如果沒有專門的安全團隊，執行AWS 安全審計通常意味著在按檢查次數計費的企業級平台和不提供修復指導的通用開源掃描器之間做出選擇。 Cloud-audit 是由 Mariusz Gebala 發佈在 GitHub 上的 Python 命令列工具，它縮小了審計範圍，並為產生的每個問題都提供了修復方案。

雲端審計 AWS 安全掃描器

該工具對 15 項 AWS 服務（包括 IAM、S3、EC2、VPC、RDS、Lambda、ECS、CloudTrail、GuardDuty、KMS、SSM、Secrets Manager、CloudWatch 和 AWS Config）執行 45 項精心設計的檢查。每項檢查結果都對應 16 項 CIS AWS 基礎基準測試控制措施之一。檢查集的嚴重性分佈為：6 項嚴重、13 項高、16 項中、10 項低。

修復成果是什麼樣子的

Gebala 表示：「修復輸出是其主要差異所在，大多數 AWS 掃描器都會突出顯示基礎設施問題。我的工具與其他工具的不同之處在於，除了指出問題之外，它還提供可直接運行的命令。」這些命令以 AWS CLI 指令或 Terraform 程式碼片段的形式出現，每個指令都附帶指向相關 AWS 文件的連結。此外，還有一個單獨的--export-fixes標誌會將所有修復方案寫入一個帶有註釋的 bash 腳本set -e，該腳本旨在供使用者在執行前進行審查並選擇性地取消註釋。

Gebala解釋說，檢查集特意控制在較小的範圍內。他希望專注於對15項受支援服務進行精心挑選的檢查，以避免許多掃描器產生的大量輸出，從而集中精力於潛在攻擊者可能利用的漏洞。專案文件也體現了同樣的原則，指出每項檢查都回答一個問題：“攻擊者會利用這一點嗎？”

涵蓋的檢查和評分

安全檢查集涵蓋常見的設定錯誤類別：沒有 MFA 的 root 帳戶、具有通配符操作和資源的 IAM 策略、沒有公共存取區塊的 S3 儲存桶、對敏感連接埠上的 0.0.0.0/0 開放的安全性群組、可公開存取的 RDS 執行個體、停用日誌驗證的 CloudTrail、沒有身分驗證字串 的功能組為純函數的功能。

該工具還包括成本和可靠性檢查，涵蓋未附加的彈性 IP、已停止的 EC2 執行個體、單可用區 RDS 部署和沒有版本控制的 S3 儲存桶等項目。

掃描結果會產生一個健康評分，初始值為 100 分。嚴重問題每項扣除 20 分，高危險問題扣除 10 分，中危險問題扣除 5 分，低危險問題扣除 2 分。專案文件將 80 分及以上的分數列為可接受範圍，50 至 79 分錶示需要關注，50 分以下表示需要立即採取行動。

輸出格式和 CI/CD 集成

Gebala指出，針對不同受眾群體，輸出格式的選擇是一項實際考慮：例如，GitHub程式碼掃描使用SARIF格式，自動PR評論使用Markdown格式，而面向客戶的交付物則使用HTML報告。設定檔允許團隊調整掃描粒度，設定最低嚴重性閾值、目標區域以及每個項目的檢查排除項。

SARIF 的輸出結果會顯示在 GitHub 安全性標籤中。文件中所述的 GitHub Actions 工作流程使用 OIDC 驗證，每次工作流程運行都會產生短期令牌，從而避免在儲存庫金鑰中儲存靜態 AWS 金鑰。

路線圖和下載

作者表示，程式碼庫包含 168 個測試案例，並且仍在積極開發中。計劃新增的功能包括將檢查數量擴展到 60 個，並覆蓋 CloudFront、SNS、SQS 和 Elasticsearch，以及添加掃描差異功能，用於比較兩個報告，以便追蹤修復進度。

Gebala 還計劃推出分類模式，為設計中可接受的風險產生抑製配置，支援 Azure 作為第二個雲端供應商，以及為計劃掃描提供 Slack 通知。Cloud-audit 可在GitHub上免費取得。

資料來源：https://www.helpnetsecurity.com/2026/03/11/cloud-audit-open-source-aws-security-scanner/