Amazon Inspector คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS

Amazon Inspector คืออะไร? การแนะนำฟังก์ชันล่าสุดของ AWS

นี่เป็นบทความแปล ที่มีเนื้อหามาจากบทความภาษาญี่ปุ่นของ Classmethod, Inc. ในหัวข้อ「AWS再入門ブログリレー Amazon Inspector編」 หากผู้อ่านสนใจอ่านเนื้อหาต้นฉบับสามารถอ่านได้ที่ลิ้งค์ "บทความต้นฉบับ" ด้านล่าง เนื้อหาในบทความนี้การอธิบายบางอย่างจะถูกปรับให้เข้าใจง่ายขึ้นทำให้แตกต่างจากต้นฉบับในบางจุด
Clock Icon2022.10.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

สวัสดีทุกท่านครับ วันนี้อยากจะแนะนำบทความแปลเกี่ยวกับ Amazon Inspector ให้ทุกคนได้รู้จักกันครับ เพราะเป็นบริการที่ใช้งานง่าย ราคาไม่แพง แถมยังเพิ่มความปลอดภัยให้กับ EC2 ของเราด้วยครับ

หัวข้อ

  • Amazon Inspector คืออะไร?
  • ข้อดีของ Amazon Inspector
  • ขั้นตอนการติดตั้ง
  • ค่าบริการ
  • OS ที่รองรับ Amazon Inspector Agent และ เนื้อหาที่รองรับการตรวจสอบ
  • เนื้อหาที่ตรวจสอบ
  • สรุป

Amazon Inspector คือ?

Inspector เป็นบริการตรวจสอบช่องโหว่ของระบบ โดยจะทำการติดตั้ง Amazon Inspector Agent ลงใน EC2 instance เพื่อทำการวินิจฉัยช่องโหว่ของแพลตฟอร์ม , การเข้าถึงเครือข่าย และ แจ้งปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้

ภาพรวมของความความปลอดภัยของ AWS (ในมุมมองของผู้เขียน)

อาจเรียกว่านี่เป็นเครื่องมือสำหรับ การตรวจสอบความปลอดภัย หรือ การประเมินช่องโหว่ เลยก็ว่าได้
สำหรับการใช้งานที่คล้ายคลึงกัน มีซอฟต์แวร์และบริการดังต่อไปนี้ ท่านที่รู้จักบริการเหล่านี้อยู่แล้วน่าจะเข้าใจได้ไม่ยากครับ

ข้อดีของ Amazon Inspector

  • ประเมินความปลอดภัยตามกฎความปลอดภัยของ AWS บน EC2 instance
  • สามารถประเมินความปลอดภัยเป็นอัตโนมัติได้ ทำให้สามารถตรวจสอบความปลอดภัยได้เป็นประจำไม่ว่าจะอยู่ในช่วงการพัฒนา หรือ production แล้วก็ตาม
  • ควบคุมได้ผ่าน API จึงสามารถรวมเข้าไปในกระบวนการ Deploy ของสภาพแวดล้อมการพัฒนาและตรวจสอบได้
  • ไม่มีค่าธรรมเนียมใบอนุญาต และ ค่าบริการถูกทำให้เริ่มใช้งานได้ง่าย

ขั้นตอนการติดตั้ง

ใช้เวลาติดตั้งไม่มากและยังใช้งานได้ผ่านทั้ง console และ API
โดยขั้นตอนการติดตั้งมีดังนี้

  • Install Agent ลงใน EC2 instance ที่กำหนด
  • ตั้งค่า TAG ให้กับ EC2 instance ที่กำหนด
  • อนุญาตให้ Amazon Inspector เข้าถึงบัญชีของผู้ใช้งาน
  • กำหนดเป้าหมายการประเมิน
  • กำหนด template ในการประเมิน
  • จัดเตรียมและระบุหัวข้อ SNS (หากคุณต้องการแจ้งเตือน)

ค่าบริการ

สามารถทดลองใช้งานได้ฟรี 15 วันนับจากเริ่มใช้ Amazon Inspector (ข้อมูล ณ วันที่ 18 ตุลาคม 2022)

หลังจากเลยช่วงทดลองใช้ 15 วันไปแล้วค่าบริการจะคำนวณตามตัวอย่างดังนี้ครับ

  • มี 10 EC2 Instance ที่สแกนตลอดทั้ง 30 วันจะมีค่าบริการที่ 1.25 USD ต่ออินสแตนซ์ = 10 * 1.25 USD = 12.5 USD/instance
  • มีอีก 10 EC2 Instance แต่สแกนเพียง 15 วัน เฉลี่ยแล้วจะเหลือ 5 Instance ค่าบริการที่ 1.25 USD/instance = 5 * 1.25 USD = 6.25 USD

ดังนั้นค่าบริการ Amazon Inspector ในเดือนดังกล่าวจะอยู่ที่ 18.75 USD

รายละเอียดค่าบริการตรวจสอบได้ที่นี่ครับ

OS ที่รองรับ Amazon Inspector Agent และ เนื้อหาที่รองรับการตรวจสอบ

สามารถตรวจสอบความเป็นไปได้ในการเข้าถึงเครือข่ายบน EC2 ใดก็ได้ โดยการตรวจสอบภายใน host ต้องมีการติดตั้ง Agent บน EC2 instance ด้วย โดยระบบปฎิบัติการ(OS) ที่รองรับ (ณ วันที่ 18/10/2022) การสนับสนุนอาจมีเปลี่ยนไปตามระบบปฏิบัติการโดยรายละเอียดเพิ่มเติมสามารถตรวจสอบได้ที่ลิ้งค์ทางตอนท้ายของหัวข้อนี้ครับ

ระบบปฏิบัติการที่รองรับ Common Vulnerabilities and Exposures (CVE) CIS Benchmark Network Reachability Security best practices
Amazon Linux 2 supported supported supported supported
Amazon Linux 2018.03 supported supported supported supported
Amazon Linux 2017.09 supported supported supported supported
Amazon Linux 2017.03 supported supported supported supported
Amazon Linux 2016.09 supported supported supported supported
Amazon Linux 2016.03 supported supported supported supported
Amazon Linux 2015.09 supported supported supported supported
Amazon Linux 2015.03 supported supported supported supported
Amazon Linux 2014.09 supported supported supported
Amazon Linux 2014.03 supported supported supported
Amazon Linux 2013.09 supported supported supported
Amazon Linux 2013.03 supported supported supported
Amazon Linux 2012.09 supported supported supported
Amazon Linux 2012.03 supported supported supported
Ubuntu 20.04 LTS supported supported supported
Ubuntu 18.04 LTS supported supported supported supported
Ubuntu 16.04 LTS supported supported supported supported
Ubuntu 14.04 LTS supported supported supported supported
Debian 10.x, 9.0 - 9.5, 8.0 - 8.7 supported supported supported
RHEL 8.x supported supported supported
RHEL 7.6~7.X supported supported supported supported
RHEL 6.2 - 6.9、7.2 - 7.5 supported supported supported supported
CentOS 7.6~7.X supported supported supported supported
CentOS 6.2 ~ 6.9、7.2 ~ 7.5 supported supported supported supported
Windows Server 2019 Base supported supported
Windows Server 2016 Base supported supported supported
Windows Server 2012 R2 supported supported supported
Windows Server 2012 supported supported supported
Windows Server 2008 R2 supported supported supported

ตรวจสอบข้อมูลล่าสุดได้ที่ Amazon Inspector Classic rules packages for supported operating systems

ตรวจสอบข้อมูลล่าสุดเกี่ยวกับ Agent สำหรับ Linux/Windows ได้ที่ Amazon Inspector Classic supported operating systems and Regions

เนื้อหาที่ตรวจสอบ

การประเมินของ Amazon Inspector สามารถใช้งานได้ร่วมกับ rule packages ต่อไปนี้

หัวข้อการตรวจสอบ เนื้อหาที่ตรวจสอบ แหล่งอ้างอิง Amazon Inspector User Guide
ความสามารถในการเข้าถึงเครือข่าย ใช้ rules packages เพื่อวิเคราะห์การตั้งค่าของทรัพยากรเครือข่ายต่างๆ อย่างเช่น Security Group เป็นต้น โดยจะประเมินว่า EC2 instance สามารถเข้าถึงได้จากเครือข่ายภายนอก เช่น อินเทอร์เน็ต, Direct Connect, หรือ VPC peering ฯได้หรือไม่ Network Reachability
Common Vulnerabilities and Exposures (CVE) ตรวจสอบ CVE ที่เกี่ยวข้อง ตัวอย่างรายการ CVE ของ Tokyo region Common vulnerabilities and exposures
Center for Internet Security (CIS) Benchmarks Center for Internet Security (CIS) ตรวจสอบตาม Benchmarks Center for Internet Security (CIS) Benchmarks
Amazon Inspector Security best practices การเข้าสู่ rootด้วย SSH, SSH Version, การรับรองรหัสผ่าน SSH, การตั้งค่ารหัสผ่าน, การเปิดใช้งาน DEP, การเปิดใช้งาน Address Space Layout Randomization (ASLR), สิทธิ์การเขียนข้อมูลของผู้ใช้งานที่ไม่ใช่ root บน directory ของระบบ Security best practices for Amazon Inspector Classic

สรุป

คราวนี้สังเกตได้ว่า Inspector Agent รองรับเวอร์ชัน Arm ใน Linux ด้วย แต่ Redhat 8.x และ CentOS 8.x ยังไม่รองรับในตอนนี้ ยิ่งไปกว่านั้นรายการตรวจสอบ CVE ก่อนหน้านี้เคยใช้เป็นรายการเดียวโดยไม่แยก Region แต่พอลองตรวจสอบในครั้งนี้พบว่า ใน User guide ได้มีการแก้ไขแล้วโดยรายการ CVE จะถูกแบ่งออกไปตามแต่ละ Region แล้ว

บทความต้นฉบับ

AWS再入門ブログリレー Amazon Inspector編

ดูรายละเอียดเพิ่มเติมได้ที่นี่ สอบถามเพิ่มเติมเกี่ยวกับ AWS คลิกที่นี่

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.