AWS 组织中 Amazon Inspector 的压制规则最佳实践

关键要点

在这篇文章中，我们探讨了有效优先处理 AWS 组织中 Amazon Inspector 发现的方法，特别是通过压制规则和风险优先级排序来管理漏洞。这些最佳实践有助于提升漏洞管理的效率和效果。

漏洞管理是网络、应用和基础设施安全的重要组成部分，其目标是保护组织免受敏感数据和基础设施的意外访问和曝光。作为漏洞管理的一部分，组织通常会进行风险评估，以确定哪些漏洞最具风险，评估其对业务目标和整体战略的影响，并评估相关的监管要求。

在这篇文章中，我们将介绍如何使用机制在 AWS 组织中适当地优先处理漏洞。我们讨论了如何给资源打标签，以便在环境中实现基于风险的 Amazon Inspector 发现优先级排序，并分享了一些使用压制规则在 Amazon Inspector 中批量压制不那么重要发现的最佳实践。此外，我们也强调了创建持续漏洞管理文化的实践。

在 AWS 组织中进行漏洞管理

Amazon Inspector 是一个漏洞管理服务，能够持续扫描您的 AWS 工作负载，查找软件漏洞和意外的网络暴露。它自动发现并扫描运行中的 EC2 实例、Amazon ECR 中的容器镜像以及 AWS Lambda 函数。

当 Amazon Inspector 发现软件漏洞或意外网络暴露时，会生成一个 发现。发现描述了漏洞，识别了受影响的资源，评估了漏洞的严重性，并提供了修复建议。您可以在 Amazon Inspector 中创建 压制规则，以压制低优先级的发现，从而专注于更高优先级的发现。

AWS 组织中漏洞管理的最佳实践

我们建议您遵循本节中讨论的最佳实践，以简化在 AWS 组织中解决成千上万的漏洞发现的任务。

最佳实践 #1：设置委派管理员

您可以使用 Amazon Inspector 管理多个 AWS 账户的漏洞扫描。为此，AWS 组织管理账户需要指定一个账户作为 Amazon Inspector 的委派管理员账户。委派管理员账户对 Amazon Inspector 部署具有集中管理权限，这使得在 AWS 组织中管理多个账户的安全监控任务更加高效和有效。这些任务包括激活或停用成员账户的扫描、按 AWS 区域汇总发现、查看整个组织的汇总发现数据以及创建和管理压制规则。

Amazon Inspector 是一个区域服务，这意味着您必须在希望使用 Amazon Inspector 的每个 AWS 区域中指定委派管理员、添加成员账户并激活扫描类型。在设置委派管理员账户时，请注意以下因素：

委派管理员可以为组织中的账号创建和管理网络安全中心 (CIS) 扫描配置，但不包括成员账户创建的任何扫描配置。在多账户设置中，只有委派管理员能够设置整个组织的扫描模式配置。您可以使用 Amazon Inspector 针对整个组织中的 EC2 实例执行按需和有针对性的评估，以符合 OS 层级的 CIS 配置基准。

最佳实践 #2：通过压制规则大规模管理发现

在您的账户中，可能会有成千上万的常见漏洞和暴露 (CVE) 或 Amazon 资源名称 (ARN) 的发现，因此，借助适当的压制规则大规模管理这些发现将有助于实现成功的漏洞管理。

压制规则是一组标准，包括一个过滤属性与一个值的配对，用于通过自动存档符合指定条件的新发现来过滤发现。您可以创建 压制规则 来排除您不打算处理的漏洞，从而优先处理您最重要的发现。压制规则不会影响发现本身，也不会阻止 Amazon Inspector 生成发现。压制规则仅用于过滤您的发现列表，以便更轻松地导航和优先处理发现。

在压制规则中可使用的一些有用过滤器包括 资源标签、资源类型、严重性、漏洞 ID 和 Amazon Inspector 分数。例如，您可以根据严重性级别关键级、高、中、低、信息性和未分类对发现进行分类。要了解有关 Amazon Inspector 如何确定每个发现的严重性评级的更多信息，请参见 了解 Amazon Inspector 发现的严重性级别。

您可以根据漏洞、账户或实例等不同类别在 Amazon Inspector 中浏览发现。在 Amazon Inspector 的 所有发现 页面上，如果您选择 CVE ID，您可以查看受影响资源和单个 AWS 账户 ID 的详细信息，如图 1 所示。这可以帮助您选择在压制规则中使用的过滤条件。

您在组织级别管理压制规则，这些规则适用于所有成员账户。如果 Amazon Inspector 生成了一个符合压制规则的新发现，该服务会自动将发现的状态设置为 已压制。符合压制规则条件的发现默认不会出现在发现列表中。因此，已经压制的发现不会影响您的服务配额。成员账户继承来自委派管理员的压制规则。委派管理员账户限制为 500 条规则每个区域，这是一项硬限制。

请注意，组织中的成员账户不能创建或管理压制规则。只有独立账户和 Amazon Inspector 委派管理员可以创建和管理压制规则。因此，如果组织中的某个成员账户需要独立管理其自己的压制规则，则该账户所有者需要在其账户中单独激活 Amazon Inspector。

最佳实践 #3：根据 Amazon Inspector 分数压制发现

因时间有限，尤其是在大型组织中，安全漏洞发现的数量可能很庞大，您需要能够迅速识别和应对对组织构成最大风险的漏洞。

一种快速压制发现的方法是使用 Amazon Inspector 分数。Amazon Inspector 检查构成国家漏洞数据库 (NVD) 的通用漏洞评分系统 (CVSS) 基本分数的安全指标，依据您的计算环境进行调整，然后生成一个反映漏洞严重性的1到10的分数。

NVD/CVSS 分数是安全指标的组合，如威胁复杂性、漏洞利用代码成熟度和所需的特权，但它并不是风险的度量。

请小心，不要过度压制您的发现。过度压制发现可能会无意中使应用程序和系统面临未减轻的安全风险。在应用压制规则时，保持谨慎和衡量的方法至关重要。维护对每个发现真实风险状况的可见性对于积极、全面的漏洞管理至关重要。

黑石加速器下载

最佳实践 #4：使用标签实现基于风险的优先级排序

为了实现可扩展的漏洞管理解决方案，合理地为各账户的资源打标签至关重要。

要优先处理漏洞，首先需要理解和评估每个资源的风险级别，以便正确标签化。恰当的标签化让您可以使用 基于风险的优先级排序。这意味着在评估发现时，您会考虑资源的风险级别、漏洞的严重性以及漏洞对组织环境的影响，以便先关注关键漏洞。虽然这一建议看似显而易见，但其重要性不可低估。在云端，您需要理解并保护自己所构建的一切。资产映射必须包括关系映射，以理解潜在安全事件的影响和风险路径。

云资源问题的修复优先级取决于资源的暴露程度。公共子网中的资源一般应比私有子网中的资源优先处理。运行在生产环境中的资源应比运行在开发和测试环境中的资源优先处理。

优先级还取决于防火墙规则、AWS 身份与访问管理 (IAM) 策略、服务控制策略和安全组等因素。通过各种端口和协议与互联网的访问更加开放的资源，相比于访问权限较严的资源，面临如拒绝服务 (DoS)、分布式拒绝服务 (DDoS)、欺骗、恶意软件和勒索软件等问题的范围更广。

最佳实践 #5：基于适当资源标签制定压制规则

在复杂的多账户环境中，使用资源 ID、子网 ID 或 VPC ID 中央管理压制规则可能非常具有挑战性，因为这些值特定于单个账户并且随着新部署或修改而变化。这样就很难保持压制规则的最新。这里，我们回顾如何结合基于标签的风险优先级排序最佳实践 #4和 Amazon Inspector 分数，有效管理、优先处理和跟踪您的发现。

以下示例提供了一个建议的标签策略，您可以在组织的 AWS Cloud 资源中使用，以便进行漏洞管理：

环境名、风险暴露分数

使用该标签策略，您可以通过压制不必要的发现，使您专注于高价值的发现。同时，您还可以为不同风险因素的不同环境创建不同的规则。例如，您可能希望压制风险暴露级别较低、位于非生产环境中的资源的发现，且其严重性级别为：信息性、未分类、低或中等。创建或导出报告时，您也可以利用 资源标签 字段来过滤预期的发现。

下表提供了一个示例，该 AWS Cloud 环境拥有三个主要的账户分区：Prod、Dev 和 Sandbox。我们基于可能的风险、暴露级别以及工作负载的重要性，为不同的严重性级别压制规则。在我们的示例中，我们将风险暴露分数 1、2 和 3 等同于低、中、高的水平。换言之，风险暴露分数 1 适用于敏感性较低或几乎不与互联网连接的工作负载，而风险暴露分数 3 则适用于敏感或关键的工作负载，它们有互联网暴露、保护程度不足或由于配置或网络安全卫生较差而面临更高的安全风险。

环境名风险暴露分数严重性已压制Prod1中、低、信息性、未分类是Prod2低、信息性、未分类是Prod3信息性、未分类是Dev12中、低、信息性、未分类是Dev3低、信息性、未分类是Sandbox12关键、高、中、低、信息性、未分类是Sandbox3高、中、低、信息性、未分类是

在此特定示例中，我们希望保留在 Prod 和 Dev 账户中严重性为高或关键的漏洞发现，但根据各资源的风险暴露水平在其他资源上定义不同的压制规则。我们还希望在 Sandbox 账户中压制大多数漏洞发现，因为我们在那些账户上没有任何关键工作负载。您可以将此示例用作在环境中配置压制规则的模型，以根据您的需求优先处理漏洞发现。请注意，您可以在进行修复时更改、修改或重新评估您的压制规则，并且最好将其视为一个持续的过程。

最佳实践 #6：将 Amazon Inspector 与 AWS Security Hub 集成

您可以将 Amazon Inspector 与 AWS Security Hub 集成，以将 Amazon Inspector 的发现发送到 Security Hub，Security Hub 可能会将这些发现纳入其对安全态势的分析中。与压制规则匹配的 Amazon Inspector 发现会自动被压制，并且将不会出现在 Security Hub 控制台中。

最佳实践 #7：定期重新评估您的压制规则

保持安全态势和健康云环境的关键是根据威胁环境的变化来维护和调整您的漏洞管理策略。在这里，我们突出了一些应该关注的做法：

定期重新审视和评估您压制的漏洞检测规则。漏洞和威胁是在不断演变的，因此您以前压制的内容可能需要重新启用。将漏洞管理视为一个持续、迭代的过程，而不是一个静态程序。定期评估、更新和调整安全控制以实时应对新出现的风险。强调持续监控和响应的重要性，而不仅仅是初步的修复。漏洞需在整个生命周期中进行全面解决。在组织内营造安全意识和响应文化，鼓励每个人持续参与发现和缓解漏洞。确保您的漏洞管理计划符合相关的合规或监管要求例如，PCIDSS、HIPAA 或 NIST CSF。

结论

在本文中，我们介绍了如何有效地在组织的 AWS 基础设施中利用压制规则和应用基于风险的优先级排序来优先处理 Amazon Inspector 的发现。我们还讨论了如何使用资源标签作为有效的策略来优先进行 Amazon Inspector 发现的修复。如需获取更多有关 Amazon Inspector 的博客文章，请参阅 AWS 安全博客。

如果您对此文章有任何反馈，请在下方的 评论 部分提交您的意见。

Mojgan Toth

Mojgan 是 AWS 的高级技术账户经理，她为公共部门客户提供战略技术指导、解决方案和 AWS Cloud 最佳实践。她喜欢围绕最佳架构框架搭建解决方案。在工作之余，她热爱烹饪、绘画和与家人共度时光，尤其是她的三个小男孩。他们喜欢骑自行车和远足等户外活动。

标签：Amazon Inspector、AWS 组织、安全博客