我们在prem网络的共享子网中有漏洞扫描软件。我们现在正在添加托管在公共云上的虚拟机,需要对它们执行漏洞扫描。一种选择是打开从on-prem到公共云的单向流量,以便扫描仪可以访问所有虚拟机。因此,所有端口都将向虚拟机开放(朝一个方向(。这是可取的吗?在子网中运行vul扫描软件,这样在prem和云之间就不需要允许任何流量了,这不是更好吗?例如,与VM在同一子网中运行的扫描仪可以将结果推送到dmz中的中央扫描仪服务器。采用公有云的公司如何解决这一问题?
利用云中现有的扫描仪软件变得越来越普遍。在像AWS这样的平台上,许多商业产品也将具有用于此目的的AMI。例如:https://community.tenable.com/s/article/Amazon-Machine-Image-Deployment-AMI
这里的真正答案取决于以下几点:
- 您使用的云平台
- 您需要使用的漏洞扫描软件
- 您在云中使用的服务
还值得考虑采用一种产品或工具集,它可以与您的云环境集成,在创建新资产时扫描这些资产。如果你的云堆栈使用非虚拟机服务(如AWS S3(,也需要它们自己非常特定的扫描类型。