A AWS oferece um serviço bem interessante relacionado com a verificação de vulnerabilidades em suas instâncias EC2. Trata-se do AWS Inspector, que no momento atende apenas servidores, ou seja, apenas EC2.


O AWS Inspector é basicamente um scanner de vulnerabilidades que verifica como está a saúde dos seus servidores, ele entrega basicamente cinco tipos de indicadores:

1 – Network Reachability – Avaliação de acessibilidade nas redes de EC2 instances.
2 – Security Best Practices – Avaliação de melhores práticas em segurança.
3 – Runtime Behavior Analysis – Avaliação de comportamento em real time.
4 – Common Vulnerabilities and Exposures – Avaliação de vulnerabilidades comuns (CVE).
5 – CIS – Operating System Security Configuration Benchmarks – Avaliação de conformidades de segurança baseado na comunidade internacional de segurança.

O funcionamento do Inspector é bem simples, basicamente é preciso seguir apenas alguns passos para começar a sua utilização.

Primeiro você precisa selecionar os target groups, isto é, quais instâncias ou qual instância EC2 vai ser o alvo do Inspector. Essa seleção é baseada em Tags que a instância deve, dessa forma o Inspector sabe diferências as instâncias que devem ou não receber a verificação de segurança do Inspector. Então, vocẽ poderia por exemplo ter 50 servidores EC2 em seu ambiente, mas você quer utilizar o Inspector apenas em duas instâncias, então deverá inserir uma Tag apenas nessas instâncias que você quer fazer o scanner com o Inspector.

Painel do EC2 para inserir Tags em sua instance.

Feito isso, na tela inicial do Inspector é preciso selecionar o target group, depois o Template de verificação e finalmente iniciar ou agendar os scanners.

O Template é onde você seleciona todos os modelos de verificação (dos 5 que falei anteriormente) ou apenas alguns modelos, por exemplo apenas a verificação de CVE ou apenas a verificação de boas práticas de hardening (CIS).

Atenção especial nesta parte, pois logo abaixo do campo onde fazemos a inclusão do nome do queremos atribuir para o Template, temos a opção de incluir todas as nossas instâncias, caso queria fazer isso basta apenas marcar as instâncias, caso não, deixe desmarcado.

O Inspector precisa de um agente instalado, essa instalação é bem simples e se suas instâncias forem Amazon Linux, o Inspector vai conseguir fazer a instalação de forma remota e sem qualquer dificuldades, isso quer dizer que basicamente você não vai precisar entrar diretamente nas suas instâncias para fazer a instalação. Você também poderá utilizar a opção de executar comandos remotos.

Para mais detalhes, segue o link da documentação da AWS aqui.

Outro detalhe igualmente importante é a última opção também relacionada com a instalação do agente do Inspector, ele está perguntando se quer que a instalação seja executada em todas as instâncias marcadas pela Tag (feita anteriormente no EC2).

Após estas configurações, clique em Preview Targets para verificar quais alvos o Inspector já identificou.

O Agent Status está como desconhecido, pois o agente ainda não foi instalado na Instância.

Para executar sua instalação basta baixar o script e executado, instruções mais detalhadas você pode encontrar aqui.

Basicamente o comando é (wget ou curl):
wget https://inspector-agent.amazonaws.com/linux/latest/install
curl -O https://inspector-agent.amazonaws.com/linux/latest/install

Agora vamos fazer a configuração de Template para os alvos, em nosso exemplo vamos configurar as verificações de segurança para CVE e CIS.

As rules relacionadas com os tipos de verificação que queremos fazer.

Após essas configurações basta clicar em Create and Run ou apenas em Create e rodar o scanner em algum outro momento.

Após o scanner ser finalizado, um report é gerado e fica a disposição para Download. Também podemos verificar as vulnerabilidades encontradas em Findings com possibilidade de filtro pela criticidade.

Cada vulnerabilidade encontrada conta com uma descrição, links e recomendações de como fazer suas correções.

Sharing is caring!