AWS
February 18, 2020

Análise de uso do AWS Inspector

O que é o AWS Amazon Inspector?

O Amazon Inspector é um serviço oferecido para avaliação de compliance, melhores práticas e vulnerabilidade existentes nos aplicativos instalados em seu sistema operacional através da instalação e execução de um agente em máquinas na nuvem. As avaliações de segurança do Amazon Inspector ajudam a verificar a existência de acessibilidade de rede não intencional em instâncias do Amazon EC2 e de vulnerabilidades nessas instâncias do EC2. As avaliações do Amazon Inspector são fornecidas como pacotes de regras predefinidas, associadas a melhores práticas de segurança e definições de vulnerabilidades comuns.

Os problemas encontrados são divididos em diferentes níveis de severidade

Alta – descreve um problema de segurança que pode resultar em um comprometimento das informações de confidencialidade, integridade e disponibilidade do destino de avaliação. Recomendamos que você trate esse problema de segurança como uma emergência e implemente uma correção imediata.

Média – descreve um problema de segurança que pode resultar em um comprometimento das informações de confidencialidade, integridade e disponibilidade do destino de avaliação. Recomendamos que você corrija esse problema na próxima oportunidade possível, por exemplo, durante a próxima atualização de serviço.

Baixa – descreve um problema de segurança que pode resultar em um comprometimento das informações de confidencialidade, integridade e disponibilidade do destino de avaliação. Recomendamos que você corrija esse problema como parte de uma das futuras atualizações de serviço.

Informativa – descreve os detalhes de determinada configuração de segurança do destino de avaliação. Com base nos objetivos da empresa e da organização, você pode simplesmente anotar essas informações ou usá-las para melhorar a segurança do destino de avaliação.

Pacotes de checagem

  1. CIS Benchmark / Referências de Segurança CIS
    O programa de referências de segurança da CIS fornece melhores práticas bem definidas, imparciais e baseadas no consenso do setor para ajudar as organizações a avaliar e melhorar sua segurança.
  2. Best Practices / Melhores práticas
    Use as regras do Amazon Inspector para ajudar a determinar se os seus sistemas estão configurados de forma segura.
  3. Network reachability / Acessibilidade de Rede
    As regras no pacote de acessibilidade de rede verificam pontos na sua arquitetura que estejam sujeito a uma exposição excessiva, deixando suas máquinas e serviços exposto.
  4. CVE Checks / Vulnerabilidades e Exposições Comuns
    As regras nesse pacote ajudam a verificar se as instâncias EC2 avaliadas estão expostas a vulnerabilidades conhecidas (CVEs) baseados no repositório global da MITRE.

Sistemas suportados pelo AWS Inspector

  • Amazon Linux 2 (LTS, 2017.12)
  • Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03, 2013.09, 2013.03, 2012.09, 2012.03)
  • Ubuntu (18.04 LTS, 16.04 LTS, 14.04 LTS)
  • Debian (9.0 – 9.5, 8.0 – 8.7)
  • Red Hat Enterprise Linux (7.2 – 7.X, 6.2 – 6.9)
  • CentOS (7.2 – 7.X, 6.2 – 6.9)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016 Base

Nesse ponto vale salientar a falta dos Sistemas Operacionais mais atuais como RHEL 8.X e Windows 2019. Para terem noção o RHEL 8.X lançado Maio/2019 enquanto o Windows 2019 foi lançado em Novembro/2018. Isso em nossa opinião realmente complica um pouco o uso da solução pois o atraso com Sistemas mais atuais é muito amplo.

Teste de AMIs Padrão

Decidimos testar o funcionamento do Inspector avaliando o nível de segurança das imagens de máquina (AMI) padrão de sistemas operacionais amplamente utilizados. Selecionamos os seguintes:

  • Amazon Linux 2
  • Ubuntu 18.04
  • Redhat Enterprise Linux 7.6
  • Windows
  • CIS Hardened Image Level 1

Nossos testes mostraram uma grande quantidade de vulnerabilidades encontradas:

Ubuntu ami-0d5d9d301c853a04a (153 findings) testada em 10/01/2020

Redhat Enterprise Linux 7.X ami-006b2db4ca7e39d7d (298 findings) testada em 11/01/2020

Windows 2016 ami-084c1257f64cd7db9 (278 findings) testada em 13/01/2020

Amazon Linux 2 ami-02ccb28830b645a41 (100 findings) testada em 13/01/2020

CIS Amazon Linux 2 Benchmark – Level 1 ami-0dab0321406ed8c76 (35 findings) testada em 13/01/2020

É particularmente interessante perceber que mesmo a instância utilizando a imagem já configurada de forma segura provida pela própria CIS ainda assim apresenta vulnerabilidades, dado que o Inspector procura por todas as configurações recomendadas mas a instância testada só implementa as do nível 1.

Estes resultados mostram os riscos potenciais associados ao uso das AMI padrão, que infelizmente já vêm com diversas falhas conhecidas de segurança mesmo em suas versões mais recentes. As equipes de segurança de segurança e operações precisam: a) criar processos de atualização de instâncias de vida longa, e b) a manutenção e uso obrigatório de imagens padrão (golden images), configuradas de forma segura e atualizadas regularmente, para que novas instâncias não tenham janela de exposição inicial.

Categorização de Severidade

Uma das coisas que nos chamou a atenção foi que a vasta maioria dos testes relacionados ao padrão CIS são categorizados pelo Inspector como High, a classificação máxima de severidade.

Veja alguns exemplos de classificação das regras nesta imagem obtida de um dos relatórios gerados pelo Inspector no Amazon Linux:

Perceba que, neste exemplo, a configuração do banner de login do sistema operacional Linux (1.7.1.1) ou a ausência de logging de pacotes suspeitos (3.2.4) são classificados como High, o que nos parece ser uma grosseira super-avaliação do risco real que representam.

O fato das severidades do Inspector estarem mal classificadas pode levar a problemas graves de priorização de ações de remediação, e levar sua empresa a ficar exposta a riscos por mais tempo. Leve isso em consideração caso pense em implementar o Amazon Inspector em seu ambiente.

E não existe nenhuma forma que pudemos encontrar de escrever seus próprios testes ou de revisar a severidade de testes existentes nos resultados, que é bastante limitante.

Pontos para reflexão

O Amazon Inspector é promissor, mas em seu estado atual não parece ser uma solução pronta para ser sua solução principal de gestão de configuração segura de sistemas operacionais.

A demora no suporte a novas versões de sistemas operacionais e a super-avaliação do nível de risco nos resultados limitam severamente a sua utilidade. Existem outras soluções do mercado, inclusive algumas open source, que irão entregar resultados mais satisfatórios.

Referências Recomendadas

Escrito por Rodrigo Montoro e Alexandre Sieira.