Amazon Inspector简介

在最近的Re:Invent大会上,Amazon公布了一款新的安全评估和合规性服务。这项服务叫Amazon Inspector,现在提供预览版。

Andy Jassy,Amazon网络服务的高级副总裁是这样定位这项服务的:“Inspector是一款自动安全评估服务,当在AWS上开发应用程序的时候,它会查找安全和合规性问题。”

当组织运用云来快速传送应用程序和服务的时候,在安全缺陷因为速度提升需要权衡的时候,安全缺陷被忽视的机率就提升了。Jeff Barr,Amazon网络服务的首席传播者把这项服务看作一个“缩短代码完成到代码测试部署的时间”的方法。Barr还补充道:“许多组织没有足够的在职安全员工来进行耗时的人工检查单独的服务器和其他资源。”

Amazon Inspector去除了人工合规性检查,能够为审核方面的使用自动输出报告。为了建立一个Inspector作业,管理员必须首先定义一个可以附加元数据在Production, QA, UAT等等环境上的应用程序。然后,管理员需要配置一组需要应用的Rule包。Rule包可能包含有:

  • 应用程序安全最佳实践
  • 网络安全最佳实践
  • 身份验证最佳实践
  • 操作系统安全最佳实践
  • 应用程序安全最佳实践(这里原文就与第一条一模一样)
  • PCI DSS 3.0评估(给需要验证支付卡产业合规性的顾客)

由于Amazon Inspector是一个托管式服务,Amazon现在提供了几百条规则,并将持续把AWS安全研究者团队开发的新的规则添加到库中。因此,随着Amazon不断地开发,顾客可以增大他们现有的安全团队的知识。

另一个管理员需要做的配置是评估需要运行的持续时间。在Inspector运行过程中,Inspector Agent将在EC2实例上运行,它将监控网络、文件系统和进程的活动。评估可以运行15分钟,1小时,8小时,12小时或是一整天。Amazon 建议24小时运行评估,就可以传送更多综合的结果。

图片来源:https://aws.amazon.com/blogs/aws/amazon-inspector-automated-security-assessment-service/

在评估运行之后,管理员可以期望接收一份Amazon Inspector Findings报告。这份报告会强调推荐优先表,包括哪个Rule包识别出了不足。下面的图片是一个管理员在评估运行后可以看见的报告的典型例子。

Amazon Inspector简介_第1张图片

图片来源:http://aws.amazon.com/inspector/

Amazon不是唯一的一家提供基于云的安全评估和合规性服务的公司。它们面对着来自微软和Nessus这些也提供PCI DSS合规性评估的公司的竞争。 PowerUpCloud,一家云咨询服务公司,最近在博客上发布了有关它们使用AWS Inspector的经验,并提供了和Nessus的对比。“AWS Inspector旨在做Nessus做的事情,所以我们先行试用了一番。Inspector还是一个新的产品,它将会变得更好,它不会很快取代Nessus。它现在仅在Amazon Linux和Ubuntu实例上受支持。但是Inspector和它的使用便捷给我们留下了很深的印象。”

微软最近在AzureCon上介绍了Azure Security Center,这表明微软也加入了云服务安全评估和合规性领域。

查看英文原文:Introducing Amazon Inspector

感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至[email protected]。也欢迎大家通过新浪微博(@InfoQ,@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者(已满),InfoQ读者交流群(#2)InfoQ好读者)。

你可能感兴趣的:(Amazon Inspector简介)