无代理扫描和CI/CD集成 - 保护您的应用程序免受漏洞侵害

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC243-Enhance_workload_security_with_agentless_scanning_and_CI_CD_integration-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 加入这个课程,了解如何在部署(CI/CD)流水线中嵌入[Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail),以扫描容器镜像。利用无代理扫描来监控Amazon EC2实例,并访问生成式AI辅助修复,以扫描Amazon Lambda代码结果。听听汇丰银行讲述[Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail)在实现亚马逊云科技工作负载一致的漏洞管理方面的影响,以及汇丰银行如何使用这些新功能。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> Rick Anthony，来自亚马逊监察团队的成员，在视频中欢迎观众并介绍了他的同事Kashi Wawa和Alistair McLaren。他表示，团队非常高兴能够探讨亚马逊监察，并强调了一些最近推出以提高工作负载安全性的新功能。 Rick分享了一些背景信息，解释说亚马逊监察是一个自动化的漏洞管理服务，持续扫描客户环境中的工作负载，以识别潜在的软件漏洞和网络暴露。他强调，当你在谷歌中搜索“亚马逊监察”时，会出现两个服务——两年前在re:Invent上推出的较新的亚马逊监察，以及一个名为亚马逊经典监察的较旧的服务。对于这次会议，重点将仅限于较新的亚马逊监察版本。 当亚马逊监察两年前在re:Invent上首次推出时，它原生支持扫描存储在亚马逊ECR中的EC2实例和容器镜像。在过去的一年里，增加了新功能，包括支持扫描Lambda函数以及与CodeGuru合作分析实际应用程序代码。Rick强调，今年在re:Invent上宣布的一个重要新功能是能够将亚马逊监察直接集成到CI/CD管道中，以便主动扫描容器镜像。 Rick详细解释了为什么客户应该考虑使用亚马逊监察，他说它可以作为一个自动化漏洞管理系统，用于识别工作负载中的安全风险。一个关键重点是使这个过程简单而无缝，因为漏洞扫描通常会产生大量难以确定优先级和解释的发现。亚马逊监察通过提供上下文来过滤发现并突出特定环境的最重要的风险来帮助解决这个问题。 此外，Inspector可以帮助满足合规性要求，通过提供组织的安全状况的持续验证。另一个最近宣布的功能是能够生成SBOM(软件材料清单)-– 在扫描的资源中运行的所有软件组件的清单。这允许安全团队快速查询哪些应用程序可能包含新的威胁情报出现时的脆弱组件。 Rick描述了亚马逊监察是如何工作的，概述了三个核心阶段： 通过与其他亚马逊云科技组织整合，该服务可轻松启用并配置，从而实现对新帐户的集中管理和自动化添加。一旦部署，Inspector将自动检测范围内的所有资源并进行持续扫描。它会实时监测新的实例、Lambda函数和容器镜像，以确保安全性。 扫描结果会生成一个名为Inspector分数的正常化严重性评分，该评分综合考虑了网络暴露程度和CVSS分数等因素。这使得安全团队能够确定修复优先级并专注于解决问题。里克强调的一个重要点是，Inspector在后台自主运行，使得安全团队无需花费时间管理扫描过程，而是专注于修复。 为了展示Inspector持续扫描的优势，里克分享了一个令人印象深刻的客户案例。在这个故事中，当发现一个新的高严重性Windows漏洞时，安全团队在仅仅16分钟内就利用Inspector的最新发现来判断他们的环境是否受到波及。在76分钟内，他们便使用Inspector的数据指导了整个账户和应用程序的修复工作。 转向亚马逊Inspector的新功能方面，Kashi概述了过去6-12个月的一些重要更新：对EC2实例的深入检查，从仅OS包扩展到包括Java和Python等编程语言包；与EC2图像构建器的集成，允许在部署之前在图像上进行漏洞扫描；曝光Inspector漏洞数据库，让客户能够搜索特定CVE的详细信息和来自50多个来源的汇总数据；以及对Lambda函数代码的扫描能力，以查找潜在的安全问题，如硬编码凭据。此外，还增强了漏洞智能，为发现添加了更多上下文，如相关的恶意软件和MITRE ATT&CK映射。 Kashi接着介绍了2022年re:Invent上的三个主要新功能：针对容器镜像的CI/CD集成，允许在构建和部署过程中自动执行安全检查；与Amazon Security Hub的集成，使得Inspector的漏洞数据和修复建议可以直接推送到Amazon Security Hub，方便统一管理和响应；以及支持对[Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail)集群的检查，进一步拓展了Inspector的应用范围。 容器镜像现在能够在推送到注册表之前，提前在管道中对其实施扫描。这种模块化的架构提供了灵活性，包括提取引擎、扫描API以及针对Jenkins和TeamCity的本地插件。通过阻止超过策略阈值的漏洞，可以启用构建阻塞功能。无需启动Inspector本身，只需一个亚马逊云科技帐户进行身份验证即可。Inspector支持多种图像类型，包括空白、无分布式和链表曼恩图像。 2. 无代理EC2实例扫描 Inspector现已推出"混合扫描模式"作为对现有基于SSM方法的无代理扫描方式的补充。委托管理员可以轻松一键启用整个机队的混合模式。如果未安装或正确配置SSM代理，Inspector将自动切换到无代理模式。Inspector使用EBS快照仅复制必要的数据块，而不是完整图像。这为覆盖率低到100%SSM代理的环境提供了最大支持。 3. 增强的Lambda函数扫描 Inspector现在能够为识别出的Lambda漏洞生成代码修复。开发者可以直接将修补后的代码片段复制/粘贴到他们的仓库中。一旦重新部署并固定的函数被部署，Inspector会自动将其视为已解决。 接下来，来自HSBC的Alistair将从客户的角度分享如何使用Inspector进行大规模扫描。他指出，HSBC为分布于62个国家的3900万名客户提供支持，数千个应用程序越来越多地运行在亚马逊云科技上。具体而言，亚马逊云科技的影响力包括： - 1,800多个支持700多个生产应用的亚马逊云科技账户 - 7种不同的操作系统版本，包括Linux、Windows和Mac - 在至少9个亚马逊云科技区域中进行部署 在评估安全性时，汇丰银行（HSBC）在考虑保护底层亚马逊云科技（Amazon Web Services）控制面的“云安全”的同时，也关注工作负载保护和应用安全方面的“云内安全”。为此，汇丰银行使用了[Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail)来持续验证操作系统、容器和[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)函数中的漏洞。为了保持严格的安全隔离，汇丰银行在每个超过1800个账户上独立部署Inspector和其他安全服务，而非使用单个集中式账户。尽管这提供了强大的分割，但这也意味着在各个地方部署工具时需要额外的开销。 在引入Inspector之前，汇丰银行曾在每个环境中手动部署漏洞扫描代理。如今，Inspector利用现有的Amazon Systems Manager（SSM）代理提供必要的数据，避免了专门扫描实例的需求。随后，可通过EventBridge、DynamoDB和S3对结果进行集中，以提供全球可见性。这种架构使汇丰银行能够自动化地对跨区域、账户和应用的风险暴露进行可视化，同时保持最低的开销。Alistair分享了几个好处： - 新威胁出现时的快速风险分析能力 - 历史数据提供随时间变化的审计轨迹，显示风险水平的变化 - 详细的仪表板可按严重性、地区、账户等进行搜索和过滤 - 导出功能可将其数据输入其他系统和工具 目前，汇丰银行的覆盖范围是大约97.5%的EC2实例被扫描，计划利用新的功能如Lambda扫描和基于快照的无代理扫描，以实现尽可能接近100%的覆盖。 最后，Alistair强调了汇丰银行与Inspector团队的出色合作，以及对自己同事的感激之情，他们帮助实现了这一水平的安全可视性。Kashish还简要演示了Inspector的新功能： - CI/CD集成 - 展示如何配置Jenkins插件,扫描样本容器镜像,查看发现的结果,并设置构建失败阈值以基于漏洞进行设置。 - 混合EC2扫描 - 支持一键切换到混合模式,展示报告中的代理和无代理扫描的对比,并查看样本漏洞的详细信息。 - 增强的Lambda扫描 - 展示为新发现的Lambda函数漏洞生成的自动代码修复和补丁。 漏洞数据库 - 提供针对特定CVE的丰富数据，包括CVSS和Inspector评分、相关恶意软件以及MITRE ATT&CK详细信息等。总的来说，亚马逊Inspector团队表示，该服务将持续发展成为自动化、无需人工干预的漏洞管理解决方案，在开发生命周期和基础设施栈中实现更紧密的集成。演示展示了如何轻松地设置Inspector进行前瞻性的扫描，实现全面的覆盖范围，并利用诸如可操作发现等高级功能来增强工作负载安全。 **下面是一些演讲现场的精彩瞬间：** 领导者强调了[Amazon Inspector](https://aws.amazon.com/cn/inspector/?trk=cndc-detail)作为亚马逊云科技(Amazon Web Services)的一项关键服务，并预告了议程，其中包括新功能、客户使用案例、演示以及问答环节。  亚马逊云科技采用了无代理解决方案和EBS直接API进行混合模式安全评估，从而减少数据传输量并提供关于如何扫描实例的透明度。  亚马逊云科技的领导者展示了这个新安全工具如何能够快速识别漏洞并提供详细报告，以帮助优先处理和解决问题。  领导者还展示了开发者如何在CodeBuild中轻松更新安全阈值，以便在开发过程中更早地推动安全修复，从而提高安全性并降低成本。  亚马逊云科技提供基于风险的治疗方法，根据重要性和流行程度对安全问题进行优先排序。  领导者强调了亚马逊云科技在CVE发布之前就能识别漏洞并生成发现的能力。  ## 总结 亚马逊Inspector通过对EC2、Lambda等资源的持续扫描，以确保工作负载的安全。该工具在开发周期中实现了更早的安全自动化，并扩大了漏洞覆盖范围。将Inspector扫描集成到CI/CD管道中，使得在部署之前能够主动扫描容器镜像，从而在问题变得更严重之前解决它们。目前，插件支持Jenkins和TeamCity。 对于EC2，Inspector采用了基于代理和无代理相结合的新型混合扫描模式，以实现最大覆盖范围，并在需要时自动切换到无代理模式。增强的Lambda扫描现可提供AI生成的代码补丁，轻松修复自定义代码中发现的漏洞，从而进一步自动化了修复问题的过程。 总之，这些新功能通过更早地嵌入扫描、扩大覆盖范围以及自动化修复，提高了工作负载的安全性。Inspector致力于提供全面保护的同时，最小化人工努力。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")