بازرس آمازون توضیح داد: تقویت امنیت ابری برای بارهای کاری AWS شما

Summarize this content to 400 words in Persian Lang

با نحوه خودکارسازی مدیریت آسیب پذیری و انطباق با Amazon Inspector آشنا شوید.

AWS Cloud به ما انعطاف‌پذیری و مقیاس‌پذیری بی‌نظیری می‌دهد و به ما امکان می‌دهد تا منابعی را با انگشتانمان ایجاد کنیم. اما یک قانون طلایی وجود دارد که ارائه دهنده ابر بر آن تاکید دارد:

آنها “امنیت در ابر” را کنترل می کنند، در حالی که ما مسئول “امنیت در ابر” هستیم.

بنابراین، آستین‌ها را بالا بزنید—زمان آن رسیده است که آنچه را که در محیط ابری شما وجود دارد، ایمن کنید.

محیط AWS سزاوار یک نگهبان هوشیار است، کسی که بی سر و صدا منابع را زیر نظر دارد و آسیب پذیری ها را با دقت شناسایی می کند. این بازرس آمازون است – متخصص امنیت داخلی AWS که همیشه در حال انجام وظیفه است تا ابر شما را ایمن نگه دارد.

بارهای کاری شما را اسکن می کند، نمونه های EC2، تصاویر Lambdas، Containers شما را بررسی می کند و اگر چیزی خارج از خط است به شما اطلاع می دهد. و بهترین بخش؟ این فقط به مسائل اشاره نمی کند. راه هایی برای رفع آنها ارائه می دهد.

در این مجموعه وبلاگ، ما شما را از طریق Amazon Inspector راهنمایی می‌کنیم و شما را در راه‌اندازی راهنمایی می‌کنیم و نشان می‌دهیم که چگونه می‌تواند از شما در برابر خطرات احتمالی سایبری محافظت کند.

در بخش اول، موارد ضروری را پوشش خواهیم داد: بازرس آمازون چیست، چگونه آن را راه اندازی و راه اندازی کنیم، و چگونه یافته های آن را تفسیر کنیم.

بیایید شروع کنیم

راه اندازی آمازون بازرس

اگر از AWS Org استفاده نمی‌کنید یا نمی‌خواهید یافته‌ها را جمع‌آوری کنید یا تنظیمات بازرس را در مکان متمرکز مدیریت کنید، می‌توانید بازرس را در حساب عضو/انفرادی فعال کنید.

در کنسول AWS آواز بخوانید، منطقه مربوطه را انتخاب کنید.
با استفاده از جستجو به Amazon Inspector بروید.
بازرس را فعال کنید

برای این نسخه آزمایشی، اسکن EC2، لامبدا استاندارد + اسکن کد، اسکن ECR را فعال خواهم کرد.

بازرس دوره آزمایشی 15 روزه را ارائه می دهد. اگر می خواهید به استفاده از Inspector ادامه دهید، قیمت را اینجا ببینید.

اگر می‌خواهید Inspector را در سازمان مدیریت کنید، تنظیمات را مدیریت کنید، یافته‌ها را در مکان مرکزی جمع‌آوری کنید، توصیه می‌کنم مدیر واگذار شده را در سطح سازمان فعال کنید و این کار را انجام دهید:

وارد حساب مدیریت سازمان های AWS شوید و به Amazon Inspector بروید.
در قسمت شناسه حساب سرپرست واگذار شده، شناسه ۱۲ رقمی حساب AWS را که می‌خواهید به عنوان سرپرست واگذار شده تعیین کنید، وارد کنید و سپس Delegate را انتخاب کنید.
یکی فعال است، وارد حساب مدیریت واگذار شده شوید. به Inspector –> Account Management بروید.
از حساب مدیریت واگذار شده می‌توانید تصمیم بگیرید که بازرس حساب عضوی که باید فعال شود، و کدام نوع اسکن باید انتخاب شود. لطفا تصویر زیر را پیدا کنید

نوع اسکن را درک کنید

– اسکن آمازون EC2: این نوع اسکن ابرداده‌ها را از نمونه‌های EC2 شما جمع‌آوری می‌کند و آن را با توصیه‌های امنیتی مقایسه می‌کند، آسیب‌پذیری‌های بسته و قرار گرفتن در معرض شبکه را بررسی می‌کند. فعال کردن آن همه موارد واجد شرایط موجود در حساب شما را برای این مشکلات اسکن می کند.

– اسکن ECR آمازون: تصاویر کانتینر را در Amazon ECR اسکن می کند و تنظیمات اسکن را از اسکن اولیه به اسکن پیشرفته برای ثبت خصوصی ارتقا می دهد.

– اسکن استاندارد لامبدا: اسکن پیش‌فرض برای توابع Lambda، بررسی آسیب‌پذیری‌های کد در توابع فراخوانی یا به‌روزرسانی‌شده در ۹۰ روز گذشته.

– اسکن کد لامبدا: بر روی کد برنامه های سفارشی در توابع Lambda تمرکز می کند و مواردی را که در 90 روز گذشته فراخوانی یا به روز شده اند را برای آسیب پذیری اسکن می کند.

در این بخش اول وبلاگ، من بر روی EC2 و Lambda Scan تمرکز خواهم کرد.

اسکن EC2

برای EC2، اسکن می تواند باشد مبتنی بر نمایندگی (با استفاده از عامل SSM) یا بدون نماینده (با استفاده از عکس های فوری آمازون EBS). اسکن EC2 Amazon Inspector، متادیتا را از نمونه شما بیرون می‌کشد و آن را با توصیه‌های امنیتی برای شناسایی آسیب‌پذیری‌های بسته و مشکلات دسترسی به شبکه مقایسه می‌کند. اسکن دسترسی به شبکه هر 24 ساعت انجام می شود، در حالی که اسکن های آسیب پذیری بسته از یک برنامه زمانی متغیر بر اساس روش اسکن پیروی می کنند.

به طور پیش فرض، Inspector نمونه ای را که توسط SSM مدیریت می شود اسکن می کند.

پیکربندی اسکن

برای پیکربندی نوع اسکن برای EC2، به تنظیمات عمومی -> تنظیمات EC2 بروید.شما باید گزینه Hybrid را انتخاب کنید تا هم Agent-based و هم Agent-less داشته باشید.

من وارد جزئیات Agent-Based و Agent-Less نمی شوم. فقط به یاد داشته باشید که Agent-based مبتنی بر SSM است، اگر عامل SSM در حال اجرا است و نقش EC2 دارای خط مشی AmazonSSMMmanagedInstanceCore است، بازرس باید بتواند نمونه را اسکن کند.Agent-less از EBS Snapshot استفاده می کند. آمازون Inspector یک عکس فوری EBS برای هر جلد متصل به نمونه ایجاد می کند. در حین استفاده، عکس فوری در حساب شما ذخیره می‌شود و با InspectorScan به عنوان کلید برچسب و یک شناسه اسکن منحصر به فرد به عنوان مقدار برچسب برچسب گذاری می‌شود. برای این نسخه ی نمایشی، من از هر دو استفاده می کنم.

اکنون Inspector را آماده اسکن نمونه EC2 داریم. بیایید یک نمونه EC2 ایجاد کنیم. اگر قبلاً نمونه EC2 دارید، عالی است زیرا در عرض چند دقیقه بازرس شروع به اسکن نمونه EC2 می کند و یافته ها را نشان می دهد.

برای اطمینان، Inspector Scans (برای Agent-Based) مطمئن می شود که خط مشی AmazonSSMMmanagedInstanceCore را به نمونه EC2 متصل کرده اید.

اگر خط‌مشی بالا را پیوست نکنید، بازرس اسکن بدون عامل را انجام می‌دهد، مشروط بر اینکه نوع اسکن ترکیبی را در تنظیمات EC2 در بازرس انتخاب کرده باشید.

من قبلاً نمونه EC2 ایجاد کرده ام و می توانم یافتن را در داشبورد بازرس ببینم.

شما می توانید نمونه EC2 را در زیر پوشش منابع -> نمونه EC2 ببینید. برای این وبلاگ، من نمونه EC2 را ایجاد کرده ام که می تواند اسکن مبتنی بر عامل و بدون عامل را انجام دهد. در اسکرین شات زیر می توانید ببینید، من 2 اسکن مبتنی بر عامل و 1 اسکن بدون عامل دارم.

درک و رفع آسیب پذیری ها

برای بررسی یافتن، به Findings -> Instance بروید، باید بتوانیم یافتن را در هر نمونه ببینیم. روی نمونه شناسه کلیک کنید و ما باید جزئیات را ببینیم.

هر یک از یافته ها را انتخاب کنید و باید بتوانید جزئیات را در پنجره سمت راست ببینید.

و بخش خوب در اینجا این است که همراه با یافتن آن، نحوه اصلاح آن را نیز نشان می دهد. در مورد من، آن را به ارتقاء بسته های نرم افزاری با اجرا پیشنهاد کرد sudo df check-update . من بسته های نرم افزاری را امتحان کردم و به روز کردم. در مورد شما، ممکن است متفاوت باشد.

پس از اجرای دستور بالا، لیستی از ارتقاء بسته نرم افزاری و یادداشت های انتشار مربوطه را در زیر ارائه کرد.

من به روز رسانی های بسته نرم افزاری اخیر را برای ارتقا انتخاب می کنم. پس از انجام، در چند دقیقه، بازرس یافته ها را به روز می کند.

اگر اسکرین شات یافته‌های قبلی و بالاتر را با هم مقایسه کنید، می‌توانید تعداد یافته‌های بالا را از 12 به 4 کاهش یافته و مشابه با Medium از 61 به 44 کاهش یافته است.

به استثنای اسکن EC2

حتما فکر کرده اید که اگر نخواهم نمونه EC2 را با بازرس اسکن کنم، نمونه خاصی را از اسکن حذف کنم. ما پیش بینی هایی برای آن داریم، شما به سادگی می توانید نمونه EC2 خود را با آن تگ کنید Key InspectorEc2Exclusion. در مورد من، من یک نمونه EC2 ایجاد کرده‌ام و تگ با کلید InspectorEc2Exclusion و مقدار True اضافه کرده‌ام.

Inspector این نمونه را اسکن نمی کند زیرا این تگ را شناسایی می کند و همچنین در نمونه کلی به دلیل برچسب از اسکن حذف می شود.

همانطور که در تصویر زیر می بینید، نمونه ای که من برچسب گذاری کردم از اسکن حذف شده است.

اسکن لامبدا

اکنون زمان بازی با AWS Lambda است. همانطور که در مراحل فعال‌سازی بازرس نشان داده شده است، امیدوارم Scanning Lambda را در Inspector فعال کرده باشید. مطمئن شوید که اسکن استاندارد Lambda و اسکن کد Lambda را نیز فعال کرده اید.

بخشی از این نسخه ی نمایشی، من کد NodeJs ساده ای ایجاد کرده ام که دارای اعتبارنامه هارد کدگذاری شده است

import requests # Ensure ‘requests’ library is added in the Lambda environment

def lambda_handler(event, context):
# Hard-coded sensitive information (vulnerable practice)
api_key = “aspoklew0233qvdsrw3rq
secret_token = “qw3sda2343”

# Insecure HTTP connection (instead of HTTPS)
url = “http://example.com/insecure-endpoint”

# Send request with hard-coded sensitive information
try:
headers = {
“Authorization”: f”Bearer {secret_token}”,
“x-api-key”: api_key
}
response = requests.get(url, headers=headers)

if response.status_code == 200:
print(“Request successful:”, response.text)
else:
print(f”Request failed with status: {response.status_code}”)

return {
“statusCode”: response.status_code,
“body”: response.text
}
except Exception as e:
print(“An error occurred:”, e)
return {
“statusCode”: 500,
“body”: “An error occurred”
}

وارد حالت تمام صفحه شوید

از حالت تمام صفحه خارج شوید

هنگامی که تابع لامبدا را در بالا مستقر می کنیم. بازرس آن را برای کد آسیب پذیر اسکن می کند. برای بررسی یافته ها، به Inspector –> Findings -> Lambda Function بروید.

مانند EC2، شما باید بتوانید جزئیات مربوط به آسیب پذیری ها را ببینید.

همچنین مکان دقیق کد را که در آن آسیب پذیری وجود دارد، ارائه می دهد.

همچنین برای اصلاح، کارهایی را که باید انجام شود مانند ذخیره سازی ترشحات در AWS Secrete manager و دسترسی به آن با استفاده از Roles پیشنهاد می کند.

امیدوارم این وبلاگ شروعی برای شروع با آمازون Inspector باشد. Amazon Inspector ارزیابی‌های امنیتی قوی را برای نمونه‌های EC2 و عملکردهای Lambda ارائه می‌کند و به شما کمک می‌کند آسیب‌پذیری‌ها و پیکربندی نادرست را به سرعت شناسایی کنید. با این کار، می‌توانید وضعیت امنیتی ابری خود را بهبود ببخشید، به طور فعال خطرات را برطرف کنید و محیط AWS انعطاف‌پذیرتری را حفظ کنید.

به ساخت و استقرار حجم کاری ایمن در Cloud ادامه دهید!!!

import requests  # Ensure 'requests' library is added in the Lambda environment

def lambda_handler(event, context):
    # Hard-coded sensitive information (vulnerable practice)
    api_key = "aspoklew0233qvdsrw3rq
    secret_token = "qw3sda2343"

    # Insecure HTTP connection (instead of HTTPS)
    url = "http://example.com/insecure-endpoint"

    # Send request with hard-coded sensitive information
    try:
        headers = {
            "Authorization": f"Bearer {secret_token}",
            "x-api-key": api_key
        }
        response = requests.get(url, headers=headers)

        if response.status_code == 200:
            print("Request successful:", response.text)
        else:
            print(f"Request failed with status: {response.status_code}")

        return {
            "statusCode": response.status_code,
            "body": response.text
        }
    except Exception as e:
        print("An error occurred:", e)
        return {
            "statusCode": 500,
            "body": "An error occurred"
        }