iT邦幫忙

2025 iThome 鐵人賽

DAY 27
1
Build on AWS

AWS 雲原生,學起來比泡咖啡還快系列 第 27

DAY27 - 小李的安全覺醒:AWS Inspector 守護餐廳帝國

  • 分享至 

  • xImage
  •  

前情提要

經過了監控系統的建置,小李的餐廳帝國現在擁有了完整的可觀測性。CloudWatch 就像一雙銳利的眼睛,時刻監控著系統的健康狀況。但就在小李以為一切都在掌控之中時,一個意想不到的事件讓他意識到,監控系統雖然能告訴他「發生了什麼」,卻無法告訴他「是否安全」。

這個故事要從一個平靜的週五下午說起...

第一章:安全危機的警鐘

那個改變一切的電話

2024年3月的一個週五下午,小李正在辦公室裡查看 CloudWatch 儀表板,對於系統穩定運行感到滿意。所有指標都顯示綠燈:CPU 使用率正常、記憶體充足、網路流暢。

突然,他的手機響了。

「小李先生嗎?我是資安公司 SecureTech 的王經理。我們在例行的網路安全掃描中發現,您的系統可能存在一些安全漏洞...」

小李的心一沉。「什麼漏洞?我們的監控系統顯示一切正常啊!」

「監控系統主要關注效能和可用性,但安全是另一個層面的問題,」王經理解釋,「就像您的餐廳可能營業正常,但廚房的食材可能已經過期了。」

小張的解釋

小李立刻打電話給小張:「我們的系統被發現有安全漏洞,但 CloudWatch 沒有任何警告!」

小張趕到辦公室,聽完事情經過後說:「這很正常。CloudWatch 是監控系統效能的,不是檢查安全漏洞的。這就像體溫計只能測量體溫,不能檢查是否有癌細胞一樣。」

「那我們該怎麼辦?」小李焦急地問。

「我們需要 AWS Inspector,」小張說,「它就像系統的『健康檢查醫生』,專門檢查安全漏洞和合規性問題。」

安全與監控的差異

小張在白板上畫了兩個圓圈:

監控系統(CloudWatch)

  • 關注:效能、可用性、資源使用
  • 問題:「系統跑得快不快?」
  • 比喻:「餐廳生意好不好?」

安全檢查(Inspector)

  • 關注:漏洞、合規性、安全配置
  • 問題:「系統安不安全?」
  • 比喻:「餐廳衛生合不合格?」

「兩者都很重要,但解決的是不同的問題,」小張說,「一個餐廳可能生意很好(監控正常),但衛生條件很差(安全有問題)。」

第二章:認識 AWS Inspector - 「系統的安全醫生」

什麼是 AWS Inspector?

「AWS Inspector 就像一位專業的安全醫生,」小張開始解釋,「它會定期檢查你的系統,找出潛在的安全問題,就像醫生做健康檢查一樣。」

小李好奇地問:「它具體檢查什麼?」

小張列出了 Inspector 的主要功能:

1. 漏洞評估
「它會掃描你的應用程式和作業系統,找出已知的安全漏洞。就像檢查餐廳是否使用了過期食材。」

2. 網路可達性分析
「檢查網路配置是否安全,比如是否有不必要的開放端口。就像檢查餐廳的門窗是否都有適當的安全措施。」

3. 合規性檢查
「確保系統符合各種安全標準和最佳實踐。就像確保餐廳符合衛生局的規定。」

Inspector 如何工作?

小張用餐廳的比喻來解釋 Inspector 的工作原理:

1. 自動發現
「就像衛生檢查員會自動找到所有需要檢查的區域,Inspector 會自動發現你的 EC2 實例和容器映像檔。」

2. 持續掃描
「不是一次性檢查就結束,而是持續監控。就像餐廳需要定期的衛生檢查。」

3. 風險評分
「每個發現的問題都會有風險評分,從低到高,幫你優先處理最重要的問題。」

4. 修復建議
「不只告訴你有問題,還會建議如何修復。就像醫生不只診斷疾病,還會開處方。」

第三章:Inspector 的實際應用場景

場景一:容器映像檔安全掃描

小張打開 AWS Console,展示 Inspector 的實際應用:

「還記得我們的微服務架構嗎?每個服務都打包成 Docker 映像檔存放在 ECR 中。Inspector 會自動掃描這些映像檔。」

她指著螢幕上的掃描結果:

映像檔:payment-service:v2.1
掃描結果:
- 高風險漏洞:2 個
- 中風險漏洞:5 個  
- 低風險漏洞:12 個
- 總風險評分:8.5/10

「你看這個支付服務的映像檔,」小張說,「有 2 個高風險漏洞。點進去可以看到詳細資訊。」

漏洞詳情:

  • CVE-2024-1234:OpenSSL 版本過舊,可能導致資料洩露
  • CVE-2024-5678:Node.js 版本有安全漏洞,可能被遠端攻擊
    https://ithelp.ithome.com.tw/upload/images/20250926/20145462lS7oIs5tS1.png

「這就像發現餐廳使用的食用油已經變質,需要立即更換,」小張解釋。

第四章:Inspector 的告警和通知系統

整合 CloudWatch 和 SNS

「Inspector 發現問題後,我們需要及時收到通知,」小張說,「就像火災警報器發現火災要立即響鈴一樣。」

她展示了如何設定 Inspector 的通知:

1. EventBridge 整合
「Inspector 會將發現的問題發送到 EventBridge,這是 AWS 的事件中心。」

2. SNS 通知
「然後透過 SNS 發送郵件、簡訊或 Slack 通知。」

3. 自動化回應
「甚至可以觸發 Lambda 函數自動處理某些問題。」

告警分級策略

小張建議建立分級的告警策略:

緊急告警(Critical)

  • 高風險漏洞(CVSS 評分 > 7.0)
  • 立即通知:電話 + 簡訊 + 郵件
  • 處理時間:4 小時內

重要告警(High)

  • 中風險漏洞(CVSS 評分 4.0-7.0)
  • 通知方式:郵件 + Slack
  • 處理時間:24 小時內

一般告警(Medium/Low)

  • 低風險漏洞(CVSS 評分 < 4.0)
  • 通知方式:週報彙整
  • 處理時間:下次維護窗口

實際通知範例

小李的手機響了,收到一則 Inspector 告警:

🚨 AWS Inspector 安全告警

集群:production-eks
嚴重程度:HIGH
問題:CVE-2024-1234 - OpenSSL 漏洞

影響範圍:
- payment-service 映像檔
- 可能導致資料洩露

建議動作:
1. 更新 OpenSSL 到 3.0.8 版本
2. 重新建置映像檔
3. 部署到生產環境

詳細資訊:https://console.aws.amazon.com/inspector/...

「這個通知很清楚,」小李說,「告訴我問題是什麼、影響範圍、該怎麼處理。」

第五章:修復漏洞的最佳實踐

漏洞修復的優先順序

小張教小李如何有效地處理 Inspector 發現的問題:

1. 風險評估
「不是所有漏洞都需要立即修復,要根據實際風險來排優先順序。」

她展示了風險評估矩陣:

影響程度 × 利用可能性 = 風險等級

高影響 × 高可能性 = 立即修復
高影響 × 低可能性 = 計劃修復  
低影響 × 高可能性 = 監控觀察
低影響 × 低可能性 = 接受風險

2. 修復策略

立即修復(Critical)

  • 更新套件版本
  • 修改配置
  • 緊急部署

計劃修復(High)

  • 納入下次發布計劃
  • 測試環境驗證
  • 正常部署流程

監控觀察(Medium)

  • 加強監控
  • 定期重新評估
  • 準備應急方案

自動化修復

「對於一些常見的問題,我們可以設定自動修復,」小張說。

她展示了幾個自動化範例:

1. 自動更新系統套件

# Lambda 函數自動執行
aws ssm send-command \
  --document-name "AWS-RunShellScript" \
  --parameters 'commands=["yum update -y"]' \
  --targets "Key=tag:Environment,Values=production"

2. 自動重建映像檔
「當 Inspector 發現映像檔漏洞時,可以觸發 CodeBuild 自動重建映像檔。」

3. 自動網路配置修復
「發現不安全的安全群組規則時,自動移除或修改。」

修復驗證

「修復完成後,要驗證問題是否真的解決了,」小張強調。

1. 重新掃描
「Inspector 會在修復後自動重新掃描,確認漏洞已修復。」

2. 功能測試
「確保修復沒有影響系統功能。」

3. 效能測試
「確保修復沒有影響系統效能。」

第六章:與其他 AWS 服務的整合

Security Hub 整合

「Inspector 不是孤立的服務,」小張說,「它可以與其他 AWS 安全服務整合,形成完整的安全管理體系。」

她展示了 Security Hub 的整合:

安全儀表板
「Security Hub 會收集來自 Inspector、GuardDuty、Config 等服務的安全發現,提供統一視圖。」

安全評分
「根據所有安全發現計算整體安全評分,就像信用評分一樣。」

合規性儀表板
「統一顯示各種合規標準的符合狀況。」

GuardDuty 協作

「GuardDuty 負責威脅檢測,Inspector 負責漏洞掃描,」小張解釋,「兩者結合可以提供更全面的安全保護。」

GuardDuty:「這是保全人員,監控是否有可疑活動」
Inspector:「這是建築檢查員,檢查建築結構是否安全」

Config 規則整合

「AWS Config 可以檢查資源配置是否符合安全最佳實踐,」小張說,「與 Inspector 的漏洞掃描互補。」

範例 Config 規則:

  • S3 儲存桶是否啟用加密
  • 安全群組是否有過於寬鬆的規則
  • IAM 使用者是否啟用 MFA

結語:安全是一個持續的過程

小李的安全覺醒

經過這次深入了解 AWS Inspector,小李對安全有了全新的認識。

「我以前以為有了監控系統就夠了,」小李感慨地說,「現在才知道安全是另一個重要的維度。」

小張點頭:「監控告訴我們系統是否健康,安全檢查告訴我們系統是否安全。兩者都不可缺少。」

安全文化的建立

「最重要的是建立安全文化,」小張強調,「讓整個團隊都重視安全,而不只是依賴工具。」

她建議建立以下安全實踐:

1. 定期安全會議
「每週檢討安全發現和修復進度。」

2. 安全培訓
「定期培訓團隊成員安全知識和最佳實踐。」

3. 安全指標
「建立安全 KPI,比如漏洞修復時間、安全評分等。」

4. 事件回應計劃
「制定安全事件的應對流程。」

給讀者的建議

如果你也想為自己的 AWS 環境建立安全檢查,記住這些要點:

  1. 安全是基礎需求:不是可有可無的附加功能
  2. 預防勝於治療:主動發現問題比被動應對更有效
  3. 持續改進:安全不是一次性工作,需要持續關注
  4. 平衡成本效益:根據實際風險調整安全投資
  5. 團隊協作:安全是整個團隊的責任

「安全就像健康一樣,」小張最後說,「平時的預防和檢查比生病後的治療更重要。AWS Inspector 就是我們的『健康檢查醫生』,幫助我們及早發現和解決安全問題。」

小李深有感觸地說:「從今天開始,安全檢查將成為我們日常運營的重要組成部分。畢竟,一個不安全的系統,再高的效能也沒有意義。」


這個故事告訴我們,在現代的雲端環境中,安全不是可選項,而是必需品。AWS Inspector 提供了強大的安全掃描能力,但更重要的是建立安全意識和文化。記住,最好的安全策略是預防,而不是事後補救。


上一篇
DAY26 - 小李的安全管理學:AWS IAM 權限控制完全指南
下一篇
DAY28 - 小李的威脅防護:AWS GuardDuty 智能保全系統
系列文
AWS 雲原生,學起來比泡咖啡還快29
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言