AWS（亞馬遜網(wǎng)絡(luò)服務(wù)）提供了一個(gè)強(qiáng)大的云平臺(tái)來(lái)托管您的應(yīng)用程序、基礎(chǔ)設(shè)施，但安全是您必須自己照顧的事情。攻擊者入侵 AWS 帳戶并出于他們的目的或只是為了好玩而濫用它的事件很多。我在 Quora 上看到這篇帖子，其中用戶的AWS 賬戶被黑并收到了 50,000 美元的賬單！

單個(gè)敏感信息泄露可能會(huì)讓您付出沉重代價(jià)并損害您的聲譽(yù)。那么，如何確保已采取所有必要步驟來(lái)保護(hù) AWS 賬戶？您可以采取的一種方法是手動(dòng)遵循行業(yè)安全準(zhǔn)則，這既耗時(shí)又容易出現(xiàn)人為錯(cuò)誤。或者您可以使用以下 SaaS（軟件即服務(wù)）來(lái)自動(dòng)審計(jì)您的 AWS 平臺(tái)是否存在安全漏洞和錯(cuò)誤配置。注意：以下漏洞掃描程序?qū)ｉT(mén)針對(duì) AWS 云，不適用于網(wǎng)站或 Web 應(yīng)用程序。讓我們探討一下我們有哪些選擇……更新：使用谷歌云平臺(tái)（GCP）？查看GCP 安全掃描器。

AWS配置

AWS Config是一個(gè)有效的工具，用于評(píng)估、評(píng)估、記錄、審計(jì) AWS 環(huán)境中資源的配置。它簡(jiǎn)化了安全分析、合規(guī)性審計(jì)、操作故障排除和變更管理。

主要特點(diǎn)包括

• 提供資源配置的持續(xù)監(jiān)控、評(píng)估和記錄。
• 使您能夠發(fā)現(xiàn)資源，記錄 AWS 環(huán)境中的配置，并保留有關(guān)資源更改和刪除的重要信息。
• 根據(jù)預(yù)期值自動(dòng)評(píng)估記錄的 AWS 資源配置。
• 通過(guò)確定最近導(dǎo)致問(wèn)題的資源配置更改來(lái)快速解決操作問(wèn)題。
• 通過(guò)跟蹤創(chuàng)建、更新和刪除的資源，同時(shí)通知您任何修改，支持變更管理流程。

闖入者

Intruder是一種現(xiàn)代漏洞掃描器，從第一天開(kāi)始就設(shè)計(jì)用于與三大云提供商 AWS、GCP 和 Azure 無(wú)縫協(xié)作。它是企業(yè)就緒的，并提供了一個(gè)簡(jiǎn)單的政府和銀行級(jí)安全掃描引擎。

Intruder 讓您輕松監(jiān)控云系統(tǒng)、發(fā)現(xiàn)新資產(chǎn)并自動(dòng)同步掃描目標(biāo)，從而讓云安全變得輕而易舉。它持續(xù)觀察您暴露在 Internet 上的內(nèi)容并發(fā)送有關(guān)重要更改的通知，例如開(kāi)放端口和服務(wù)何時(shí)更改，如果不注意，可能會(huì)導(dǎo)致安全漏洞。

不過(guò)，與某些僅限云的漏洞掃描器不同，Intruder 還能夠無(wú)縫監(jiān)控您的傳統(tǒng)邊緣網(wǎng)絡(luò)、Web 應(yīng)用程序和內(nèi)部環(huán)境，從而獲得一體化的輕松漏洞管理體驗(yàn)。

其強(qiáng)大的安全檢查包括識(shí)別：

• 缺少補(bǔ)丁
• 配置錯(cuò)誤
• Web 應(yīng)用程序問(wèn)題，例如 OWASP 前 10 名、SQL 注入和跨站點(diǎn)腳本
• 內(nèi)容管理系統(tǒng)問(wèn)題

Intruder 會(huì)主動(dòng)掃描您的系統(tǒng)以查找新漏洞，保護(hù)您免受最新的威脅。這種主動(dòng)行動(dòng)對(duì)于沒(méi)有時(shí)間進(jìn)行手動(dòng)研究的忙碌團(tuán)隊(duì)來(lái)說(shuō)是必不可少的。

您可以免費(fèi)試用 Intruder 30 天。

阿斯特拉滲透測(cè)試

Astra Pentest 的平臺(tái)為 AWS 提供由內(nèi)而外的云安全審查服務(wù)，包括對(duì)您的 AWS 環(huán)境進(jìn)行全面的漏洞掃描和手動(dòng)滲透測(cè)試。Astra 提供 AWS 基礎(chǔ)設(shè)施的白盒和黑盒掃描。安全審查包括掃描您的 IAM 策略、EC2 實(shí)例和其他服務(wù)，如 S2、RDS、Lambda 等。

Astra 深入的 Pentest 確保您的整個(gè)基礎(chǔ)設(shè)施無(wú)懈可擊。您可以管理 Astra 平臺(tái)內(nèi)的所有漏洞，使其成為您的唯一真實(shí)來(lái)源。Astra Pentest 的其他顯著特點(diǎn)是：

• Cloud Configuration Review?AWS 配置以系統(tǒng)地檢查任何漏洞并確保遵循最新的最佳安全實(shí)踐。
• 業(yè)務(wù)邏輯錯(cuò)誤測(cè)試，用于評(píng)估 AWS 基礎(chǔ)設(shè)施對(duì)權(quán)限升級(jí)或繞過(guò)安全限制的敏感性。
• Scan Behind Logins使用 Astra 的 Chrome 擴(kuò)展來(lái)掃描 AWS 上掛載的 Web 應(yīng)用程序區(qū)域，以查找任何內(nèi)部漏洞。
• 基于可操作風(fēng)險(xiǎn)評(píng)分、POC 視頻和上下文協(xié)作的基于??風(fēng)險(xiǎn)的漏洞管理，用于快速修補(bǔ)漏洞。
• PCI-DSS、ISO27001、HIPAA、GDPR、SOC2 等合規(guī)性掃描。
• 安全專家的滲透測(cè)試有超過(guò) 3500 個(gè)測(cè)試用例來(lái)幫助檢測(cè)漏洞。
• CI/CD Web 漏洞掃描器與 Slack、?Jira?、GitHub、GitLab 等的集成可用于從 DevOps 無(wú)縫過(guò)渡到 DevSecOps。
• 可操作的漏洞報(bào)告提供了廣泛的漏洞詳細(xì)信息、基于上下文數(shù)據(jù)的可操作風(fēng)險(xiǎn)評(píng)分以及便于修復(fù)的 CVSS 評(píng)分。
• 協(xié)作儀表板允許滲透測(cè)試團(tuán)隊(duì)和開(kāi)發(fā)團(tuán)隊(duì)之間進(jìn)行協(xié)作，以快速管理漏洞。
• 行業(yè)認(rèn)可的Astra Pentest 證書(shū)可公開(kāi)驗(yàn)證并展示服務(wù)的可靠性。
• 24/7 專家客戶支持可在 24 小時(shí)內(nèi)通過(guò)儀表板或支持團(tuán)隊(duì)幫助解決客戶疑問(wèn)。
• 提供?重新掃描以確保所有漏洞都已得到緩解。

在 Astra 提供的各種套餐中進(jìn)行選擇，輕松滿足您的 AWS 安全要求！

云托管

Cloud Custodian是一個(gè)靈活的開(kāi)源規(guī)則引擎，用于管理 AWS 云資源和賬戶以確保安全性和政策合規(guī)性。這使您能夠管理和優(yōu)化 AWS 云環(huán)境的安全性、成本和監(jiān)管。

Cloud Custodian 主要功能

• 提供實(shí)時(shí)合規(guī)檢查和違規(guī)報(bào)告。
• 它允許您通過(guò)管理未使用和非工作時(shí)間的資源來(lái)控制成本。
• 一種靈活的部署，允許您在本地或無(wú)服務(wù)器實(shí)例上運(yùn)行該工具。
• 能夠在 AWS 云環(huán)境中管理用戶和執(zhí)行安全策略
• 將多項(xiàng)功能整合到具有統(tǒng)一指標(biāo)和報(bào)告的靈活、輕量級(jí)工具中。

徘徊者

Prowler是 AWS 賬戶的安全配置評(píng)估、審計(jì)和強(qiáng)化工具，還可以檢查是否符合CIS AWS Foundations安全標(biāo)準(zhǔn)。此外，該工具執(zhí)行 100 多項(xiàng)額外檢查，包括 HIPAA、GRDR、取證準(zhǔn)備、信任邊界等。

Prowler 命令行工具涵蓋了 Amazon 賬戶（如 Redshift、CloudFront、ElasticCache、Elasticsearch、API Gateway 等）的多種身份和訪問(wèn)管理實(shí)踐、日志記錄、監(jiān)控和其他安全評(píng)估活動(dòng)。

強(qiáng)調(diào)

• 全面評(píng)估您的 AWS 賬戶的安全狀況
• 與其他工具集成，例如 Cloud Security Suite、Telegram 等。
• 并行檢查多個(gè) AWS 賬戶
• 無(wú)需執(zhí)行整個(gè)測(cè)試即可運(yùn)行特定檢查
• 識(shí)別安全系統(tǒng)未涵蓋的資產(chǎn)。

云圖

Cloudmapper是一種開(kāi)源工具，使您能夠分析和構(gòu)建 AWS 環(huán)境中的資產(chǎn)、服務(wù)和其他組件的交互式可視化。通常，該工具允許開(kāi)發(fā)人員檢查和了解他們構(gòu)建的環(huán)境類型。它通過(guò)從您的 AWS 賬戶收集數(shù)據(jù)，然后將其轉(zhuǎn)換為瀏覽器可訪問(wèn)的格式來(lái)實(shí)現(xiàn)這一點(diǎn)。

通常，Cloudmapper 以網(wǎng)絡(luò)圖的形式輸出 AWS 云環(huán)境的分析。視覺(jué)呈現(xiàn)使您能夠了解您的帳戶、它們與云資源的關(guān)系以及確定是否存在配置錯(cuò)誤或其他問(wèn)題。

這使您可以

• 查看 AWS 賬戶的復(fù)雜性、規(guī)模和服務(wù)的區(qū)域等。
• 建立可以在環(huán)境中與每個(gè)人通信的資源
• 執(zhí)行安全審計(jì)，并輕松共享分析信息。
• 識(shí)別公開(kāi)暴露的資源

云報(bào)告

來(lái)自 Tensult 的云報(bào)告是一個(gè)基于 node.js 的開(kāi)源工具，用于收集和分析來(lái)自各種云組件的廣泛信息。該工具將調(diào)查結(jié)果與最佳實(shí)踐進(jìn)行比較。然后，它會(huì)生成通常采用 HTML、CSV、JSON 或 PDF 格式的報(bào)告，以顯示運(yùn)行的不同 AWS 服務(wù)以及您應(yīng)該遵循的最佳實(shí)踐。這還包含已確定的問(wèn)題及其對(duì)您的服務(wù)的影響。

HTML 報(bào)告通常可以通過(guò) Web 瀏覽器訪問(wèn)，而 JSON、CSV 和 PDF 格式的報(bào)告存儲(chǔ)在文件夾中。其中每一個(gè)都有一個(gè)時(shí)間戳，以便在運(yùn)行多次掃描時(shí)輕松識(shí)別和訪問(wèn)。

AWS隱身

AWStealth是一種安全工具，工具團(tuán)隊(duì)使用它來(lái)發(fā)現(xiàn) AWS 云環(huán)境中擁有最高特權(quán)的實(shí)體。掃描結(jié)果顯示用戶擁有過(guò)多、危險(xiǎn)或敏感的權(quán)限。這使安全團(tuán)隊(duì)能夠識(shí)別他們需要適當(dāng)保護(hù)免受潛在攻擊和利用的最高特權(quán)帳戶。具有敏感權(quán)限的典型 AWS 實(shí)體應(yīng)該受到關(guān)注，包括直截了當(dāng)?shù)墓芾韱T和有風(fēng)險(xiǎn)的影子管理員。

因此，AWStealth 使安全團(tuán)隊(duì)能夠防止影子管理員和其他特權(quán)帳戶漏洞引起的威脅。

Salesforce 政策哨兵

Policy sentry是一種 AWS IAM 權(quán)限管理工具。它有一個(gè) IAM 最小權(quán)限策略生成器、一個(gè)審計(jì)機(jī)制和一個(gè)分析數(shù)據(jù)庫(kù)。該工具根據(jù)有關(guān)資源、操作和條件鍵的 AIM 文檔編譯數(shù)據(jù)庫(kù)表。然后它使用此數(shù)據(jù)創(chuàng)建 IAM 最小權(quán)限策略。

強(qiáng)調(diào)

• 簡(jiǎn)化基于安全的 IAM 策略的編寫(xiě)
• 限制安全漏洞的影響，因?yàn)槭褂糜脩魬{據(jù)訪問(wèn)系統(tǒng)的攻擊者將只有最少的權(quán)限，無(wú)法執(zhí)行管理任務(wù)。
• 自動(dòng)輕松地創(chuàng)建安全的 IAM 策略，從而消除需要更高水平的技術(shù)專業(yè)知識(shí)的繁瑣的基于手動(dòng)的測(cè)試。

科米澤

Komiser是一個(gè)全面的檢查和分析工具，可幫助您監(jiān)控和控制 AWS 云平臺(tái)的費(fèi)用。開(kāi)源成本優(yōu)化工具可以檢查云平臺(tái)并檢查各種配置和成本問(wèn)題。這會(huì)發(fā)現(xiàn)任何隱藏的成本并為您提供建議以幫助您節(jié)省并保持在預(yù)算之內(nèi)。

主要特征

• 它使您能夠從一處實(shí)時(shí)分析和管理 AWS 平臺(tái)的使用情況、成本、安全性和合規(guī)性。
• 為您提供您正在使用的所有服務(wù)的可見(jiàn)性
• 識(shí)別并解決 AWS 配置和環(huán)境中的漏洞以及合規(guī)性問(wèn)題。
• 了解您的所有服務(wù)以及如何控制成本和最大化投資回報(bào)率。

外星人保險(xiǎn)庫(kù)

Alien Vault USM（統(tǒng)一安全管理），AWS SIEM（安全信息和事件管理）解決方案的市場(chǎng)領(lǐng)導(dǎo)者之一。USM 是一個(gè)單一的安全監(jiān)控平臺(tái)，可提供正在發(fā)生的事情的可見(jiàn)性，因此您可以完全控制 AWS 云并管理風(fēng)險(xiǎn)。

一些基本的內(nèi)置功能是：

• S3 和 ELB 日志、CloudTrail、文件完整性、VPC 流的監(jiān)控和警報(bào)
• 事件關(guān)聯(lián)
• 使用網(wǎng)絡(luò)、API、軟件和服務(wù)進(jìn)行資產(chǎn)發(fā)現(xiàn)
• 網(wǎng)絡(luò)、云和基礎(chǔ)設(shè)施的漏洞掃描
• 云、網(wǎng)絡(luò)、主機(jī)的入侵檢測(cè)

Alien Vault 提供可操作的威脅情報(bào)，由 OTX（開(kāi)放式威脅情報(bào)）提供支持。它適用于亞馬遜共享責(zé)任模型。在AWS 原生傳感器的幫助下?，您可以檢測(cè)何時(shí)提供可疑實(shí)例、新用戶、創(chuàng)建、修改安全組等。

CloudSploit

CloudSploit能夠通過(guò)自動(dòng)安全掃描和配置監(jiān)控來(lái)檢測(cè) AWS 賬戶中的數(shù)百種威脅。

您可以在每個(gè) AWS 區(qū)域使用 CloudSploit，它不僅提供掃描結(jié)果，還提供修復(fù)問(wèn)題的建議。

CloudSploit 提供API，如果您希望在您的應(yīng)用程序中集成安全掃描，這將非常有用。一件好事是您不需要在要監(jiān)視的服務(wù)器上安裝任何代理。您可以免費(fèi)開(kāi)始使用它以進(jìn)行無(wú)限制的按需掃描。如果您正在尋找自動(dòng)掃描、尋找電子郵件、實(shí)時(shí)事件流等的風(fēng)險(xiǎn)，那么您必須為此付費(fèi)。

高空

Skyhigh，為 AWS 基礎(chǔ)設(shè)施提供全面的安全監(jiān)控、審計(jì)、合規(guī)性和修復(fù)。

Skyhigh 的一些基本特征是：

• 完整的用戶活動(dòng)審計(jì)追蹤
• 檢測(cè)內(nèi)部威脅、被盜帳戶
• 合規(guī)性、用戶權(quán)限和安全配置審計(jì)
• 執(zhí)行數(shù)據(jù)丟失預(yù)防策略
• 云活動(dòng)監(jiān)控
• IAM、賬戶訪問(wèn)、用戶行為分析
• 與 SIEM 和 IDM 集成
• 多層修復(fù)

它支持取證調(diào)查，并自動(dòng)將威脅解決數(shù)據(jù)納入自學(xué)習(xí)，以提高檢測(cè)準(zhǔn)確性。

質(zhì)量

Qualys是網(wǎng)站漏洞掃描器平臺(tái)的行業(yè)領(lǐng)導(dǎo)者之一，網(wǎng)絡(luò)提供 AWS 云的全面可見(jiàn)性，以保護(hù)內(nèi)部和外部策略并進(jìn)行編譯。Qualys 提供了一個(gè)云代理，可以安裝在 EC2 上或從源頭安裝到 AMI 中，以實(shí)現(xiàn)自動(dòng)化資產(chǎn)發(fā)現(xiàn)、分類、監(jiān)控和漏洞修復(fù)。

ScoutSuite

ScoutSuite是一個(gè)基于 python 的開(kāi)源工具，用于查看 AWS 環(huán)境的安全狀況。它獲取 CloudTrail、S3、AMI、EC2 等數(shù)據(jù)并以 HTML 格式報(bào)告。

風(fēng)險(xiǎn)項(xiàng)目自動(dòng)分類并分別用紅色和黃色標(biāo)記為危險(xiǎn)和警告。

警報(bào)邏輯

使用Alert Logic Cloud Insight改善您的 AWS 安全狀況。Alert Logic 能夠針對(duì)90000 多個(gè)已知漏洞檢查全?；A(chǔ)設(shè)施，包括網(wǎng)絡(luò)、開(kāi)源、企業(yè)軟件。

一些基本的警報(bào)邏輯關(guān)鍵功能是：

• 用于更快確定優(yōu)先級(jí)的可視化拓?fù)鋱D
• 基于漏洞嚴(yán)重性的修復(fù)優(yōu)先級(jí)
• 跟蹤改進(jìn)趨勢(shì)
• 使用 RESTful API 輕松集成 SecOps 和 DevOps
• 無(wú)代理全面檢查

AWS 可信顧問(wèn)

如果不提及AWS Trusted Advisor，該列表將是不完整的，這是一個(gè)通過(guò)遵循 AWS 最佳實(shí)踐來(lái)提高安全性和降低成本的實(shí)時(shí)指南。

結(jié)論

AWS 在核心基礎(chǔ)設(shè)施上提供安全性，但部署、配置是您的責(zé)任。我希望上面列出的 AWS 安全掃描解決方案可以幫助您保持AWS 云環(huán)境安全且具有成本效益。