如何实施正确的AWS漏洞扫描
亚马逊Web服务(AWS)为其自己的基础设施提供了一套强大的控制措施,但是确保各台服务器的安全性是客户的责任而不是亚马逊的,明确这一点是很重要的,即这是分担责任模式的一部分。
要想了解这一个不同的模式还是有一定难度的。总之,让亚马逊提供漏洞管理可能是不可行的,因为漏洞管理要求云计算供应商能够对每一台服务器都拥有管理员级别或root级别的访问权限,而这样做无疑是数据隐私的一个无边噩梦。
同样需特别指出的是,虽然亚马逊对其所拥有的基础设施是定期进行漏洞测试的,但是对于用户企业所控制单个IP这并不意味着安全性。用户应当对AWS中的 IP地址、其他任何私有或公共IP地址一视同仁,并以相同的方式处理,而企业漏洞管理策略应当被扩展至由AWS所托管的服务器。
在本文中,我将详细讨论一下,企业在分担责任模式下AWS漏洞扫描在他们方面所必须实施的工作。
AWS漏洞管理
AWS中漏洞管理的最佳方法就是在AWS中直接安装一个漏洞扫描设备的虚拟实例——例如Qualys公司的产品或Tenable网络安全公司的 Nessus。虽然AWS通常要求得到明确的许可以便于在AWS基础设施中的服务器上运行任何形式的漏洞评估,但是在企业用户的实例中安装一个虚拟设施就可以规避这一要求——这主要取决于所购买的类型。该虚拟实施可根据需要以任意频率运行预定义的扫描。如果被赋予了有效的管理员级(Windows系统)或 root级(Unix系统)访问权限,那么虚拟扫描设备就能够为操作系统、第三方软件甚至系统配置中的漏洞提供补丁。
一般来说,虚拟漏洞扫描设施能够对EC2和亚马逊VPC中的私有和公共IP地址进行扫描,并能够对通过IPSec VPN与亚马逊相连的私有IP地址以及互联网上的公共IP地址进行扫描。用户可以从亚马逊市场购买,亚马逊将通过亚马逊机器映像(AMI)向用户交付。一旦购买成功,亚马逊将从AWS EC2 控制台(可通过AWS管理控制台访问)启动AMI实例。购买虚拟扫描设施通常需要一个对相关漏洞扫描SaaS的现有订购。在一些情况下,AMI是作为 SaaS标准订购中的一部分;而在其他情况下,它是作为一个额外的功能。
运行漏洞扫描虚拟设施的成本主要分为两个部分。其一,就是AMI使用自有设施的成本。其二,AWS 会对运行该设施收取费用。该费用涵盖了基于实例类型的计算资源(这是其中的大头)、被使用的存储资源以及数据的传输。
在漏洞扫描之后
运行AWS漏洞扫描仅仅只是确保系统安全的第一步。企业还需要确保他们拥有相关的专业技术知识来解释和分析扫描结果;虽然漏洞扫描设施是非常有用的工具,但是它们也很容易出现误报和缺少在企业环境中对漏洞严重等级进行打分的能力。只要用户能够正确地理解这一技术,那么漏洞扫描应当能够在AWS中为服务器部署发挥积极的作用。