Amazon Inspector의 "Network Reachability"규칙 패키지

오랜만에 새로운 규칙 패키지(Network Reachability -1.1)가 발매됐다.

캐릭터로는 그런 것 같아요.직역입니다.
EC2 실례가 인터넷, 가상 개인 인터페이스, AWS Direct Connect, 또는 대등 VPC 등 외부 네트워크에서 도착할 수 있는지 판단하기 위해 Amazon 가상 개인 클라우드(Amazon VPC) 네트워크 구조를 분석한다.외부 호스트 액세스 가능성을 알리는 것이다.이는 보안 그룹, 네트워크 액세스 제어 목록(ACL), 루트 테이블, 인터넷 게이트웨이(IGW) 등 모든 네트워크 구성을 취합 분석해 도달 가능성을 추정한 것이다.VPC 네트워크를 통해 그룹을 전송하거나 EC2 인스턴스 네트워크 포트에 연결을 시도할 필요가 없습니다.무분조 네트워크 매핑이나 수사 같은 거!

사전 준비

테스트 실례 2280 포트 열기
Inspector 에이전트를 테스트용 EC2 인스턴스에 미리 추가
※ 에이전트가 없으면 SSM의 런커맨드(Amazon Inspector-Manage AWSAgent) 등을 사용해 간단하게 설치할 수 있습니다.
공식 설치 절차는 여기 있습니다.

Inspector 구성

채점 대상 작성

다음 값을 입력합니다[만들기]
이름:test-target1
UseTag:Inspector/true(태그는 필요에 따라 추가됨. 지정한 태그만 검색 대상임)
※ Install Agent: 이 옵션을 선택하면 SSM을 사용하여 에이전트를 설치합니다.SSM 에이전트에 가입해야 합니다.참고로 Amazon Linux는 처음부터 있었어요.

채점 템플릿 만들기

이번에 추가된 신규 패키지 "Network Reachability -1.1"

다음 값을 입력합니다[만들기]
이름:test-template1
대상 이름:test-target1
규칙 패키지: Network Reachability -1.1
소요 시간: 15분

실행

만든 템플릿을 선택하고 [실행]을 클릭합니다.

분석 중이라 15분을 기다려야 해요.

결실

15분 후에 분석이 끝납니다.

이번에 4가지 결과가 나왔어요.

결과는 어떻게 보십니까?

맨 밑에 "Informational"을 열면 이런 느낌이에요.
결과:
외부 네트워크와의 연결성(Aggregate network exposure): 실례 i-xxx에서 ENI eni-yy와 보안 그룹 sg-zz를 통해 인터넷에서 포트에 접근할 수 있습니다
중요도: 알림
설명: 실례 i-xxx에서 ENI eni-yyy와 보안 그룹 sg-zz는 인터넷에서 tcp 포트[22-22], [80-80] 및 UDP 포트[]에 접근할 수 있다.ENI eni-yy는 액세스 제어 목록 acl-aa가 있는 VPC vpc-bb에 있습니다.이 포트들은 인터넷 게이트웨이 igw-ccc를 통해 인터넷을 통해 접근할 수 있다.
추천사항: 보안 그룹 sg-zz를 편집하여 인터넷에서 온 접근을 삭제할 수 있습니다
"Show Detail"을 열면 JSON에서 평가받은 상세정보를 볼 수 있습니다.

또 다른'인포메이션'은 실례가 있는 VPC에 VPC 피어가 연결되어 있기 때문에 VPC 피어를 통해 다른 VPC에 연결되는 통신 경로라는 정보가 있다.
설명 섹션만
설명: 실례 i-xxx에서 ENI eni-yy와 보안 그룹 sg-zz는 대등한 VPC에서 tcp 포트[22-22], [80-80]와udp ports[]에 접근할 수 있습니다.ENI eni-yy는 액세스 제어 목록 acl-aa가 있는 VPC vpc-bb에 있습니다.이러한 포트는 pcx-CC를 통해 피어 VPC에서 VPC로 연결 가능
맨 위에 "Medium"
결과: 실례 i-xxxx에서 프로세스'sshd'는'SSH'와 관련된 TCP 포트 22에서 들을 수 있고 인터넷에서 도착할 수 있다.
중요도: 중간
설명: 이 실례와 SSH가 연결된 tcp 포트 22는 탐지 포트의 과정을 통해 인터넷에서 도착할 수 있습니다.프로세스에는/usr/sbin/sshd를 사용하는'sshd'(프로세스 ID 28600) 이름이 있습니다.실례 i-xxx는 VPC vpc-bb에 위치하고 네트워크 ACL acl-aa를 사용하는 ENI eni-yy를 연결합니다.이 포트는 보안 그룹 sg-zz와 IGW igw-cccc를 통해 인터넷에 액세스할 수 있습니다.
추천 사항
보안 그룹 sg-zz를 편집하여 포트 22에서 인터넷 액세스 삭제

Reference

이 문제에 관하여(Amazon Inspector의 "Network Reachability"규칙 패키지), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/pioho07/items/6208ba53ae025a44cd18

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다