预到云漏洞扫描

Question

我们有漏洞扫描软件在共享子网，我们的网上网络.我们现在正在添加托管在公共云上的VM，需要对它们执行漏洞扫描。一种选择是打开从open到公共云的单向流量，这样扫描仪就可以到达所有VM。因此，所有端口都将向VM开放(在一个方向)。这是可取的吗？在子网中运行vul扫描软件不更好吗?这样就不需要在on和cloud之间允许任何流量了吗？例如，运行在VM相同子网中的扫描仪可以将结果推送到dmz中的中央扫描器服务器。公司如何适应公共云解决这一问题？

Answer 1

利用云中现有的扫描仪软件变得越来越普遍。在像AWS这样的平台上，许多商业产品也会有一个AMI。例如：https://community.tenable.com/s/article/Amazon-Machine-Image-Deployment-AMI

这里的真正答案取决于以下几点：

• 是您使用的云平台。
• 是您需要使用的漏洞扫描软件。
• 是您在云中使用的服务。

还值得考虑采用一个产品或工具集，该产品或工具集可以与您的云环境集成，在创建新资产时扫描它们。如果您的云堆栈使用非VM服务(如AWS、S3)，那么它们也需要自己非常特定的扫描类型。