Scout2 介紹
- Scout2 是一款用于 AWS 環(huán)境的安全審計工具。有了 Scout2旁瘫,不必人工瀏覽所有網(wǎng)頁陵珍,就可以獲取到 AWS 環(huán)境的配置數(shù)據(jù);它甚至還能生成一份攻擊面報告型豁。 Scout2 帶有預配置的規(guī)則僵蛛,并且很容易擴展以支持更多的服務和測試用例。因為 Scout2 僅通過 AWS 的 API 去獲取配置信息和發(fā)現(xiàn)安全隱患迎变,所以無需提交 AWS 安全漏洞和滲透測試申請表充尉。
- 有時候我們不經(jīng)意間會將我們的某些端口或服務暴露給全世界,這樣做的危害是什么呢衣形?
1.暴露的數(shù)據(jù):簡單地讓 S3 桶對世界開放可能對客戶造成極大的破壞驼侠,因為他們的數(shù)據(jù)暴露在外并對公司的聲譽造成不可挽回的損害。
2.暴露服務:安全組上的開放端口可能會使 MySQL 或 MongoDB 處于打開狀態(tài)并且數(shù)據(jù)處于打開狀態(tài)谆吴。
3.帳戶泄露:AWS root或 IAM 用戶的泄露憑據(jù)可能導致帳戶完全失去控制權或大額帳單倒源。 - Scout2 是 用Python編寫的,運行版本為 2.7句狼、3.3到3.6笋熬,需要AWS python庫boto3。 Scout2 根據(jù)GPL v2.0獲得許可腻菇,可免費獲得胳螟,并且擁有一組活躍的貢獻者。目前筹吐,Scout2 會收集有關以下關鍵AWS服務的信息糖耸,并在本地生成的HTML報告中顯示問題,并使用儀表板深入了解詳細信息:
- EC2
- IAM
- RDS
- S3
- CloudTrail
- CloudFormation
- CloudWatch
- Route53
- SES
- SQS
- VPC
- SNS
- Redshift
- Elasticache
- EMR
Scout2 安裝
安裝很簡單丘薛,通過pip安裝:
$ pip install awsscout2
或者通過git克隆源碼:
$ git clone https://github.com/nccgroup/Scout2
$ cd Scout2
$ pip install -r requirements.txt
$ python setup.py install
以通過鍵入 Scout2 -help 來查看幫助
安裝 Scout2 之后嘉竟,需要確保擁有一些AWS憑證(密鑰/令牌),這些憑據(jù)允許對 Scout2 將要檢查的 AWS 服務進行只讀訪問。 需要將此訪問策略授予將運行 Scout2 的用戶或角色周拐。 NCCGroup 提供了一個很好的默認策略铡俐,稱為 Scout2-Default IAM 策略。 此策略提供必要的默認訪問權限妥粟,可以將其剪切并粘貼到您的 AWS 賬戶中的策略中审丘。 另一種選擇是將名為 ReadOnlyAccess 的默認 AWS 托管策略分配給運行Scout2 的用戶或角色。 此策略提供了比運行 Scout2 所需的更多只讀訪問權限勾给,但它不要求為Scout2創(chuàng)建新策略滩报。
AWS 創(chuàng)建必要權限的用戶
- 在賬號下創(chuàng)建一個名為 auditor 的用戶,并將訪問類型勾選為 編程訪問
- 為這個用戶創(chuàng)建一個 group播急,并賦予 SecurityAudit 的策略
-
review 之后創(chuàng)建脓钾,并將 csv 文件下載下來
使用 Scout2
- 可以直接使用 csv 進行掃描
Scout2 --csv-credentials credentials-2.csv
- 也可以使用 option 選項:
- profile:使用特定AWS配置文件的憑據(jù)
- regions:評估特定區(qū)域而不是所有區(qū)域的默認區(qū)域
- mfa-serial:允許使用需要MFA的憑據(jù)
- no-browser:完成運行后跳過打開瀏覽器
- report-dir:生成Scout2 HTML報告的路徑
例如:
scout2 ––profile mytestprofile ––regions us-west-2 ––no-browser
這將使用存儲在 “mytestprofile” 中的 AWS 憑據(jù)運行 Scout2,并僅針對 “us-west-2” 中的資源運行它桩警。 完成后可训,它不會在瀏覽器中打開報告。
-
運行完之后如果沒有指定不打開包括可能會出現(xiàn)下面的圖示
-
可以看到生成的報告文件如下圖所示:
-
在瀏覽器中輸入 report.html 的文件路徑就可以很方便的查看捶枢。下圖顯示的是 Scout2 的儀表板握截,它總結了 Scout2 對其正在評估的服務的檢測情況。
儀表板根據(jù)評估狀況顯示不同的顏色烂叔,可以快速查看問題谨胞。 該報告采用顏色編碼,綠色=good蒜鸡,黃色=warning胯努,紅色=bad。 它顯示了為服務評估的資源數(shù)量逢防,應用的規(guī)則以及結果和檢查的完成情況叶沛。
然后針對不同的種類,我們就可以再次點進去去查看具體的情況忘朝。Scout2 的輸出易于查看和遍歷灰署,因為每個頁面都使用顏色來突出顯示問題,而大多數(shù)頁面都是可以深入查看的儀表板辜伟。 在分析帳戶時氓侧,我們可以深入了解任何關鍵或警告問題脊另,可以提前了解問題并開始降低相關風險导狡。