云配置评估概述
注意:云配置评估目前以“预览”形式提供
在“预览”中的一个功能使得适合客户使用的进展已经足够,尽管仍处于积极发展。
Insightvm客户可以利用此预览,提供早期反馈和使用数据,该数据将在通常可用(GA)时塑造云配置评估的最终版本。
与其他预览功能一样,云配置评估预览可能尚不具备GA版本的所有功能,并且只能从InsightVM中启用云的页面访问(例如仪表盘标签)。使用此预览不会影响您的生产数据。
您可以通过完成以下调查提供对云配置评估预览的反馈:
https://www.surveygizmo.com/s3/4936396/vm-cloud-configuration-assessment-survey.
预览中尚未提供以下功能,但计划为GA:
- 将规则分组为基准的能力
InsightVM中的云配置评估是一种基于策略的评估功能,可提供对影响云基础设施安全性的弱点的可见性。如果您的组织订阅基础架构 - AS-Service(IAAS)资源,您可以使用云配置评估来评估,地址和监控这些服务中发现的不合规资源,以最大限度地减少其攻击和剥削的风险。
要访问云配置评估界面,请单击“云配置左侧导航菜单上的选项卡。
这一系列文章指导您通过如何将云基础架构连接到InsightVM,并解释了如何阅读您的评估结果。
云配置评估如何运作
云配置评估通过从IAAS资源中收集配置数据来工作。要收集此数据,您需要在InsightVM和IAAS环境之间创建连接。
使用正确配置的连接到位,InsightVM可以评估您的策略合规性的配置数据。评估能力建立在由完整的CIS AWS基础基准,从AWS的最佳实践检查组成的规则检查库中,以及从RAPIT7的专有检查。所有这些支票都针对当今使用的许多云服务的特定架构量身定制。该功能根据二进制“通过”或“失败”的规则确定每个规则的合规性,并根据其排列其严重程度Rapid7自己的严重程度。
修复者的脚本
可用时,云配置评估可以为您的修复程序提供编写的粘贴和运行Python脚本,以修复已失败的资源。看看云配置评估中的修复脚本文章学习如何运行这些脚本以及在您的评估结果中找到它们的位置。
数据收集间隔
InsightVM按间隔收集云配置评估的数据。这些收集间隔可以在每两个和12小时之间的任何位置都会根据正在评估的特定服务而变化。一般来说,InsightVM收集频率取决于服务的动态程度如何 - 服务的动态越多,集合就越频繁。对于新连接,您必须允许InsightVM足够的时间在您查看任何评估结果之前收集初始数据集。
用CloudTrail连接提高您的AWS连接
云配置评估支持与CloudTrail服务的连接,以促进您的AWS环境的更多实时评估。除了以先前描述的间隔基础收集数据外,InsightVM还可以使用CloudTrail连接来监视并响应记录记录到简单队列服务(SQS)队列的事件历史记录。
看看AWS连接配置文章有关如何配置CloudTrail连接的说明。
术语
云配置评估界面使用以下术语:
- 连接- 基于帐户的访问角色提供Insightvm只读访问您的IAAS资源。您可以从中管理和编辑每个已保存的连接管理左侧导航菜单的选项卡。
- 发现- 在您的IAAS资源中检查特定规则的单个实例。您可以在每个查找附加到特定资源时,您可以有多个相同规则的结果具有不同的结果。
- 资源- 个人部署的IAAS服务实例。例如,如果您是使用弹性计算云(EC2)服务的AWS订阅服务,则每个运行的EC2实例都被视为资源。
- 规则- 针对您的IAAS服务的每个特征定制的基于专业的基于政策的支票。这些规则评估为“通过”或“失败”状态。
- 例外- 用户配置的名称,以防止特定规则计入评估结果。您可以为各个发现,调查结果的自定义范围或整体规则配置异常。
支持的IAAS提供商
云配置评估支持与以下IAAS提供商的连接: