Service Screener: Công cụ tự động rà quét bảo mật trên môi trường AWS Cloud

Giới thiệu về Service Screener

Trong bối cảnh các cuộc tấn công mạng đang gia tăng ở Việt Nam và đe dọa đến an toàn dữ liệu và hệ thống của các doanh nghiệp, việc đảm bảo bảo mật và phát hiện lỗ hổng trong hệ thống trở nên cực kỳ quan trọng. Hôm nay, CMC Telecom giới thiệu đến khách hàng một công cụ mã nguồn mở có tên là Service Screener, được phát triển bởi AWS.

Service Screener cho phép tự động quét toàn bộ hệ thống trên môi trường AWS Cloud và đưa ra các đề xuất nhằm cải thiện các vấn đề liên quan đến bảo mật, độ tin cậy, vận hành, hiệu suất và chi phí của hệ thống. Dựa vào báo cáo từ công cụ này, người dùng có thể biết được hệ thống đang gặp phải những vấn đề gì và từ đó đưa ra phương án xử lý.

Service Screener sử dụng dịch vụ AWS CloudShell, một công cụ miễn phí của AWS, cho phép chạy các kịch bản sử dụng AWS CLI. Công cụ này sử dụng nhiều lệnh describe và get API để xác định cấu hình của môi trường AWS.

Service Screener sẽ miễn phí, nếu tài khoản của bạn đang trong 12 tháng miễn phí trải nghiệm các dịch vụ của AWS.

Nếu bạn đã hết 12 tháng trải nghiệm miễn phí, đừng lo, chi phí để chạy Service Screener là rất nhỏ chỉ ít hơn $0.01, gần như không đáng kể

Chuẩn bị trước khi chạy tool Service Screener

• Bạn phải có một AWS account còn hoạt động
• Tài khoản IAM user với quyền ReadOnlyAccess (quyền này đã được AWS tạo sẵn trong IAM polices)
• Ngoài ra IAM user cũng cần có các quyền sau:

1. AWSCloudShellFullAccess
2. cloudformation:CreateStack
3. cloudformation:DeleteStack

Cài đặt service-screener

1. Login vào tài khoản AWS, sử dụng IAM user có quyền như phía trên (hoặc IAM user có quyền cao hơn)
2. Chạy AWS Cloudshell ở bất cứ region nào
3. Trong AWS Cloushell tiến hành chạy sripts sau để cài đặt các thành phần liên quan

python3 -m venv .

source bin/activate

python3 -m pip install –upgrade pip

rm -rf service-screener-v2

git clone https://github.com/aws-samples/service-screener-v2.git

cd service-screener-v2

pip install -r requirements.txt

alias screener=”python3 $(pwd)/main.py”

Hướng dẫn sử dụng service-screener

Khi chạy tool service-screener, bạn có thể chỉ định các region và các dịch vụ bạn muốn rà quét. Hiện tại service-screener đang hỗ trợ các dịch vụ: Amazon Cloudfront, AWS Cloudtrail, Amazon Dynamodb, Amazon EC2, Amazon EFS, Amazon RDS, Amazon EKS, Amazon Elasticache, Amazon Guardduty, AWS IAM, Amazon Opensearch, AWS Lambda, and Amazon S3.

Nhưng theo đề xuất từ AWS, chúng ta nên chạy ở tất cả các region mà chúng ta triển khai hệ thống ứng dụng. Chúng tôi sẽ đưa ra các câu lệnh mẫu để triển khai, dựa vào đó bạn có thể điều chỉnh theo ý của mình.

Ví dụ 1: Chạy trên Singapore region và quét tất các các dịch vụ

screener –regions ap-southeast-1

Ví dụ 2: Chạy trên Singapore region và chỉ quét dịch vụ S3

screener –regions ap-southeast-1 –services s3

Ví dụ 3: Chạy trên Singapore và North Virginia region, quét tất cả dịch vụ

screener –regions ap-southeast-1,us-east-1

Ví dụ 4: Chạy trên tất cả các region và các dịch vụ

screener –regions ALL

Các thông số khác

##mode

–mode api-full | api-raw | report

# api-full: đưa ra báo cáo dưới định dạng JSON

# api-raw: dữ liệu dạng thô

# report: đưa ra báo cáo dạng html

Tải về báo cáo service-screener

Báo cáo sẽ được xuất ra và lưu dưới định dạng zip theo đường dẫn như sau:

~/service-screener-v2/output.zip

Để tải về báo cáo service-screener. Trên giao diện CloudShell, lựa chọn action -> Download file

Điền thông tin đường dẫn như phía trên

Mở file nén định dạng html chúng ta sẽ có được báo cáo với mẫu như sau.

Dựa vào thông tin báo cáo chúng ta có thể thấy được toàn cảnh về hệ thống của chúng ta đang có những cài đặt, cấu hình như thế nào và có kế hoạch xử lý những vấn đề trên. Hy vọng bạn nhận được nhiều thông tin bổ ích.

Tham khảo thêm từ nguồn sau