Amazon Inspector คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS

สวัสดีทุกท่านครับ วันนี้อยากจะแนะนำบทความแปลเกี่ยวกับ Amazon Inspector ให้ทุกคนได้รู้จักกันครับ เพราะเป็นบริการที่ใช้งานง่าย ราคาไม่แพง แถมยังเพิ่มความปลอดภัยให้กับ EC2 ของเราด้วยครับ

หัวข้อ

• Amazon Inspector คืออะไร？
• ข้อดีของ Amazon Inspector
• ขั้นตอนการติดตั้ง
• ค่าบริการ
• OS ที่รองรับ Amazon Inspector Agent และ เนื้อหาที่รองรับการตรวจสอบ
• เนื้อหาที่ตรวจสอบ
• สรุป

Amazon Inspector คือ？

Inspector เป็นบริการตรวจสอบช่องโหว่ของระบบ โดยจะทำการติดตั้ง Amazon Inspector Agent ลงใน EC2 instance เพื่อทำการวินิจฉัยช่องโหว่ของแพลตฟอร์ม , การเข้าถึงเครือข่าย และ แจ้งปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้

ภาพรวมของความความปลอดภัยของ AWS （ในมุมมองของผู้เขียน）

อาจเรียกว่านี่เป็นเครื่องมือสำหรับ การตรวจสอบความปลอดภัย หรือ การประเมินช่องโหว่ เลยก็ว่าได้
สำหรับการใช้งานที่คล้ายคลึงกัน มีซอฟต์แวร์และบริการดังต่อไปนี้ ท่านที่รู้จักบริการเหล่านี้อยู่แล้วน่าจะเข้าใจได้ไม่ยากครับ

• Nessus
• Qualys
• OpenVAS
• Vuls

ข้อดีของ Amazon Inspector

• ประเมินความปลอดภัยตามกฎความปลอดภัยของ AWS บน EC2 instance
• สามารถประเมินความปลอดภัยเป็นอัตโนมัติได้ ทำให้สามารถตรวจสอบความปลอดภัยได้เป็นประจำไม่ว่าจะอยู่ในช่วงการพัฒนา หรือ production แล้วก็ตาม
• ควบคุมได้ผ่าน API จึงสามารถรวมเข้าไปในกระบวนการ Deploy ของสภาพแวดล้อมการพัฒนาและตรวจสอบได้
• ไม่มีค่าธรรมเนียมใบอนุญาต และ ค่าบริการถูกทำให้เริ่มใช้งานได้ง่าย

ขั้นตอนการติดตั้ง

ใช้เวลาติดตั้งไม่มากและยังใช้งานได้ผ่านทั้ง console และ API
โดยขั้นตอนการติดตั้งมีดังนี้

• Install Agent ลงใน EC2 instance ที่กำหนด
• ตั้งค่า TAG ให้กับ EC2 instance ที่กำหนด
• อนุญาตให้ Amazon Inspector เข้าถึงบัญชีของผู้ใช้งาน
• กำหนดเป้าหมายการประเมิน
• กำหนด template ในการประเมิน
• จัดเตรียมและระบุหัวข้อ SNS (หากคุณต้องการแจ้งเตือน)

ค่าบริการ

สามารถทดลองใช้งานได้ฟรี 15 วันนับจากเริ่มใช้ Amazon Inspector (ข้อมูล ณ วันที่ 18 ตุลาคม 2022)

หลังจากเลยช่วงทดลองใช้ 15 วันไปแล้วค่าบริการจะคำนวณตามตัวอย่างดังนี้ครับ

• มี 10 EC2 Instance ที่สแกนตลอดทั้ง 30 วันจะมีค่าบริการที่ 1.25 USD ต่ออินสแตนซ์ = 10 * 1.25 USD = 12.5 USD/instance
• มีอีก 10 EC2 Instance แต่สแกนเพียง 15 วัน เฉลี่ยแล้วจะเหลือ 5 Instance ค่าบริการที่ 1.25 USD/instance = 5 * 1.25 USD = 6.25 USD

ดังนั้นค่าบริการ Amazon Inspector ในเดือนดังกล่าวจะอยู่ที่ 18.75 USD

รายละเอียดค่าบริการตรวจสอบได้ที่นี่ครับ

OS ที่รองรับ Amazon Inspector Agent และ เนื้อหาที่รองรับการตรวจสอบ

สามารถตรวจสอบความเป็นไปได้ในการเข้าถึงเครือข่ายบน EC2 ใดก็ได้ โดยการตรวจสอบภายใน host ต้องมีการติดตั้ง Agent บน EC2 instance ด้วย โดยระบบปฎิบัติการ(OS) ที่รองรับ (ณ วันที่ 18/10/2022) การสนับสนุนอาจมีเปลี่ยนไปตามระบบปฏิบัติการโดยรายละเอียดเพิ่มเติมสามารถตรวจสอบได้ที่ลิ้งค์ทางตอนท้ายของหัวข้อนี้ครับ

ระบบปฏิบัติการที่รองรับ	Common Vulnerabilities and Exposures　(CVE)	CIS Benchmark	Network Reachability	Security best practices
Amazon Linux 2	supported	supported	supported	supported
Amazon Linux 2018.03	supported	supported	supported	supported
Amazon Linux 2017.09	supported	supported	supported	supported
Amazon Linux 2017.03	supported	supported	supported	supported
Amazon Linux 2016.09	supported	supported	supported	supported
Amazon Linux 2016.03	supported	supported	supported	supported
Amazon Linux 2015.09	supported	supported	supported	supported
Amazon Linux 2015.03	supported	supported	supported	supported
Amazon Linux 2014.09	supported		supported	supported
Amazon Linux 2014.03	supported		supported	supported
Amazon Linux 2013.09	supported		supported	supported
Amazon Linux 2013.03	supported		supported	supported
Amazon Linux 2012.09	supported		supported	supported
Amazon Linux 2012.03	supported		supported	supported
Ubuntu 20.04 LTS	supported		supported	supported
Ubuntu 18.04 LTS	supported	supported	supported	supported
Ubuntu 16.04 LTS	supported	supported	supported	supported
Ubuntu 14.04 LTS	supported	supported	supported	supported
Debian 10.x, 9.0 - 9.5, 8.0 - 8.7	supported		supported	supported
RHEL 8.x	supported		supported	supported
RHEL 7.6～7.X	supported	supported	supported	supported
RHEL 6.2 - 6.9、7.2 - 7.5	supported	supported	supported	supported
CentOS 7.6～7.X	supported	supported	supported	supported
CentOS 6.2 ～ 6.9、7.2 ～ 7.5	supported	supported	supported	supported
Windows Server 2019 Base	supported		supported
Windows Server 2016 Base	supported	supported	supported
Windows Server 2012 R2	supported	supported	supported
Windows Server 2012	supported	supported	supported
Windows Server 2008 R2	supported	supported	supported

ตรวจสอบข้อมูลล่าสุดได้ที่ Amazon Inspector Classic rules packages for supported operating systems

ตรวจสอบข้อมูลล่าสุดเกี่ยวกับ Agent สำหรับ Linux/Windows ได้ที่ Amazon Inspector Classic supported operating systems and Regions

เนื้อหาที่ตรวจสอบ

การประเมินของ Amazon Inspector สามารถใช้งานได้ร่วมกับ rule packages ต่อไปนี้

หัวข้อการตรวจสอบ	เนื้อหาที่ตรวจสอบ	แหล่งอ้างอิง Amazon Inspector User Guide
ความสามารถในการเข้าถึงเครือข่าย	ใช้ rules packages เพื่อวิเคราะห์การตั้งค่าของทรัพยากรเครือข่ายต่างๆ อย่างเช่น Security Group เป็นต้น โดยจะประเมินว่า EC2 instance สามารถเข้าถึงได้จากเครือข่ายภายนอก เช่น อินเทอร์เน็ต, Direct Connect, หรือ VPC peering ฯได้หรือไม่	Network Reachability
Common Vulnerabilities and Exposures　(CVE)	ตรวจสอบ CVE ที่เกี่ยวข้อง ตัวอย่างรายการ CVE ของ Tokyo region	Common vulnerabilities and exposures
Center for Internet Security (CIS) Benchmarks	Center for Internet Security (CIS) ตรวจสอบตาม Benchmarks	Center for Internet Security (CIS) Benchmarks
Amazon Inspector Security best practices	การเข้าสู่ rootด้วย SSH, SSH Version, การรับรองรหัสผ่าน SSH, การตั้งค่ารหัสผ่าน, การเปิดใช้งาน DEP, การเปิดใช้งาน Address Space Layout Randomization (ASLR), สิทธิ์การเขียนข้อมูลของผู้ใช้งานที่ไม่ใช่ root บน directory ของระบบ	Security best practices for Amazon Inspector Classic

สรุป

คราวนี้สังเกตได้ว่า Inspector Agent รองรับเวอร์ชัน Arm ใน Linux ด้วย แต่ Redhat 8.x และ CentOS 8.x ยังไม่รองรับในตอนนี้ ยิ่งไปกว่านั้นรายการตรวจสอบ CVE ก่อนหน้านี้เคยใช้เป็นรายการเดียวโดยไม่แยก Region แต่พอลองตรวจสอบในครั้งนี้พบว่า ใน User guide ได้มีการแก้ไขแล้วโดยรายการ CVE จะถูกแบ่งออกไปตามแต่ละ Region แล้ว

บทความต้นฉบับ

AWS再入門ブログリレー Amazon Inspector編

ดูรายละเอียดเพิ่มเติมได้ที่นี่

สอบถามเพิ่มเติมเกี่ยวกับ AWS คลิกที่นี่