Amazon Inspector簡介

在最近的Re:Invent大會上，Amazon公布了一款新的安全評估和合規性服務。這項服務叫Amazon Inspector，現在提供預覽版。

Andy Jassy，Amazon網絡服務的高級副總裁是這樣 定位 這項服務的：“Inspector是一款自動安全評估服務，當在AWS上開發應用程序的時候，它會查找安全和合規性問題。”

當組織運用云來快速傳送應用程序和服務的時候，在安全缺陷因為速度提升需要權衡的時候，安全缺陷被忽視的機率就提升了。Jeff Barr，Amazon網絡服務的首席傳播者把這項服務看作一個“縮短代碼完成到代碼測試部署的時間”的方法。Barr還補充道：“許多組織沒有足夠的在 職安全員工來進行耗時的人工檢查單獨的服務器和其他資源。”

Amazon Inspector去除了人工合規性檢查，能夠為審核方面的使用自動輸出報告。為了建立一個Inspector作業，管理員必須首先定義一個可以附加元數 據在Production, QA, UAT等等環境上的應用程序。然后，管理員需要配置一組需要應用的Rule包。Rule包可能包含有：

• 應用程序安全最佳實踐
• 網絡安全最佳實踐
• 身份驗證最佳實踐
• 操作系統安全最佳實踐
• 應用程序安全最佳實踐（這里原文就與第一條一模一樣）
• PCI DSS 3.0評估（給需要驗證支付卡產業合規性的顧客）

由于Amazon Inspector是一個托管式服務，Amazon現在提供了幾百條規則，并將持續把AWS安全研究者團隊開發的新的規則添加到庫中。因此，隨著Amazon不斷地開發，顧客可以增大他們現有的安全團隊的知識。

另一個管理員需要做的配置是評估需要運行的持續時間。在Inspector運行過程中，Inspector Agent將在EC2實例上運行，它將監控網絡、文件系統和進程的活動。評估可以運行15分鐘，1小時，8小時，12小時或是一整天。Amazon 建議24小時運行評估，就可以傳送更多綜合的結果。

圖片來源： https://aws.amazon.com/blogs/aws/amazon-inspector-automated-security-assessment-service/

在評估運行之后，管理員可以期望接收一份Amazon Inspector Findings報告。這份報告會強調推薦優先表，包括哪個Rule包識別出了不足。下面的圖片是一個管理員在評估運行后可以看見的報告的典型例子。

圖片來源： http://aws.amazon.com/inspector/

Amazon不是唯一的一家提供基于云的安全評估和合規性服務的公司。它們面對著來自微軟和 Nessus 這些也提供PCI DSS合規性評估的公司的競爭。 PowerUpCloud ，一家云咨詢服務公司，最近 在博客上發布 了有關它們使用AWS Inspector的經驗，并提供了和Nessus的對比。“AWS Inspector旨在做Nessus做的事情，所以我們先行試用了一番。Inspector還是一個新的產品，它將會變得更好，它不會很快取代 Nessus。它現在僅在Amazon Linux和Ubuntu實例上受支持。但是Inspector和它的使用便捷給我們留下了很深的印象。”

微軟最近在AzureCon上 介紹 了Azure Security Center，這表明微軟也加入了云服務安全評估和合規性領域。

查看英文原文： Introducing Amazon Inspector