AWS扫描引擎

AWS Scan Engine Amazon Machine Image (AMI)允许您了解和管理与动态EC2资产相关的风险。控件可以轻松添加一个或多个扫描引擎Rapid7扫描引擎在AWS市场上市。

一旦你创建了一个AWS动态发现连接,安全控制台使用AWS API提取EC2实例列表。引擎使用端口扫描、服务检测以及未经验证和验证的检查组合来扫描这些实例以查找漏洞。

依赖关系

  • 在部署扫描引擎之前,您必须部署并许可安全控制台
  • 要使用AWS扫描引擎,必须配置动态发现连接使用您要扫描的AWS帐户。创建动态发现连接时必须指定要使用的扫描引擎,因此在开始配置发现连接之前,请确保首先部署AWS扫描引擎。
  • 启动AWS扫描引擎时,必须将引擎与安全控制台配对。AWS扫描引擎没有用户可访问的界面,因此在启动AMI时必须向引擎提供控制台信息。这是使用EC2用户数据完成的。
  • 安全控制台必须允许访问TCP端口40815以从扫描引擎接收数据。
  • 扫描引擎不需要允许新的入站连接,但它必须能够在安全控制台上建立到端口40815的出站通信。
  • 要获得准确的扫描结果,请EC2安全组扫描引擎使用的端口应允许通过其专用IP地址与所有端口上的所有目标(如要扫描的EC2实例)进行未经过滤的通信。类似地,所有目标资产必须属于允许扫描引擎的安全组通过其专用IP地址与所有端口上的资产通信的一个或多个安全组。如果使用CloudFormation模板部署扫描引擎,则可以选择让CloudFormation自动为扫描引擎和目标创建正确配置的安全组。安全组的设置将在安装说明中进行更详细的讨论。

已知约束条件

  • AWS Marketplace上提供的扫描引擎设计为仅扫描已更新的资产由动态发现检测.这样做是为了确保您符合AWS渗透测试政策并且不会无意中扫描您不拥有的资产。
  • 为了让AWS中的扫描引擎跨多个VPC进行扫描,您必须将VPC配置为允许流量在它们之间流动。您可以使用几个选项来实现这一点,包括VPC凝视交通网关. VPC对等往往是最安全的选择,但您需要确定适合您具体情况的最佳方法。与内部部署网络防火墙一样,如果您不想促进专有网络之间的通信,则需要在每个专有网络中安装扫描引擎。你也可以考虑一种不同的评估方法,比如嵌入必威体育app登录在所有EC2实例上。
  • 安全控制台不会扫描一些较小的EC2实例(例如m1.small或t1.micro)。这些实例可能会出现在动态发现结果中,但不会被扫描。

安装、配置和使用

请参阅以下步骤以在您的环境中部署AWS扫描引擎。

准备安全控制台和AWS环境

  1. 安全控制台需要在端口40815上接受来自扫描引擎的传入连接。
    • 如果您的Security Console托管在EC2实例上的AWS中,请修改实例的安全组以允许此操作。
    • 如果您的安全控制台托管在另一个环境中(例如内部部署),请修改防火墙和任何其他适用的安全系统,以允许适当的传入连接。
  2. 手头有您的安全控制台IP地址或主机名。您需要在下一节中参考此信息。
  3. 在安全控制台中生成共享秘密。要生成共享秘密,请导航到管理>扫描选项>引擎>管理. 在页面底部生成新的共享机密。
    • 请注意,共享机密仅在60分钟内有效,因此,如果您现在生成一个,请计划在该时间范围内完成部署。如果愿意,您可以稍后跳过此步骤,并在需要时返回安全控制台生成共享密钥。

访问AWS市场上的Rapid7 AWS扫描引擎

现在,您的安全控制台和AWS环境已经准备就绪,可以安装扫描引擎了。

  1. 登录到您想安装扫描引擎的AWS帐户。

AWS权限要求

请注意,只有具有特定权限的AWS用户才能从AWS市场部署资产。如果您在部署过程中的任何时候收到关于“缺少权限”的错误,请与具有AWS帐户管理员访问权限的人员联系,并请求正确的权限。

  1. Rapid7 AWS扫描引擎列表在AWS市场。
  2. 点击继续订阅在页面的右上角,单击继续配置
  3. 在“履行选项”下,我们建议选择云形成模板因为它会自动设置扫描引擎以及所需的EC2安全组。如果您希望自己配置这些,请选择Amazon Machine Image
  4. 无论您选择哪个选项,您还需要选择软件版本(我们总是推荐最新版本)和您的扫描引擎应该运行的区域。完成这些选择后,单击继续推出在右上角。

两者云形成模板Amazon Machine Image以下章节详细介绍了程序。

使用Marketplace CloudFormation模板部署AWS扫描引擎

这个过程详细说明了CloudFormation Template的部署方法前一节

  1. 在“选择操作”下拉列表下,选择发射云层,然后单击发射. 扫描引擎模板将在CloudInformation中打开。第一次出现的页面上不需要配置,因此单击下一个
  2. 输入堆栈的名称。
  3. 在实例类型下拉列表中,您可以更改扫描引擎将运行的EC2实例的类型。默认选择适用于大多数情况。
  4. 无需更改根磁盘的默认大小(100GB),但如果需要,可以使用根卷大小字段进行调整。
  5. 选择希望扫描引擎所在的VPC和子网。确保选择所选VPC内的子网。
  6. 在“为您的扫描引擎分配公共IP地址”字段中,选择如果扫描引擎需要公共IP地址才能连接到InsightVM安全控制台。如果扫描引擎与安全控制台位于同一VPC上,则不需要这样做。
  7. 选择是否让堆栈创建新的EC2安全组。
    • 挑选将为扫描引擎创建一个安全组,为要扫描的EC2实例创建另一个安全组。如果您以前没有在AWS帐户中设置Rapid7扫描引擎,建议您选择
    • 如果以前创建过支持Rapid7扫描引擎的安全组,则可以选择没有. 在这种情况下,您需要将希望新扫描引擎使用的安全组ID粘贴到现有扫描引擎安全组ID字段中。
  8. 如果您在AWS中运行InsightVM安全控制台,并且必须将“创建新安全组”字段设置为,则还必须将“添加入口到控制台安全组”字段设置为并在Console Security group to Update字段中输入安全控制台的安全组ID。这将指示CloudFormation模板更新安全控制台的安全组,以便扫描引擎可以访问它。
  9. 在“安全控制台主机”字段中,如果没有托管在AWS中,请指定您的安全控制台的IP地址。如果您的控制台托管在AWS中,导航到EC2,找到运行控制台的EC2实例,并复制实例的私有DNS或私有IP地址。将此地址粘贴到安全控制台主机字段。
  10. 在安全控制台机密字段中输入生成的安全控制台共享机密。如果您尚未生成共享机密,或者您生成机密已经超过60分钟,在继续之前生成一个新的
  11. 点击下一个
  12. 根据组织的AWS最佳实践,将标签等可选项应用到堆栈中。点击下一个
  13. 查看堆栈详细信息并单击创建堆栈在这一页的底部。这个创建并完成状态表示已成功创建堆栈。
  14. 部署后,扫描引擎与安全控制台配对可能需要15分钟。通过检查列出的扫描引擎来验证此配对管理>扫描选项>引擎>管理

在尝试使用新的扫描引擎之前,请确保要扫描的资产是扫描引擎可以访问的安全组的成员。如果您选择让CloudFormation模板为您创建新的安全组,请将您的目标资产添加到新创建的安全组中扫描目标安全组。否则,请确保将所有目标资产添加到安全组,该安全组允许来自包含新扫描引擎的安全组的所有端口上的所有通信。检查亚马逊网络服务文章提供了有关此过程的更多信息。

在验证所有内容都在正确的安全组中之后,在尝试运行扫描之前,请确保设置了Dynamic Discovery。看到浏览和回顾请参阅下面的部分以了解更多详细信息。

使用市场AMI部署AWS扫描引擎

这个过程详细说明了从第4步开始的市场AMI部署方法前一节

  1. 在“选择操作”下拉列表下,选择通过EC2发射
  2. 选择实例类型。Rapid7建议m5.5大或更高。着手配置实例详细信息
  3. 指定扫描引擎所在VPC和子网。
  4. 如果尚未在安全控制台中生成共享机密,请在其中生成。
    • 要生成共享秘密,请导航到管理>扫描选项>引擎>管理. 在页面底部生成新的共享机密。
  5. 扩大先进的细节并提供以下用户数据。更换支架中的部分{}有关安全控制台的信息:
         

          

           
          

         

          

           

            1.

           NEXPOSE_CONSOLE_HOST={控制台的主机名或ip}
          

          

           

            2.

           NEXPOSE_控制台_端口=40815
          

          

           

            3.

           NEXPOSE_CONSOLE_SECRET={先前生成的共享密钥}
  1. 着手添加存储. 设置根卷存储大小。Rapid7建议至少100GB。
  2. 着手添加标签.根据组织的最佳实践,添加Scan Engine EC2实例应该具有的任何标记。
  3. 着手配置安全组
    • 扫描引擎的安全组应该没有阻止通过网络进行所有远程访问的入站进入规则。扫描引擎的出站规则应该允许端口40815上的出站TCP访问,以促进与安全控制台的通信。
    • 扫描引擎的安全组还应允许对安全组的所有协议和端口进行出站访问,或对控制要扫描的资产访问的组进行出站访问。
    • 控制对被扫描资产的访问的一个或多个安全组也必须允许从Scan Engine的安全组进入所有协议和端口。检查亚马逊网络服务文章提供了有关此过程的更多信息。
  4. 着手审查和启动. 启动实例。
  5. 部署后,扫描引擎与安全控制台配对可能需要15分钟。通过检查列出的扫描引擎来验证此配对管理>扫描选项>引擎>管理

浏览和回顾

设置AWS扫描引擎后,可以开始使用它扫描AWS资产。完成以下过程以配置所需的站点和动态发现连接:

  1. 在InsightVM安全控制台中,展开左上角的“创建”下拉列表,然后单击地点
  2. 给你的新网站起个名字。
  3. 通过指定符合您需要的扫描凭据、扫描模板和时间表来完成站点配置,但不要在服务器上配置任何内容资产标签。
    • 您的动态发现连接将管理扫描哪些资产,因此暂时将此选项卡上的字段留空。
  4. 保存网站,但不要扫描它。
  5. 创建一个新的AWS资产同步发现连接. 在“连接配置”页面的“使用设置”部分,选择刚创建的站点。
  6. 完成其余的发现连接配置点击保存

故障排除

如果在部署过程中遇到问题,请参阅以下故障排除解决方案。

访问扫描引擎日志

虽然AWS扫描引擎不允许交互式登录,但您可以检查AWS系统日志,查看与您提供的用户数据相关的错误。按照以下步骤在AWS控制台查看此日志:

  1. 导航到EC2控制台。
  2. 查看实例并选择先前创建的扫描引擎。
  3. 点击操作>实例设置>获取系统日志
  4. 查找以开头的邮件双轴式发动机

如果您的安全控制台在AWS中,请检查控制台的安全组是否允许从端口40815上的引擎进行访问。验证Scan Engine的安全组是否允许出站访问端口40815上的控制台安全组。

如果安全控制台不在AWS中,请验证引擎的安全组是否允许出站访问控制台位于端口40815上的位置。

您的AWS扫描引擎已准备就绪!

您现在应该在AWS环境中部署了一个扫描引擎,以便与动态发现连接一起使用。