各個雲廠商所使用的資源各不相同,在進行安全問題掃描的時候也有不同的要求。為了使這一工作變得更簡單,雲廠商會提供一種内置的掃描軟體。不過,這些軟體的功能往往不夠齊全,也無法內建到您現有的應用棧中。
為了讓安全掃描變得更加輕松,從Trivy AWS開始,我們在Trivy中新添加了雲安全掃描功能。本教程将概述這一新功能,幫助您輕松上手。
Trivy AWS漏洞掃描Sneak-Peak
概述
Trivy是一個多功能的開源安全掃描軟體,它可以掃描包括檔案系統、容器、git代碼庫等各種目标,進而發現安全問題,這些問題可能是漏洞、配置錯誤或已暴露的密鑰。
此外,Trivy可以作為CLI在主機、CI/CD流水線上運作,或者作為Kubernetes operator在叢集中運作。由于Trivy的所有工具都是開源的,因而您可以免費進行掃描且不限次數。
隆重推出Trivy AWS漏洞掃描
最近,我們隆重推出了Trivy v0.31.0版本,該版本可對AWS賬戶中的安全問題進行掃描。該功能目前可以通過本地 CLI 或通過将 Trivy 內建到 CI/CD 流水線中來使用。
其中最有趣的部分是,Trivy 内置的所有用于 IaC 掃描的錯誤配置規則與用于掃描AWS的規則相同。也就是說,同樣的規則既可以通過 `trivy config` 适用于IaC配置,在資源适用之後,就可以直接用于AWS賬戶。如果基礎設施是由Terraform或CloudFormation定義的,Trivy不僅能發現安全問題,還可以找出AWS問題發生的成因。
不僅如此,通過掃描AWS CIS基準,Trivy AWS還在進一步豐富 `trivy config` 功能。
即刻開始
Trivy使用與AWS CLI相同的驗證方式來配置和驗證您通路AWS平台的權限。也就是說,無需更多的配置,您就可以在AWS賬戶中運作Trivy,隻需輕輕點選點選即可。另外,您也可以需要使用AWS憑證來配置Trivy。
我們建議您采用或配合本文所附的ReadOnlyAccess政策。
啟動掃描竟如此簡單:
trivy aws --region us-east-1
請注意,如果您在AWS環境變量或配置檔案中已經配置好了預設的區域,您甚至可以忽略`--region`提示。
檢視掃描結論
掃描完成後,您就可以檢視終端的整體情況,如下:
完整的Trivy AWS掃描,包含已掃描的資源及配置錯誤清單
全局掃描按掃描結論的嚴重程度,對每個AWS 服務的掃描結論進行彙總。
您可以運作更多的指令來篩選掃描結論,而無需再從頭掃描一遍。因為這一結論是以AWS賬戶/區域為機關在本地緩存的。如果您對同樣的資源再次進行掃描,那麼Trivy 會從緩存中提取掃描結論給您,或針對掃描目标等特定服務再次掃描,并提供詳情資訊。
如果您需要放大檢視某些特定服務的掃描結論,您可以使用`--service`。輸入下面的指令,您可以在us-east-1區域中掃描s3 buckets:
trivy aws --region us-east-1 --service s3
根據您帳戶中的資源,您可以需要修改正在掃描的服務類型。 例如,您可以改為掃描 EKS Kubernetes 叢集。
Trivy将為您彙總展示所選服務的掃描結論。Trivy AWS漏洞掃描将顯示與s3 bucket相關的所有問題,除問題的數量之外,還按照問題的嚴重性來排序。請注意,掃描将僅顯示檢測到安全問題的資源。
掃描結論例如:
AWS賬戶中某項服務的詳細掃描結論
您可以使用`--arn`提示來顯示資源中的個體問題,例如:
trivy aws --service s3 --arn arn:aws:s3:::example-bucket
每一個掃描結果都包含有問題的嚴重程度、結論,以及與該問題相關的更多資訊,與AVD存檔相關的連結,其中包括各種解決問題的指南。
總結
Trivy使用了現有社群增強的錯誤配置檢查的所有功能,進而對AWS 賬戶安全問題進行掃描。
如果您正在使用AWS,歡迎您嘗試并告訴我們您的體驗如何。在不久的将來,我們還會新增其他雲廠商的掃描功能。
歡迎加入Trivy社群
Trivy還将開拓很多令人驚喜的新計劃,歡迎您加入我們的Slack社群,與Trivy共同成長,同時為GitHub做出貢獻。此外,如果您有任何問題,或者希望Trivy新增其它功能,歡迎與我們取得聯系。
如果您正在嘗試Trivy的新功能,也歡迎您在社交媒體上與大家分享!