實驗室概觀
保護基礎設施對任何公司來說絕對都是一大挑戰。很多公司使用許多工具來稽核網路,並找出系統和應用程式中的漏洞,這是一個需要大量時間和精力的程序。
您可以使用 Amazon Inspector 來自動評估您已在 AWS 上部署的作業環境和應用程式,找出常見和新興的安全漏洞。此外,新的網路連線能力規則套件會分析您的 Amazon Virtual Private Cloud (Amazon VPC) 網路組態,以判斷是否可以從外部網路 (例如網際網路、虛擬私有閘道、AWS Direct Connect (DX) 或對等的 VPC) 存取您的 Amazon EC2 執行個體。
在此實驗室中,您將使用 Amazon Inspector 執行 EC2 執行個體的安全評定。您將執行網路和主機稽核。透過網路稽核,您可以找出可從 VPC 外部連線的所有連接埠,以及可在 EC2 執行個體內的連接埠上存取的處理程序。透過主機稽核,您可以藉由執行 CVE (常見的漏洞和暴露) 評定套件、CIS (Center for Internet Security) 基準評定套件以及 AWS 安全最佳實務評定套件,找到目前的修補程式層級資訊和漏洞。
所有後端元件 (例如 Amazon EC2、IAM 角色和一些 AWS 服務) 已內建在您的實驗室中。此實驗室包含檢閱程式碼、設定必要變數以及執行指令碼的相關指示,讓您在需要時設定這些元件。
涵蓋的主題
此實驗室結束後,您將能夠:
- 執行無代理程式網路稽核。
- 將 Amazon Inspector 代理程式安裝在目標主機上,以增強網路和主機掃描功能。
- 調查 Amazon Inspector 掃描結果。
- 透過 AWS Lambda 和 Amazon Simple Notification Service (Amazon SNS) 主題自動傳送 Amazon Inspector 發現項目。
先決條件
若要成功完成此實驗室,您應先熟悉 AWS Management Console 基本操作,並了解如何使用文字編輯器修改指令碼。
圖示圖例
此實驗室使用各種不同的圖示提醒您注意指南的特定層面。下列清單說明每個圖示的用途:
- 指定必須執行的命令。
- 確認命令或編輯檔案的輸出。
- 指定重要的提示、秘訣、指導或建議。
- 指定可獲得更多資訊的地方。
- 請特別注意有特殊影響或重要性的資訊。未細讀注意事項並不會對設備或資料造成實際傷害,但可能導致需要重複某些步驟。
- 有機會檢測您的知識並測試您學到的內容。
