AWS (Amazon Web Services) hat das hauseigene Tool Amazon Inspector mit zusätzlichen Funktionen zur Netzwerkprüfung ausgestattet, um exponierte Schwachstellen auf Host-Rechnen aufzudecken. Die neuen Prüffunktionen sollen sich ohne die Installation von Agenten nutzen lassen. Außerdem sei es für Anwender nicht mehr notwendig, Pakete an ihre Instanzen zu schicken.

Die Funktionserweiterung findet laut Hersteller im Rahmen der Provable-Security-Initiative von AWS statt. Hierbei handele es sich um eine Reihe herstellereigenen Techniken, die auf automatisierten Schlussfolgerungsprozessen (Automated Reasoning) basieren. Diese Abläufe nutzen mathematische Modelle, um Netzwerkkonfigurationen auf Schwachstellen hin zu analysieren, so der Public-Cloud-Anbieter.

Für robuste Netzwerkprüfungen sind laut AWS Werkzeuge nötig, die komplexe Scanner oder langwierige Analysen komplizierter Konfigurationen verwenden. Dies nehme jedoch viel Zeit in Anspruch. Inspector soll Anwendern hier eine einfache Möglichkeit bieten, Netzwerkprüfungen zu optimieren.

Untersuchungen lassen sich mit wenigen Klicks auf der AWS-Einstiegsseite einrichten. Mit dem neuen Regelpaket Network Reachability seien Nutzer in der Lage, auf all ihren Instanzen die Ports zu finden, die von außerhalb der Virtual Private Cloud (VPC) zugänglich sind. Dabei könne es sich um einen Zugang via Internet, VPN oder eine VPC-Peering-Verbindung handeln.

Die Prüfergebnisse zeigen laut Hersteller, welche Netzwerkkonfigurationen den Zugriff erlauben. Außerdem könne ein Nutzer erkennen, wo Zugriffe möglich sind, und sie bei Bedarf einschränken.

Ist zudem ein Inspector-Agent auf der Instanz verfügbar, kann die Prüfung zur Netzwerkereichbarkeit auch Prozesse finden, die auf erreichbaren Ports lauschen, so der Hersteller weiter. Auf diese Weise sollen Anwender von einer paket- und scannerlosen Netzwerkprüfung profitieren.

Warnmeldungen sollen die kritischsten offenen Stellen (Exposures) aufzeigen. Wenn wichtige bekannte Ports, basierend auf Amazons Standardrichtlinien, erreichbar sind, hebe das Tool die Ergebnisse mit höheren Schweregraden hervor. Auch sei es möglich, Netzwerkprüfungen und Host-basierte Regelpakete wie Common Vulnerabilities and Exposures (CVE) zusammen zu verwenden. Dies erleichtere es Anwendern, Schwachstellen besser zu verstehen und einzuordnen.

Weitere Informationen finden sich unter aws.amazon.com/de/inspector.

Timo Scheibe ist Redakteur bei der LANline.