Yeni Amazon Inspector ile Bulut İş Yükleri için İyileştirilmiş, Otomatikleştirilmiş Güvenlik Açığı Yönetimi

Orijinal makale: Link (Steve Roberts, Senior Developer Advocate)

30 Kasım 2021’de güncellendi: Lansman ortağı blog bağlantıları eklendi.

Amazon Inspector, her ölçekteki kuruluş tarafından güvenlik değerlendirmesi ve yönetimini geniş ölçekte otomatikleştirmek için kullanılan bir hizmettir. Amazon Inspector, kuruluşların AWS‘e dağıtılan iş yükleri için güvenlik ve uyumluluk gereksinimlerini karşılamalarına, istenmeyen ağa maruz kalma, yazılım açıkları ve uygulama güvenliği en iyi uygulamalarından sapmalar için tarama yapmalarına yardımcı olur.

Amazon Inspector’ın 2015 yılında piyasaya sürülmesinden bu yana, bulut müşterileri için güvenlik açığı yönetimi önemli ölçüde değişti. Son altı yılda ekip, değerlendirme raporlaması, proxy ortamları için destek ve Amazon CloudWatch Metrics ile entegrasyon dahil olmak üzere müşteri tarafından talep edilen birkaç yeni özellik sağladı. Bununla birlikte ekip, karşılanması gereken yeni gereksinimlerin olduğunu da fark etti: Ölçekte sorunsuz dağıtım, değerlendirme gerektiren genişletilmiş bir dizi kaynak türü için destek ve hızlı bir şekilde algılama ve düzeltme için kritik bir ihtiyaç. Bugün, aşağıdaki özelliklerle bu gereksinimleri karşılayabilen yeni bir Amazon Inspector’ı duyurmaktan mutluluk duyuyorum:

• Sürekli, otomatik değerlendirme taramaları—periyodik, manuel taramanın yerini alır.
• Otomatik kaynak keşfi—bir kez etkinleştirildiğinde, yeni Amazon Inspector, çalışan tüm Amazon Elastic Compute Cloud (Amazon EC2) bulut sunucularını ve Amazon Elastic Container Registry havuzlarını otomatik olarak keşfeder.
• Konteyner tabanlı iş yükleri için yeni destek—iş yükleri artık hem EC2 hem de konteyner altyapısında değerlendiriliyor.
• AWS Organizations ile entegrasyon—güvenlik ve uyumluluk ekiplerinin bir kuruluştaki tüm hesaplarda Amazon Inspector’ı etkinleştirmesine ve bundan yararlanmasına olanak tanır.
• Bağımsız Amazon Inspector tarama aracısının kaldırılması—değerlendirme taraması artık geniş çapta dağıtılan AWS Systems Manager aracısını kullanır ve ayrı bir aracı yüklemesi ihtiyacını ortadan kaldırır.
• İyileştirilmiş risk puanlaması—Artık, Ortak Güvenlik Açığı ve Etkilenmeler (Common Vulnerability and Exposures – CVE) meta verileri ile ağ erişilebilirliği gibi kaynaklar için çevresel faktörler arasında ilişki kurularak her bulgu için yüksek düzeyde bağlamsallaştırılmış bir risk puanı oluşturulmaktadır. Bu, öncelikli olarak ele alınacak en kritik güvenlik açıklarını belirlemeyi kolaylaştırır.
• Amazon EventBridge ile entegrasyon—Splunk ve Jira gibi olay yönetimi ve iş akışı sistemleriyle entegre edin. Ayrıca, Systems Manager kullanarak sistem düzeltme eki uygulama veya EC2 Image Builder kullanarak sanal makine görüntüsü yeniden oluşturma gibi otomatik düzeltmeyi tetikleyebilirsiniz.
• AWS Security Hub ile entegrasyon—ekiplerinizin kritik güvenlik açıklarına sahip kaynakları veya en iyi güvenlik uygulamalarından sapmaları daha kolay tanımlamasına yardımcı olur.

Amazon Inspector ile İş Yüklerinizi Otomatik Olarak Değerlendirme
On binlerce güvenlik açığı var, yenileri keşfediliyor ve düzenli olarak halka açılıyor. Sürekli büyüyen bu tehditle birlikte manuel değerlendirme, müşterilerin bir riskten habersiz olmasına ve dolayısıyla değerlendirmeler arasında potansiyel olarak savunmasız kalmasına neden olabilir. Ek olarak, uygulama kaynakları envanterlerini yönetmek için manuel süreçlere, bu kaynaklar üzerinde bağımsız güvenlik aracılarının devreye alınmasına ve periyodik değerlendirmelerin zamanlamasına sahip müşteriler, tüm süreci maliyetli ve zaman alıcı bir uygulama olarak görebilir. Bu, ele alınacak en kritik sorunları belirlemek için değerlendirme bulgularını gözden geçirmeden öncedir.

Yeni Amazon Inspector ile tek yapmanız gereken hizmeti etkinleştirmek. Temel kaynaklar değişse bile güvenlik duruşunuzu değerlendirmek için EC2’nuzu ve Amazon Elastic Container Registry tabanlı konteyner iş yüklerinizi otomatik olarak keşfedecek ve sürekli değerlendirmeye başlayacaktır.

EC2 bulut sunucuları, bulut sunucusu yönetimi, otomatik yama ve daha fazlası için AWS tarafından sağlanan görüntülerde varsayılan olarak bulunan Systems Manager aracısı kullanılarak harici ağlara ve yazılım güvenlik açıklarına istenmeyen şekilde maruz kalma açısından keşfedilir ve değerlendirilir. Konteyner tabanlı iş yükleri, görüntüler Amazon Elastic Container Registry’e gönderilirken değerlendirilir. Ek yazılım veya aracılara ihtiyaç duymadan, bir olay meydana geldiğinde konteyner görüntüleri ve EC2 bulut sunucuları neredeyse gerçek zamanlı olarak değerlendirilir.

Otomatik değerlendirme, kaynakların yalnızca gerektiğinde değerlendirilmesini sağlamak için iş yükü yapılandırmasındaki değişiklikler ve yeni yayınlanan güvenlik açıkları tarafından yönlendirilir. Yeni Amazon Inspector, CVE, Ulusal Güvenlik Açığı Veritabanı (National Vulnerability Database – NVD) ve MITRE dahil olmak üzere 50’den fazla güvenlik açığı istihbarat kaynağından olaylar toplar. Yeni tanımlanan bir girişten, örneğin yeni bir CVE bildiriminden etkilenebilecek resimler otomatik olarak yeniden taranacaktır. Görüntü yeniden tarama, kayıt defterine gönderildikleri tarihten itibaren 30 gün boyunca etkinleştirilir. Ayrıca, yalnızca görüntü anında tarama ve ardından yeniden tarama yapmama seçeneğini etkinleştirebilirsiniz.

Dashboard sayfanızdan Accounts, Instances veya Repositories’i seçmek, sizi seçilen kaynak için ayrıntılı bir özete götürür. Aşağıda, birkaç hesaptaki EC2 bulut sunucularına ilişkin özet verileri görüntülüyorum.

Güvenlik açıkları bulunursa, bir raporda eyleme geçirilebilir değerlendirme bulguları alırsınız. Bugünden itibaren bu bulgular, ele alınması gereken en riskli kaynaklara öncelik vermenize yardımcı olmak için gelişmiş risk puanlaması ve iyileştirilmiş kaynak ayrıntılarıyla özetlenmiştir. Yine bugün yeni olan Amazon Inspector konsolu, düzeltme için tüm bulguları ve önerileri ortaya çıkarmak üzere yeniden tasarlandı.

Konteyner görüntülerindeki güvenlik açıkları, sahibi için özetlenmek üzere Amazon Elastic Container Registry’e de gönderilir. Ve daha önce belirttiğim gibi, AWS Security Hub ve Amazon EventBridge ile yeni entegrasyonlar, otomatik iş akışları tarafından ek görünürlük ve düzeltme için bulguların aşağı akışa gönderilmesine olanak tanır. Örneğin, sunucuları izole etmek, sistem yamasını tetiklemek, yazılım görüntüsü yeniden oluşturma ve daha fazlası için otomasyon oluşturulabilir. Birden çok tümleştirme noktasının kullanılabilirliği, güvenlik ve uygulama ekiplerinin iyileştirmeyi yönetmek için işbirliği yapmasını kolaylaştırır. Aşağıda, AWS Security Hub konsolunda Amazon Inspector’ın bulgularını görüntülüyorum.

Değerlendirmeler, eylem için en kritik olanı belirlemek için filtrelenmesi ve elenmesi gereken yüzbinlerce veya daha fazla bulguyla sonuçlanabilir. Bugün de kullanılabilir olarak, kuruluşlar, hangi bulguların kabul edilebilir olduğunu belirleyebilir ve bu bulguları geçici veya kalıcı olarak bastırmak için işaretleyebilir. Bu, uyarıların hacmini azaltmaya yardımcı olarak önceliklendirme ve otomatik düzeltmeye daha fazla yardımcı olur. Bastırma filtreleri birkaç ekrandan ayarlanabilir. Kurallar, Severity (Önem Derecesi) gibi filtrelerle eşleşen bulguların ekrandan kaldırılmasına neden olacak bir veya daha fazla filtre belirtir. Kuralları tanımlarken, gizlenecek bulguların bir listesi gösterilir ve filtre değerlerinin özel ihtiyaçlarınıza göre ince ayarını yapmanıza yardımcı olur.

Yeni Amazon Inspector’ın bulgular için bağlama dayalı bir risk değerlendirme puanı uyguladığından daha önce bahsetmiştim. Aşağıdaki ekran görüntüsü, genel bir Ortak Güvenlik Açığı Puanlama Sistemi (Common Vulnerability Scoring System – CVSS) puanına kıyasla Amazon Inspector’ın risk değerlendirme puanının bir örneğini göstermektedir. Bağlamsal risk değerlendirmesi, puanı daha anlamlı hale getirmek için internete erişilebilirlik ve kullanılabilirlik kolaylığı gibi ek faktörleri hesaba katar. Aşağıdaki resimde, saldırı vektörü ağ erişimi gerektirdiğinden Amazon Inspector’ın risk değerlendirme puanı CVSS puanından daha düşüktür. Amazon Inspector, GNOME Glib’de tanımlanan güvenlik açığından yararlanmanın zor olacağını biliyor çünkü bu kaynakta ağ erişimi yok ve bu nedenle risk puanını düşürdü.

Lansman İş Ortakları
Kullanım senaryolarını geliştirmek ve iş akışı desteklerini genişletmek için güvenlik açığı yönetimi için Amazon Inspector ile hızlı ve yaratıcı bir şekilde entegrasyonlar oluşturan lansman iş ortaklarımıza teşekkür ederiz. Aşağıdakiler için bu iş ortağı teklifleri hakkında daha fazla bilgi edinebilirsiniz:

• Rezilion ve Vulcan Cyber‘dan güvenlik açığı önceliklendirme çözümleri
• Axonius ve XM Cyber‘den saldırı yüzeyi yönetimi çözümleri
• Cavirin, Palo Alto Networks ve Wiz‘den bulut güvenlik yönetimi çözümleri
• IBM ve Sumo Logic‘ten güvenlik olayı ve olay yönetimi (SIEM) çözümleri
• FireEye, SentinelOne ve Sophos tarafından algılama ve yanıt çözümleri
• CloudHesive ve Deloitte tarafından yönetilen güvenlik hizmetleri

Amazon Inspector ile Ücretsiz Deneme Sürümünü Hemen Başlatın
Yeni Amazon Inspector US East (Ohio), US East (N. Virginia), US West (Oregon), Asia Pacific (Hong Kong), Asia Pacific (Mumbai), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), Canada (Central), Europe (Frankfurt), Europe (Ireland), Europe (London), Europe (Milan), Europe (Paris), Europe (Stockholm), Middle East (Bahrain) ve South America (São Paulo) bölgelerinde şimdi kullanılabilir durumdadır.

Amazon Inspector, 15 günlük ücretsiz bir deneme sürümü sunar, böylece Amazon Inspector’ın güvenlik ve uyumluluk ekiplerinizin kaynak envanterlerini, bağımsız güvenlik aracılarını ve tekrarlayan manuel değerlendirmeleri yönetmeyle ilişkili operasyonel karmaşıklığı ve maliyeti azaltmasına nasıl yardımcı olabileceğini görmek için çalıştırabilirsiniz.