用 Scout Suite 偵測 AWS 的設定是否足夠安全

聽到有這種工具應該算是目前專案帶給我的一大收穫

Scout Suite 可以掃描一個 AWS 帳號下所有 resource 的設定是否足夠安全，
舉例來說：Security group outbound 是否設為 0.0.0.0/0、是否有 IAM Policy 開放全部權限

在這頁面有教怎麼安裝，使用的狀況如下圖

在圖中是使用預先放在 ~/.aws/credentials 裡面的金鑰
這份金鑰的 IAM user 需要下面兩個 managed policy：

• ReadOnlyAccess

• SecurityAudit

跑完之後會得到一份 HTML 報告，從裡面也可以匯出 CSV

不過要再次強調，Scout Suite 會掃描單一帳號下的所有資源
若是你正在開發新專案，而且將會把這專案的 ScoutSuite 報告交給外部人員稽核
那最好早點開一支新帳號來做開發

這工具會掃出一些我覺得很有趣的事情：

• 有沒有開 CloudTrail

• EBS Snapshot、Volume 是否有加密

• Security group 是否對全網開放

• ELB 是否有開 Drop invalid header fields

• IAM 是否有 cross-account role 沒用 external id 或 MFA 保護

• IAM 密碼政策