Amazon Inspector 简介

在最近的 Re:Invent 大会上，Amazon 公布了一款新的安全评估和合规性服务。这项服务叫 Amazon Inspector，现在提供预览版。

Andy Jassy，Amazon 网络服务的高级副总裁是这样定位这项服务的：“Inspector 是一款自动安全评估服务，当在AWS 上开发应用程序的时候，它会查找安全和合规性问题。”

当组织运用云来快速传送应用程序和服务的时候，在安全缺陷因为速度提升需要权衡的时候，安全缺陷被忽视的机率就提升了。Jeff Barr，Amazon 网络服务的首席传播者把这项服务看作一个“缩短代码完成到代码测试部署的时间”的方法。Barr 还补充道：“许多组织没有足够的在职安全员工来进行耗时的人工检查单独的服务器和其他资源。”

Amazon Inspector 去除了人工合规性检查，能够为审核方面的使用自动输出报告。为了建立一个 Inspector 作业，管理员必须首先定义一个可以附加元数据在 Production, QA, UAT 等等环境上的应用程序。然后，管理员需要配置一组需要应用的 Rule 包。Rule 包可能包含有：

• 应用程序安全最佳实践
• 网络安全最佳实践
• 身份验证最佳实践
• 操作系统安全最佳实践
• 应用程序安全最佳实践（这里原文就与第一条一模一样）
• PCI DSS 3.0 评估（给需要验证支付卡产业合规性的顾客）

由于 Amazon Inspector 是一个托管式服务，Amazon 现在提供了几百条规则，并将持续把 AWS 安全研究者团队开发的新的规则添加到库中。因此，随着 Amazon 不断地开发，顾客可以增大他们现有的安全团队的知识。

另一个管理员需要做的配置是评估需要运行的持续时间。在 Inspector 运行过程中，Inspector Agent 将在 EC2 实例上运行，它将监控网络、文件系统和进程的活动。评估可以运行 15 分钟，1 小时，8 小时，12 小时或是一整天。Amazon 建议 24 小时运行评估，就可以传送更多综合的结果。

图片来源： https://aws.amazon.com/blogs/aws/amazon-inspector-automated-security-assessment-service/

在评估运行之后，管理员可以期望接收一份 Amazon Inspector Findings 报告。这份报告会强调推荐优先表，包括哪个 Rule 包识别出了不足。下面的图片是一个管理员在评估运行后可以看见的报告的典型例子。

图片来源： http://aws.amazon.com/inspector/

Amazon 不是唯一的一家提供基于云的安全评估和合规性服务的公司。它们面对着来自微软和 Nessus 这些也提供 PCI DSS 合规性评估的公司的竞争。 PowerUpCloud ，一家云咨询服务公司，最近在博客上发布了有关它们使用AWS Inspector 的经验，并提供了和Nessus 的对比。“AWS Inspector 旨在做Nessus 做的事情，所以我们先行试用了一番。Inspector 还是一个新的产品，它将会变得更好，它不会很快取代Nessus。它现在仅在Amaz on Linux 和 Ubuntu 实例上受支持。但是 Inspector 和它的使用便捷给我们留下了很深的印象。”

微软最近在 AzureCon 上介绍了Azure Security Center，这表明微软也加入了云服务安全评估和合规性领域。

查看英文原文： Introducing Amazon Inspector

感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群（已满），InfoQ 读者交流群（#2））。