实验概览
对于所有公司而言,保护基础设施的安全无疑都是一项挑战。公司要使用大量工具来审核网络并发现系统和应用程序中的漏洞,这一过程需要大量的时间和精力。
使用 Amazon Inspector,您可以自动评估已在 AWS 上部署的操作环境和应用程序是否存在常见和新出现的安全漏洞。此外,新的网络可访问性规则包会分析您的 Amazon Virtual Private Cloud (Amazon VPC) 网络配置,以确定是否可以从外部网络(如互联网、虚拟私有网关、Amazon Direct Connect (DX) 或对等 VPC)访问您的 Amazon EC2 实例。
在本实验中,您将使用 Amazon Inspector 对 EC2 实例进行安全评估。您将同时执行网络和主机审核。通过网络审核,您将发现可从 VPC 外部访问的所有端口以及可从 EC2 实例内部端口访问的进程。通过主机审核,您可以通过运行常见漏洞和风险 (CVE) 评估规则包、互联网安全中心 (CIS) 基准评估规则包和 AWS 安全最佳实践评估规则包,发现最新补丁级别信息和漏洞。
我们已将所有后端组件(例如 Amazon EC2、IAM 角色和一些 AWS 服务)内置到您的实验中。本实验包含有关查看代码、配置必要变量和运行脚本的说明,以便您可以在必要时设置这些组件。
涵盖的主题
完成本实验后,您将能够:
- 运行无代理网络审核。
- 在目标主机上安装 Amazon Inspector 代理,以强化网络和主机扫描。
- 调查 Amazon Inspector 的扫描结果。
- 利用 AWS Lambda 和 Amazon Simple Notification Service (Amazon SNS) 主题自动发送 Amazon Inspector 结果。
先决条件
要成功完成本实验,您应该熟悉 AWS Management Console 的基本导航操作,并且能够熟练使用文本编辑器修改脚本。
图标键
本实验中使用了各种图标,以提醒注意指南的某些方面。下面的列表解释了每个图标的用途:
- 说明了必须运行的命令。
- 验证命令或已编辑文件的输出。
- 说明了重要提示、技巧、指导或建议。
- 说明了在哪里可以找到详细信息。
- 提示注意特别相关或特别重要的信息。不阅读注释并不会对设备或数据造成物理损害,但可能导致需要重复某些步骤。
- 检查您的知识掌握程度和测试您学到的知识的机会。