AWS（亞馬遜網絡服務）提供了一個強大的云平臺來托管您的應用程序、基礎設施，但安全是您必須自己照顧的事情。攻擊者入侵 AWS 帳戶并出于他們的目的或只是為了好玩而濫用它的事件很多。我在 Quora 上看到這篇帖子，其中用戶的AWS 賬戶被黑并收到了 50,000 美元的賬單！

單個敏感信息泄露可能會讓您付出沉重代價并損害您的聲譽。那么，如何確保已采取所有必要步驟來保護 AWS 賬戶？您可以采取的一種方法是手動遵循行業安全準則，這既耗時又容易出現人為錯誤。或者您可以使用以下 SaaS（軟件即服務）來自動審計您的 AWS 平臺是否存在安全漏洞和錯誤配置。注意：以下漏洞掃描程序專門針對 AWS 云，不適用于網站或 Web 應用程序。讓我們探討一下我們有哪些選擇……更新：使用谷歌云平臺（GCP）？查看GCP 安全掃描器。

AWS配置

AWS Config是一個有效的工具，用于評估、評估、記錄、審計 AWS 環境中資源的配置。它簡化了安全分析、合規性審計、操作故障排除和變更管理。

主要特點包括

• 提供資源配置的持續監控、評估和記錄。
• 使您能夠發現資源，記錄 AWS 環境中的配置，并保留有關資源更改和刪除的重要信息。
• 根據預期值自動評估記錄的 AWS 資源配置。
• 通過確定最近導致問題的資源配置更改來快速解決操作問題。
• 通過跟蹤創建、更新和刪除的資源，同時通知您任何修改，支持變更管理流程。

闖入者

Intruder是一種現代漏洞掃描器，從第一天開始就設計用于與三大云提供商 AWS、GCP 和 Azure 無縫協作。它是企業就緒的，并提供了一個簡單的政府和銀行級安全掃描引擎。

Intruder 讓您輕松監控云系統、發現新資產并自動同步掃描目標，從而讓云安全變得輕而易舉。它持續觀察您暴露在 Internet 上的內容并發送有關重要更改的通知，例如開放端口和服務何時更改，如果不注意，可能會導致安全漏洞。

不過，與某些僅限云的漏洞掃描器不同，Intruder 還能夠無縫監控您的傳統邊緣網絡、Web 應用程序和內部環境，從而獲得一體化的輕松漏洞管理體驗。

其強大的安全檢查包括識別：

• 缺少補丁
• 配置錯誤
• Web 應用程序問題，例如 OWASP 前 10 名、SQL 注入和跨站點腳本
• 內容管理系統問題

Intruder 會主動掃描您的系統以查找新漏洞，保護您免受最新的威脅。這種主動行動對于沒有時間進行手動研究的忙碌團隊來說是必不可少的。

您可以免費試用 Intruder 30 天。

阿斯特拉滲透測試

Astra Pentest 的平臺為 AWS 提供由內而外的云安全審查服務，包括對您的 AWS 環境進行全面的漏洞掃描和手動滲透測試。Astra 提供 AWS 基礎設施的白盒和黑盒掃描。安全審查包括掃描您的 IAM 策略、EC2 實例和其他服務，如 S2、RDS、Lambda 等。

Astra 深入的 Pentest 確保您的整個基礎設施無懈可擊。您可以管理 Astra 平臺內的所有漏洞，使其成為您的唯一真實來源。Astra Pentest 的其他顯著特點是：

• Cloud Configuration Review?AWS 配置以系統地檢查任何漏洞并確保遵循最新的最佳安全實踐。
• 業務邏輯錯誤測試，用于評估 AWS 基礎設施對權限升級或繞過安全限制的敏感性。
• Scan Behind Logins使用 Astra 的 Chrome 擴展來掃描 AWS 上掛載的 Web 應用程序區域，以查找任何內部漏洞。
• 基于可操作風險評分、POC 視頻和上下文協作的基于??風險的漏洞管理，用于快速修補漏洞。
• PCI-DSS、ISO27001、HIPAA、GDPR、SOC2 等合規性掃描。
• 安全專家的滲透測試有超過 3500 個測試用例來幫助檢測漏洞。
• CI/CD Web 漏洞掃描器與 Slack、?Jira?、GitHub、GitLab 等的集成可用于從 DevOps 無縫過渡到 DevSecOps。
• 可操作的漏洞報告提供了廣泛的漏洞詳細信息、基于上下文數據的可操作風險評分以及便于修復的 CVSS 評分。
• 協作儀表板允許滲透測試團隊和開發團隊之間進行協作，以快速管理漏洞。
• 行業認可的Astra Pentest 證書可公開驗證并展示服務的可靠性。
• 24/7 專家客戶支持可在 24 小時內通過儀表板或支持團隊幫助解決客戶疑問。
• 提供?重新掃描以確保所有漏洞都已得到緩解。

在 Astra 提供的各種套餐中進行選擇，輕松滿足您的 AWS 安全要求！

云托管

Cloud Custodian是一個靈活的開源規則引擎，用于管理 AWS 云資源和賬戶以確保安全性和政策合規性。這使您能夠管理和優化 AWS 云環境的安全性、成本和監管。

Cloud Custodian 主要功能

• 提供實時合規檢查和違規報告。
• 它允許您通過管理未使用和非工作時間的資源來控制成本。
• 一種靈活的部署，允許您在本地或無服務器實例上運行該工具。
• 能夠在 AWS 云環境中管理用戶和執行安全策略
• 將多項功能整合到具有統一指標和報告的靈活、輕量級工具中。

徘徊者

Prowler是 AWS 賬戶的安全配置評估、審計和強化工具，還可以檢查是否符合CIS AWS Foundations安全標準。此外，該工具執行 100 多項額外檢查，包括 HIPAA、GRDR、取證準備、信任邊界等。

Prowler 命令行工具涵蓋了 Amazon 賬戶（如 Redshift、CloudFront、ElasticCache、Elasticsearch、API Gateway 等）的多種身份和訪問管理實踐、日志記錄、監控和其他安全評估活動。

強調

• 全面評估您的 AWS 賬戶的安全狀況
• 與其他工具集成，例如 Cloud Security Suite、Telegram 等。
• 并行檢查多個 AWS 賬戶
• 無需執行整個測試即可運行特定檢查
• 識別安全系統未涵蓋的資產。

云圖

Cloudmapper是一種開源工具，使您能夠分析和構建 AWS 環境中的資產、服務和其他組件的交互式可視化。通常，該工具允許開發人員檢查和了解他們構建的環境類型。它通過從您的 AWS 賬戶收集數據，然后將其轉換為瀏覽器可訪問的格式來實現這一點。

通常，Cloudmapper 以網絡圖的形式輸出 AWS 云環境的分析。視覺呈現使您能夠了解您的帳戶、它們與云資源的關系以及確定是否存在配置錯誤或其他問題。

這使您可以

• 查看 AWS 賬戶的復雜性、規模和服務的區域等。
• 建立可以在環境中與每個人通信的資源
• 執行安全審計，并輕松共享分析信息。
• 識別公開暴露的資源

云報告

來自 Tensult 的云報告是一個基于 node.js 的開源工具，用于收集和分析來自各種云組件的廣泛信息。該工具將調查結果與最佳實踐進行比較。然后，它會生成通常采用 HTML、CSV、JSON 或 PDF 格式的報告，以顯示運行的不同 AWS 服務以及您應該遵循的最佳實踐。這還包含已確定的問題及其對您的服務的影響。

HTML 報告通?？梢酝ㄟ^ Web 瀏覽器訪問，而 JSON、CSV 和 PDF 格式的報告存儲在文件夾中。其中每一個都有一個時間戳，以便在運行多次掃描時輕松識別和訪問。

AWS隱身

AWStealth是一種安全工具，工具團隊使用它來發現 AWS 云環境中擁有最高特權的實體。掃描結果顯示用戶擁有過多、危險或敏感的權限。這使安全團隊能夠識別他們需要適當保護免受潛在攻擊和利用的最高特權帳戶。具有敏感權限的典型 AWS 實體應該受到關注，包括直截了當的管理員和有風險的影子管理員。

因此，AWStealth 使安全團隊能夠防止影子管理員和其他特權帳戶漏洞引起的威脅。

Salesforce 政策哨兵

Policy sentry是一種 AWS IAM 權限管理工具。它有一個 IAM 最小權限策略生成器、一個審計機制和一個分析數據庫。該工具根據有關資源、操作和條件鍵的 AIM 文檔編譯數據庫表。然后它使用此數據創建 IAM 最小權限策略。

強調

• 簡化基于安全的 IAM 策略的編寫
• 限制安全漏洞的影響，因為使用用戶憑據訪問系統的攻擊者將只有最少的權限，無法執行管理任務。
• 自動輕松地創建安全的 IAM 策略，從而消除需要更高水平的技術專業知識的繁瑣的基于手動的測試。

科米澤

Komiser是一個全面的檢查和分析工具，可幫助您監控和控制 AWS 云平臺的費用。開源成本優化工具可以檢查云平臺并檢查各種配置和成本問題。這會發現任何隱藏的成本并為您提供建議以幫助您節省并保持在預算之內。

主要特征

• 它使您能夠從一處實時分析和管理 AWS 平臺的使用情況、成本、安全性和合規性。
• 為您提供您正在使用的所有服務的可見性
• 識別并解決 AWS 配置和環境中的漏洞以及合規性問題。
• 了解您的所有服務以及如何控制成本和最大化投資回報率。

外星人保險庫

Alien Vault USM（統一安全管理），AWS SIEM（安全信息和事件管理）解決方案的市場領導者之一。USM 是一個單一的安全監控平臺，可提供正在發生的事情的可見性，因此您可以完全控制 AWS 云并管理風險。

一些基本的內置功能是：

• S3 和 ELB 日志、CloudTrail、文件完整性、VPC 流的監控和警報
• 事件關聯
• 使用網絡、API、軟件和服務進行資產發現
• 網絡、云和基礎設施的漏洞掃描
• 云、網絡、主機的入侵檢測

Alien Vault 提供可操作的威脅情報，由 OTX（開放式威脅情報）提供支持。它適用于亞馬遜共享責任模型。在AWS 原生傳感器的幫助下?，您可以檢測何時提供可疑實例、新用戶、創建、修改安全組等。

CloudSploit

CloudSploit能夠通過自動安全掃描和配置監控來檢測 AWS 賬戶中的數百種威脅。

您可以在每個 AWS 區域使用 CloudSploit，它不僅提供掃描結果，還提供修復問題的建議。

CloudSploit 提供API，如果您希望在您的應用程序中集成安全掃描，這將非常有用。一件好事是您不需要在要監視的服務器上安裝任何代理。您可以免費開始使用它以進行無限制的按需掃描。如果您正在尋找自動掃描、尋找電子郵件、實時事件流等的風險，那么您必須為此付費。

高空

Skyhigh，為 AWS 基礎設施提供全面的安全監控、審計、合規性和修復。

Skyhigh 的一些基本特征是：

• 完整的用戶活動審計追蹤
• 檢測內部威脅、被盜帳戶
• 合規性、用戶權限和安全配置審計
• 執行數據丟失預防策略
• 云活動監控
• IAM、賬戶訪問、用戶行為分析
• 與 SIEM 和 IDM 集成
• 多層修復

它支持取證調查，并自動將威脅解決數據納入自學習，以提高檢測準確性。

質量

Qualys是網站漏洞掃描器平臺的行業領導者之一，網絡提供 AWS 云的全面可見性，以保護內部和外部策略并進行編譯。Qualys 提供了一個云代理，可以安裝在 EC2 上或從源頭安裝到 AMI 中，以實現自動化資產發現、分類、監控和漏洞修復。

ScoutSuite

ScoutSuite是一個基于 python 的開源工具，用于查看 AWS 環境的安全狀況。它獲取 CloudTrail、S3、AMI、EC2 等數據并以 HTML 格式報告。

風險項目自動分類并分別用紅色和黃色標記為危險和警告。

警報邏輯

使用Alert Logic Cloud Insight改善您的 AWS 安全狀況。Alert Logic 能夠針對90000 多個已知漏洞檢查全?；A設施，包括網絡、開源、企業軟件。

一些基本的警報邏輯關鍵功能是：

• 用于更快確定優先級的可視化拓撲圖
• 基于漏洞嚴重性的修復優先級
• 跟蹤改進趨勢
• 使用 RESTful API 輕松集成 SecOps 和 DevOps
• 無代理全面檢查

AWS 可信顧問

如果不提及AWS Trusted Advisor，該列表將是不完整的，這是一個通過遵循 AWS 最佳實踐來提高安全性和降低成本的實時指南。

結論

AWS 在核心基礎設施上提供安全性，但部署、配置是您的責任。我希望上面列出的 AWS 安全掃描解決方案可以幫助您保持AWS 云環境安全且具有成本效益。