Amazon Inspector란 무엇입니까?

(대충...)
EC2 설치 에이전트에 대한 평가 템플릿 정의(실행 및 진단 내용 등)
한 번 혹은 두 번 모두 진단할 수 있는 서비스입니다.

공식 사이트

FAQ

（抜粋）
Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを
向上させるための、自動化されたセキュリティ評価サービスです。

Network Assesments란 무엇입니까?

(이렇게...)인터넷 진단을 가리킨다.
공식 사이트
공식 문서

（抜粋）
Amazon Inspector now offers agentless network assessments 
with the ‘Network Reachability’ rules package that identifies ports 
and services on your Amazon EC2 instances that are accessible from outside your VPC. 
With just a few clicks in the Inspector console, 
you can analyze the network configuration of your AWS account to identify the resources accessible from the internet or private networks like VPN, 
Direct Connect, or a peered VPC. 

할 수 있는 일

에이전트가 없어도 (에이전트가 더 자세히 진단할 수 있지만) 진단할 수 있다

외부 참조에서 진단 가능한 네트워크 설정

ELB의 수하에서 개인의 EC2도 진단할 수 있다

Amazon EC2-Classic networks는 지원되지 않음

진단 대상 요소

Amazon EC2 instances

Application Load Balancers

Direct Connect

Elastic Load Balancers

Elastic Network Interfaces

Internet Gateways (IGWs)

Network Access Control Lists (ACLs)

Route Tables

Security Groups (SGs)

Subnets

Virtual Private Clouds (VPCs)

Virtual Private Gateways (VGWs)

VPC peering connections

진단 종류는 3가지(번역에 자신이 없음...)

RecongnizedPort: well-known port의 대표적인 포트 확인(프록시가 없어도 가능)

Un r ecognizedPortWithListener: 위 외에도 EC2에서 들을 수 있는 포트

네트워크 Exposure: 네트워크 주변 정보

차리다

프로비저닝

다음 환경에서 실행합니다.

자원 및 역할

리소스
서브넷(외부 연결)
Inspector 에이전트
보안 그룹
용도
설치하다.
ELB
public(가능)
없음
elb
웹 서비스의 선행 이미지
EC2
privete (불가)
없음
elbback
웹 서버 이미지
apache
EC2
public(가능)
있다
Inspector
대리가 있다
apache,mysql,dovecot
EC2
public(가능)
없음
Inspector
에이전트 없음
apache,mysql,dovecot
EC2
privete (불가)
없음
Inspector
진단할 수 없는 비전

보안 그룹

port
sg:elb
sg:elbback
sg:Inspector
TCP(21)
-
-
From(0.0.0.0/0)
TCP(22)
From(0.0.0.0/0)
From(sg:elb)
From(0.0.0.0/0)
TCP(80)
From(0.0.0.0/0)
From(sg:elb)
From(0.0.0.0/0)
TCP(110)
-
-
From(0.0.0.0/0)
TCP(443)
-
From(0.0.0.0/0)
From(0.0.0.0/0)
TCP(3306)
-
-
From(sg:Inspector)
All 비즈니스
-
From(sg:elbback)
-

해봤어요.

01. 진단의 종류

Network Assessments를 선택하고 Advanced setup

을 누릅니다.

02. 목표 제작

이번엔 "All instances", 전체 EC2 대상

에이전트가 없는 EC2에서도 수행하고 싶으므로 "Install Agents"

를 취소합니다.

03. 템플릿 제작

이름: 임의의 템플릿 이름

규칙 패키지: 여기에 추가된 "Network Reachability -1.1"

을 선택하십시오

소요 시간: 대수에 따라 1시간(추천)만 있으면 된다(신중을 기하기 위해 8시간으로 집행했고 이후 1시간 집행도 마찬가지)

Assesment Events: 이번에는 스케줄을 수행할 필요가 없기 때문에 검사를 취소합니다

04. 미리 보기

확인 후 "제작"

05. 실행 확인

"Status"에서 데이터를 가져오는 중(이후 분석, 완료)

결실

01. 실행 결과

상태: 분석 완료

결과: 검사 건수 표시

02. 일람표

High/Medium/Low/Informational별로 분류

03. 세부내용

결과/심각도/설명/추천사항 등

다음은 High의 보고서입니다. "TCP Port21"은 인터넷에서 액세스할 수 있는 상황

입니다.

"Show Detail"을 선택한 후 JSON으로 데이터를 표시

총결산

01. 외부에서 연결할 수 없는 EC2는 개체 외부에 있지 않습니다.

안전팀이 아무리 허가를 받아도 연결할 수 없기 때문에 진단 대상에서 제외

결과 열에 해당 인스턴스가 없습니다.

동일한 AMI, 동일한 보안 그룹이므로 실행하면 아무것도 찾을 수 없음

02. 외부에서 직접 연결할 수 없는 경우에도 ELB를 통해 외부에서 연결된 EC2를 통해 진단 가능

결과 열에서 해당 인스턴스 ID를 읽어들여 성공했습니다

감지 컨텐트는 외부에서 연결할 수 있는 컨텐트로만 제한

EC2는 개인 서브넷이기 때문에 권한을 부여받은 TCP(443)는 통신할 수 없다.

port
sg:elb
sg:elbback
TCP(22)
From(0.0.0.0/0)
From(sg:elb)
TCP(80)
From(0.0.0.0/0)
From(sg:elb)
TCP(443)
-
From(0.0.0.0/0)
All 비즈니스
-
From(sg:elbback)

03. 프록시 세부 정보 표시

외부 연결 가능한 EC2 및 EC2에 POP3(110)을 설치하고 "U n recogized PortWithListener"로 에이전트만 감지

　

에이전트는 테스트된 포트에 사용되는 프로세스를 설명합니다

.

04. 보안 그룹이 허용하지만 서버에서 처리를 중지하는 경우...

검사 대상에서 제외(검사 수는 14->13).멈췄던 더비코트가 사라졌어.

05. 모든 업무를 허락한다면...

"RecongnizedPort"는 과정 사활과 무관하게 검출되기 때문에 대량으로 검출된다

이런 결과가 나왔을 때 곧 알게 될 거야...

비교적 실행하기 쉬워 대리가 없어도 어느 정도 확인할 수 있다.
계속 시행, 발매 전 시행 등에서 활약하지 않을까 생각한다.