Agent的全面检查
AWS Trusted Advisor
如果没有提到AWS Trusted Advisor,这个列表就不完整。它是一个实时指南,通过遵循AWS最佳实践来改善安全性,降低成本。
结论
AWS为核心基础架构提供安全性,但您部署和配置的内容是您的责任。我希望上述列出的AWS安全扫描解决方案能帮助您保持AWS云环境的安全性和成本效益。