由于最近对AWS渗透测试策略的更改，AWS客户现在在对其AWS资源执行安全扫描时有了更多的自由。在Auth0，我们正在利用这一政策变化来更好地理解和保护我们向世界公开的云资源。在政策更新之前，AWS客户需要提交渗透测试授权请求，等待批准后才允许执行扫描。这项政策的改变使得许多AWS服务的渗透测试不需要预先批准。这项新政策对安全团队意味着什么几乎每个云安全工程师都有填写AWS渗透测试请求并等待响应的经验。此手动过程大大降低了执行漏洞扫描的速度。对于那些将代码推向生产的组织来说，这通常会让安全团队不断地玩"追赶"游戏。或者你曾经是一个安全工程师，负责对你的AWS环境进行外部漏洞扫描，而你却一直在猜测有哪些面向互联网的资源存在。像AWS这样的云提供商使得在互联网上提供服务变得非常容易，这使得控制您向世界公开的端口和协议变得更加困难。丹尼尔·米斯勒在他最近关于这个话题的博客中说得很好/getawspublicips.sh：了解您面对互联网的公共AWS IP："然而，我看到的最大的问题是公司根本不知道他们向世界展示的是什么端口、协议和应用程序。"（丹尼尔·米斯勒）你的IP安全工程师几乎不可能收到一个动态的IP地址，或者是一个动态的IP地址。这个IP可能早就不存在了，从您的负载平衡器中释放出来，现在完全与某些东西和其他人相关。更新的渗透测试策略为解决这些问题打开了大门。"@awscloud security scan freedom对安全团队意味着什么。（提示：工作量减少）。"在推特上留言我们在Auth0做什么Auth0云安全团队正利用这一政策变化来改进我们跟踪和保护互联网足迹的方式。过去，我们依赖于AWS环境的定时外部扫描来验证我们公开的服务、端口和协议。我们通常每个月或每季度都要执行这些扫描，这仅仅是因为在分配的时间窗口内获得批准和扫描整个环境的人工开销。由于我们有120多个AWS账户，并且在多个地区开展业务，这是一个真正的挑战。启用连续外部漏洞扫描的第一步是全面了解我们的公共IP地址。由于公共IP分配给ELBs和CloudFront发行版的动态特性，这需要一些工程设计工作。幸运的是，我们已经有了一个内部工具，可以不断地爬行我们的AWS环境，以捕获正在使用的公共ip。这个工具由一些简单的Lambda函数组成，这些函数在DynamoDB表中存储公共IP数据。为了使这些数据易于使用，我们构建了一个带有几个查询端点的小型restapi。在执行网络取证或调查涉及公共IP地址的潜在漏洞发现时，这是一个非常好的工具。DynamoDB记录示例如下所示。{"ipAddress"："x.x.x.x"，"资源ID:"xyz.us公司-东-1。亚马逊网站","resourceName"："负载均衡器-01"，"resourceType"："AWS:：ElasticLoadBalancingV2:：LoadBalancer"，"account"："12345678"，"区域"："us-east-1""最新发现"："2019-03-14T20:00:44.160144"}接下来，我们确定了如何使用这些公共IP数据来持续扫描我们的互联网足迹，以查找不需要的服务和漏洞。我们在公共IP发现Lambda中添加了一些逻辑，以便向一个简单队列服务（SQS）队列提供每个发现的IP。另一个Lambda函数接收该SQS消息并执行以下操作：它对该IP地址执行网络映射器（NMAP）扫描。我们通过构建一个包含NMAP二进制文件的Lambda层和允许Lambda本身执行NMAP命令的支持文件来实现这一点。然后它将IP地址输入到其他漏洞扫描工具中，我们使用这些工具针对监听该IP地址的服务运行更长、更深入的评估。下面是解决方案如何组合在一起的高级视图。我们已经将此设置为在我们使用的所有客户和区域中连续运行。从我们的云基础设施的角度来看，将提供许多好处：我们可以不断检测我们面向互联网的服务中的潜在漏洞当一个新的面向Internet的资源被配置时，我们可以收到警报我们可以检测到过度许可的安全组，这些安全组向互联网暴露的端口比必要的要多我们能够更好地执行取证，知道我们在任何时间点的公共IP地址"Auth0如何利用@aws渗透策略的最新变化。"在推特上留言从手动转向自动最新的AWS渗透测试策略更新对安全团队来说是个好消息。在Auth0，我们已经能够将一个曾经手动和耗时的过程转换为自动化和连续的防御控制。在运行我们的解决方案一周后，我们收集了超过3800个由我们的AWS资源使用的公共IP地址。我们正在继续增强我们的工具，并希望在不久的将来将我们所构建的大部分开源。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证.灯箱{宽度：100%；高度：100%；位置：固定；顶部：0；左：0；背景：rgba（0，0，0，0.85）；z-指数：9999999；线高：0；光标：指针；}.灯箱图像{光标：指针；余量：0自动；块：显示；}.灯箱图像{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：100%；最大高度：100%；}@媒体屏幕和（最小宽度：1200像素）{.灯箱图像{最大宽度：1200px；}}@媒体屏幕和（最小高度：1200像素）{.灯箱图像{最大高度：1200px；}}.灯箱跨度{块：显示；位置：固定；底部：13px；高度：1.5em；线路高度：1.4em；宽度：100%；文本对齐：居中；颜色：白色；文本阴影：-1px-1px 0#000，1px-1px 0#000，-1px 1px 0#000，1件1件0万件；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；字号：18px；}.lightbox.videowrapper容器{职位：亲属；顶部：50%；左：50%；-ms转换：translateX（-50%）translateY（-50%）；-webkit转换：翻译（-50%，-50%）；转换：平移（-50%，-50%）；最大宽度：900px；最大高度：100%；}.lightbox.videoWrapperContainer.videoWrapper容器{高度：0；线高：0；余量：0；填充：0；职位：亲属；填充底部：56.333%；/*自定义*/背景：黑色；}.lightbox.videoWrapper iframe{位置：绝对；顶部：0；左：0；宽度：100%；高度：100%；边框：0；块：显示；}.lightbox上一页，.lightbox下一个{高度：50px；线高：36px；显示：无；顶部边缘：-25px；位置：固定；顶部：50%；填充：0 15px；光标：指针；文字装饰：无；z指数：99；颜色：白色；字号：60px；字体系列："fakt web"，"Helvetica Neue"，Hevetica，sans serif；}.灯箱画廊#上一页，.灯箱画廊#下一个{块：显示；}.lightbox上一页{左：0；}.lightbox下一个{右：0；}.lightbox关闭{高度：50px；宽度：50px；位置：固定；光标：指针；文字装饰：无；z指数：99；右：0；顶部：0；}.灯箱#结束：之后,.灯箱#关闭：之前{位置：绝对；顶部边缘：22px；左边距：14px；内容：""；高度：3px；背景：白色；宽度：23px；-webkit转化来源：50%50%；-moz转化来源：50%50%；-o-转化原点：50%50%；转化来源：50%50%；/*狩猎*/-webkit变换：旋转（-45度）；/*火狐*/-moz变换：旋转（-45度）；/*IE公司*/-ms变换：旋转（-45度）；/*歌剧