Cloud e sicurezza, gestire le vulnerabilità in modo automatico con AWS
Avere un servizio in grado di scoprire e scansionare immediatamente i carichi di lavoro Amazon Web Services alla ricerca di vulnerabilità del software ed esposizione involontaria della rete con un solo clic. Se stavate pensando che è letteralmente impossibile vi state sbagliando di grosso. Si chiama Amazon Inspector ed è un servizio di AWS che le organizzazioni di tutte le dimensioni utilizzano per automatizzare la valutazione e la gestione della sicurezza su scala, al fine di migliorare la protezione e la conformità delle applicazioni.
Introdotto originariamente nel 2015, Amazon Inspector ha semplificato lo sforzo di implementazione di un meccanismo di rilevamento sia per i sistemi operativi che per le applicazioni su istanze EC2 e immagini di container che risiedono in Amazon Elastic Container Registry (Amazon ECR). Amazon Inspector valuta automaticamente le vulnerabilità e le deviazioni dalle best practice. Fornisce un rapporto dettagliato che include i passaggi per la riparazione dopo l’esecuzione di ciascuna valutazione.
Da poco ci è stato presentato un nuovo Amazon Inspector che sostituisce quello che ora viene chiamato Amazon Inspector Classic. Esistono differenze significative tra i due, principalmente legate all’automazione, all’integrazione con altri servizi AWS e alle prestazioni quasi in tempo reale. Amazon Inspector è ora disponibile in 19 regioni globali. Puoi scansionare il tuo ambiente per trovare le vulnerabilità con una prova gratuita di 15 giorni.
Ma cosa fa nello specifico? Andiamo a capirlo insieme.
Il primo miglioramento significativo per Amazon Inspector è che utilizza l’agente Systems Manager. La versione precedente utilizzava il proprio agente dedicato. L’unione degli agenti semplifica il provisioning e migliora le prestazioni. L’agente di gestione del sistema viene installato automaticamente sulla maggior parte delle AMI Amazon Linux e AWS Windows. Questo agente è disponibile su GitHub ed è open source.
La cosa veramente importante è che l‘unione degli agenti consente ad Amazon Inspector di integrarsi con altri servizi e gestori di sistemi, consentendoti di monitorare la rete, il file system e l’attività di processo.
In più controlla il sistema operativo e tutte le applicazioni installate. Include una base di conoscenza con centinaia di regole sugli standard di conformità della sicurezza e sulle definizioni delle vulnerabilità. Fornisce il controllo dei punteggi di gravità con le metriche di sicurezza che compongono il National Vulnerability Database (ndr NVD) e li adatta al tuo ambiente. Il punteggio è in formato CVSS ed è compatibile con il punteggio del Common Vulnerability Scoring System fornito sempre dal National Vulnerability Database. È sempre possibile verificare se sul tuo parco istanze sono installate versioni di software vulnerabili ed eseguire le misure di mitigazione richieste. Se si attenua un risultato, Inspector rileva la correzione e chiude il risultato.
Sono tanti i giganti del web che si affidano a questa funzionalità. A partire da Uber, l’azienda di San Francisco che fornisce il servizio di trasporto automobilistico privato più smart che ci sia. “Il nuovo Amazon Inspector – ha dichiarato Oliver Szimmetat, Security Engineering Manager – ha semplificato l’adozione di una soluzione di gestione delle vulnerabilità nel Cloud per le nostre diverse istanze AWS. Sfruttando i nostri agenti Systems Manager già in uso con Inspector, abbiamo automatizzato la riparazione continua e semplificato le operazioni con onboarding con un clic, controlli centralizzati e visibilità operativa. Inoltre, la capacità di attivazione automatica di Inspector identifica le patch consigliate quasi in tempo reale. Dopo l’applicazione delle patch, Inspector riesamina automaticamente le istanze, verificando che non siano state introdotte nuove vulnerabilità. L’uso di Inspector ha ridotto drasticamente il tempo medio di riparazione per Uber”.
