本地到云漏洞扫描
On-prem to cloud vulnerability scanning
我们在本地网络的共享子网中有漏洞扫描软件。我们现在正在添加托管在 public 云上的虚拟机,需要对其执行漏洞扫描。一种选择是打开从本地到 public 云的单向流量,以便扫描器可以到达所有虚拟机。因此所有端口都将对虚拟机开放(在一个方向上)。这是可取的吗?在子网中使用 运行 vul 扫描软件会不会更好,这样就不需要在本地和云之间允许任何流量?例如,与虚拟机位于同一子网中的扫描器 运行 可以将结果推送到 dmz 中的中央扫描器服务器。采用 public 云的公司如何解决这个问题?
利用云中的现有扫描仪软件变得越来越普遍。在 AWS 这样的平台上,许多商业产品也会有一个用于此目的的 AMI。例如:https://community.tenable.com/s/article/Amazon-Machine-Image-Deployment-AMI
真正的答案取决于以下几点:
- 您使用的云平台。
- 您需要使用的漏洞扫描软件。
- 您在云中使用的服务。
还值得考虑采用可以与您的云环境集成的产品或工具集,以便在创建新资产时对其进行扫描。如果您的云堆栈使用非 VM 服务(如 AWS S3),则也需要它们自己非常特定的扫描类型。
我们在本地网络的共享子网中有漏洞扫描软件。我们现在正在添加托管在 public 云上的虚拟机,需要对其执行漏洞扫描。一种选择是打开从本地到 public 云的单向流量,以便扫描器可以到达所有虚拟机。因此所有端口都将对虚拟机开放(在一个方向上)。这是可取的吗?在子网中使用 运行 vul 扫描软件会不会更好,这样就不需要在本地和云之间允许任何流量?例如,与虚拟机位于同一子网中的扫描器 运行 可以将结果推送到 dmz 中的中央扫描器服务器。采用 public 云的公司如何解决这个问题?
利用云中的现有扫描仪软件变得越来越普遍。在 AWS 这样的平台上,许多商业产品也会有一个用于此目的的 AMI。例如:https://community.tenable.com/s/article/Amazon-Machine-Image-Deployment-AMI
真正的答案取决于以下几点:
- 您使用的云平台。
- 您需要使用的漏洞扫描软件。
- 您在云中使用的服务。
还值得考虑采用可以与您的云环境集成的产品或工具集,以便在创建新资产时对其进行扫描。如果您的云堆栈使用非 VM 服务(如 AWS S3),则也需要它们自己非常特定的扫描类型。