Amazon Inspector 常見問答集

一般問題

Amazon Inspector 是一項自動化漏洞管理服務,可不斷掃描 Amazon Elastic Compute Cloud (EC2)、AWS Lambda 函數,以及 Amazon ECR 中和持續整合與持續交付 (CI/CD) 工具內的容器映像,以即時尋找軟體漏洞和意外網路風險。

Amazon Inspector 讓您只需單一步驟,即可跨所有帳戶部署 Amazon Inspector,從而消除與部署和設定漏洞管理解決方案關聯的營運開銷。其他好處包括:

  • 自動發現和持續掃描,提供近乎即時的漏洞問題清單
  • 透過設定委派管理員 (DA) 帳戶集中管理、設定和檢視所有組織帳戶的問題清單
  • 每個調查結果的高度情境化和有意義的 Amazon Inspector 風險評分,可協助您設定更準確的回應優先級
  • 直覺化的 Amazon Inspector 儀表板,可近乎即時地顯示涵蓋範圍指標,包括帳戶、Amazon EC2 執行個體、Lambda 函數,以及 Amazon ECR 中和 CI/CD 工具內的容器映像。
  • 藉由無縫掃描 EC2 執行個體,在代理程式型和無代理程式掃描 (預覽) 之間切換,以達到最大的漏洞評估涵蓋範圍。
  • 集中管理所有受監控資源的軟體物料清單 (SBOM) 匯出。 
  • 與 AWS Security Hub 和 Amazon EventBridge 整合以自動化工作流程和票證路由

您只需刪除帳戶中的所有評估範本,即可停用 Amazon Inspector Classic。若要存取現有評估執行的調查結果,您可以將其下載為報告或使用 Amazon Inspector API 將其匯出。您可以在 AWS 管理主控台中或使用全新 Amazon Inspector API 執行幾個步驟,來啟用新的 Amazon Inspector。您可以在 Amazon Inspector Classic 使用者指南中找到詳細的遷移步驟。

Amazon Inspector 已經過重新架構和重建,以建立新的漏洞管理服務。以下是對 Amazon Inspector Classic 的主要增強:

  • 為擴展而建置:全新 Amazon Inspector 專為擴展和動態雲端環境而建置。一次可掃描的執行個體或映像數目沒有限制。
  • 支援容器映像和 Lambda 函數:全新 Amazon Inspector 還會掃描駐留在 Amazon ECR 中和 CI/CD 工具內的容器映像,以及 Lambda 函數以尋找軟體漏洞。與容器相關的調查結果也會推送至 Amazon ECR 主控台。
  • 支援多帳戶管理:全新 Amazon Inspector 與 AWS Organizations 整合,允許您為您的組織委派 Amazon Inspector 的管理員帳戶。此委派管理員 (DA) 帳戶是一個集中式帳戶,可整合所有問題清單並可設定所有成員帳戶。
  • AWS Systems Manager Agent:使用全新 Amazon Inspector,您不再需要在所有 Amazon EC2 執行個體上安裝和維護獨立的 Amazon Inspector 代理。全新 Amazon Inspector 使用廣泛部署的 AWS Systems Manager Agent (SSM Agent),從而消除了這種需求。
  • 自動和持續掃描:全新 Amazon Inspector 會自動偵測所有新啟動的 Amazon EC2 執行個體、Lambda 函數和推送至 Amazon ECR 的合資格容器映像,並立即掃描其是否存在軟體漏洞和意外的網路風險。發生可能引入新漏洞的事件時,則會自動重新掃描涉及的資源。啟動重新掃描資源的事件包括在 EC2 執行個體中安裝新套件、安裝修補程式,以及發佈影響資源的新常見漏洞和風險 (CVE) 時。
  • Amazon Inspector 風險評分:全新 Amazon Inspector 透過將最新的 CVE 資訊與時間和環境因素 (例如網路可存取性和可利用性資訊) 相關聯,來計算 Inspector 風險評分,以新增內容來協助確定您的調查結果的優先級。
  • 漏洞評估涵蓋範圍:全新的 Amazon Inspector 透過無縫掃描 EC2 執行個體,並在代理程式型和無代理程式掃描 (預覽) 之間切換,來增強漏洞評估。
  • 軟體物料清單 (SBOM) 匯出:全新的 Amazon Inspector 可集中管理和匯出所有受監控資源的 SBOM。 

是,您可以在同一個帳戶中同時使用兩者。

 

  Amazon Inspector 容器映像掃描 以 Amazon ECR Clair 為基礎的解決方案

掃描引擎

Amazon Inspector 是一項 AWS 開發的漏洞管理服務,內建對駐留在 Amazon ECR 中容器映像的支援

Amazon ECR 提供受管開源 Clair 專案作為基本掃描解決方案

套件涵蓋範圍

識別作業系統 (OS) 套件和程式設計語言 (例如 Python、Java 和 Ruby) 套件中的漏洞

僅識別作業系統套件中的軟體漏洞

掃描頻率

提供持續掃描和推送掃描

僅提供推送掃描

漏洞智慧

提供增強型漏洞智慧,例如漏洞是否可用於 CVE,並在套裝版本修復指引中修正

僅提供關於軟體漏洞的基本資訊

問題清單

問題清單在 Amazon Inspector 和 Amazon ECR 主控台,以及在 Amazon Inspector 和 Amazon ECR 應用程式介面 (API) 和軟體開發套件 (SDK) 中可用

在 Amazon ECR 主控台、Amazon ECR API 和軟體開發套件中提供了問題清單

漏洞評分

提供來自國家漏洞資料庫 (NVD) 和供應商的內容相關 Inspector 分數和常見漏洞評分系統 (CVSS) v2 和 v3 分數

僅 CVSS v2 分數

AWS 服務整合

與 AWS Security Hub、AWS Organizations 和 AWS EventBridge 整合

不提供與其他 AWS 服務的內建整合

請參閱 Amazon Inspector 定價頁面以取得完整的定價詳情。

Amazon Inspector 的所有新帳戶都有資格享受 15 天免費試用,來評估服務並估算其成本。 在試用期間,所有符合條件的 Amazon EC2 執行個體、AWS Lambda 函數和推送至 Amazon ECR 的容器映像都會被持續免費掃描。您還可以在 Amazon Inspector 主控台中檢閱估算的支出。

Amazon Inspector 現已於全球提供。此處列出了依區域的具體可用性。

開始使用

您可以在 AWS 管理主控台中執行幾個步驟,為整個組織或個人帳戶啟用 Amazon Inspector。啟用後,Amazon Inspector 會自動發現執行中的 Amazon EC2 執行個體、Lambda 函數和 Amazon ECR 儲存庫,並立即開始持續掃描工作負載,以查找軟體漏洞和意外網路風險。如果您是 Amazon Inspector 新使用者,還享有 15 天免費試用

Amazon Inspector 問題清單是指潛在的安全漏洞。例如,當 Amazon Inspector 偵測到軟體漏洞,或開啟運算資源的網絡路徑時,則會建立安全問題清單。

是。Amazon Inspector 與 AWS Organizations 整合。您可以為 Amazon Inspector 指派一個 DA 帳戶,充當 Amazon Inspector 的主要管理員帳戶,可以對其集中管理和設定。DA 帳戶可以集中檢視和管理您的 AWS 組織所有帳戶包含的問題清單。

AWS Organizations 管理帳戶可以在 Amazon Inspector 主控台中或使用 Amazon Inspector API 為 Amazon Inspector 指派一個 DA 帳戶。

如果您是第一次啟動 Amazon Inspector,預設會啟用所有掃描類型,包括 EC2 掃描、Lambda 掃描和 Amazon ECR 容器映像掃描。然而,您可以在組織的所有帳戶中停用其中任何一個或所有這些掃描。現有使用者可以在 Amazon Inspector 主控台中,或透過使用 Amazon Inspector API 來啟用新功能。

否,您不需要代理程式進行掃描。對於 Amazon EC2 執行個體的漏洞掃描,您可以使用 AWS Systems Manager Agent (SSM Agent) 作為代理程式型解決方案。如果您沒有部署或設定 SSM Agent,Amazon Inspector 還提供無代理程式掃描 (預覽)。為了評估 Amazon EC2 執行個體的網路連線能力、容器映像的漏洞掃描或 Lambda 函數的漏洞掃描,不需要代理程式。 

若要成功掃描 Amazon EC2 執行個體的軟體漏洞,Amazon Inspector 要求這些執行個體由 AWS Systems Manager 和 SSM Agent 管理。如需有關啟用和設定 Systems Manager 的說明,請參閱 AWS Systems Manager 使用者指南中的 Systems Manager 先決條件。如需有關受管執行個體的資訊,請參閱 AWS Systems Manager 使用者指南中的受管執行個體部分。

Amazon Inspector 支援設定包容性規則,以選取掃描哪些 Amazon ECR 儲存庫。可以在 Amazon ECR 主控台內的登錄檔設定頁面下,或使用 ECR API 建立並管理包容性規則。設定可比對包容性規則的 ECR 儲存庫進行掃描。ECR 和 Amazon Inspector 主控台中均提供了儲存庫的詳細掃描狀態。

使用 Amazon Inspector

Amazon Inspector 儀表板中的環境涵蓋範圍面板顯示 Amazon Inspector 主動掃描的帳戶、Amazon EC2 執行個體、Lambda 函數和 ECR 儲存庫的指標。每個執行個體和映像都具有掃描狀態:正在掃描或未掃描。掃描意味著資源正被近乎即時地持續掃描。未掃描狀態可能意味著尚未執行初始掃描、作業系統不受支援,或某些其他原因正在阻止掃描。

所有掃描都根據事件自動執行。所有工作負載在發現時首先會掃描,後續會重新掃描。

  • 對於 Amazon EC2 執行個體:對於 SSM 代理型掃描,在執行個體上安裝或解除安裝新的軟體套件、發佈新的 CVE 以及更新易受攻擊的軟體套件後 (以確認沒有其他漏洞),將會啟動重新掃描。針對無代理程式掃描,掃描會每 24 小時執行一次。
  • 對於 Amazon ECR 容器映像:當發佈影響映像的新 CVE 時,會針對符合條件的容器映像啟動自動重新掃描。容器映像自動重新掃描依據 Amazon Inspector 主控台或 API 中,針對映像推送日期和提取日期設定的重新掃描持續時間而定。如果映像的推送日期小於設定的「推送日期重新掃描持續時間」,並且已在設定的「提取日期重新掃描持續時間」內提取映像,則會持續監控容器映像,並在發布影響映像的新 CVE 時開始自動重新掃描。映像推送日期的可用重新掃描持續時間組態為 90 天 (預設)、14 天、30 天、60 天、180 天或生命週期。映像擷取日期的重新掃描持續時間組態為 90 天 (預設)、14 天、30 天、60 天或 180 天。
  • 針對 Lambda 函數:所有新的 Lambda 函數在探索時都會進行初步評估,並在 Lambda 函數更新或發佈新 CVE 時不斷重新評估。

駐留在 Amazon ECR 儲存庫中且設定為持續掃描的容器映像,會在 Amazon Inspector 主控台或 API 中設定的期間內掃描。映像推送日期的可用重新掃描持續時間組態為 90 天 (預設)、14 天、30 天、60 天、180 天或生命週期。映像擷取日期的重新掃描持續時間組態為 90 天 (預設)、14 天、30 天、60 天或 180 天。

 

  • 啟動 Amazon Inspector ECR 掃描時,Amazon Inspector 僅選取最近 30 天內推送或提取的映像進行掃描,但會在針對推送和提取日期設定的重新掃描期間內持續掃描它們,即 90 天 (預設)、14 天、30 天、60 天、180 天或生命週期。如果映像的推送日期小於設定的「推送日期重新掃描持續時間」,並且已在設定的「提取日期重新掃描持續時間」內提取映像,則會持續監控容器映像,並在發布影響映像的新 CVE 時開始自動重新掃描。例如,啟用 Amazon Inspector ECR 掃描時,Amazon Inspector 會選擇過去 30 天內推送或提取的映像進行掃描。然而,啟動後,在您針對推送日期和提取日期組態選取 180 天重新掃描持續時間的情況下,如果映像在過去 180 天內被推送,或在過去 180 天內至少被提取一次,則 Amazon Inspector 會持續掃描映像。如果映像在過去 180 天內沒有被推送或提取,Amazon Inspector 則會停止監控該映像。
  • 在啟用 Amazon Inspector ECR 掃描之後推送到 ECR 的所有映像,都會在「推送日期重新掃描持續時間」和「提取日期重新掃描持續時間」中設定的持續時間內持續掃描。映像推送日期的可用重新掃描持續時間組態為 90 天 (預設)、14 天、30 天、60 天、180 天或生命週期。映像擷取日期的重新掃描持續時間組態為 90 天 (預設)、14 天、30 天、60 天或 180 天。自動重新掃描持續時間依據容器映像的上次推送或提取日期計算。例如,啟動 Amazon Inspector ECR 掃描後,在您針對推送日期和提取日期組態選取 180 天重新掃描持續時間的情況下,如果映像在過去 180 天內被推送,或在過去 180 天內至少被提取一次,則 Amazon Inspector 會持續掃描映像。但是,如果映像在過去 180 天內沒有被推送或提取,Amazon Inspector 則會停止監控該映像。
  • 如果映像處於「掃描資格已過期」狀態,您可提取映像以將映像返回 Amazon Inspector 監控之下。映像會從上次提取之日起,在設定的推送和提取日期重新掃描持續時間內持續掃描。
  • 對於 Amazon EC2 執行個體:是,可以透過新增資源標籤將 EC2 執行個體排除在掃描之外。您可以使用索引鍵 ‘InspectorEc2Exclusion’,對應的值為 <optional>。
  • 對於駐留在 Amazon ECR 中的容器映像:是。雖然您可以選取為掃描設定哪些 Amazon ECR 儲存庫,但會掃描儲存庫中的所有映像。您可以建立包容性規則來選取應掃描哪些儲存庫。
  • 對於 Lambda 函數:是,可以透過新增資源標籤將 Lambda 函數從掃描中排除。對於標準掃描,請使用索引鍵「InspectorExclusion」和值「LambdaStandardScanning」。對於程式碼掃描,請使用索引鍵「InspectorCodeExclusion」和值「LambdaCodeScanning」。

在多帳戶結構中,您可以透過委派管理員 (DA) 帳戶,從 Amazon Inspector 主控台或 API 為您在 AWS 組織內的所有帳戶啟用 Amazon Inspector for Lambda 漏洞評估,如果中央安全團隊尚未針對其他成員帳戶啟用 Amazon Inspector,則其他成員帳戶可為自己的帳戶啟用該服務。不屬於 AWS 組織的帳戶可透過 Amazon Inspector 主控台或 API,針對其個別帳戶啟用 Amazon Inspector。

Amazon Inspector 只會持續監控和評估 $LATEST 版本。只會針對最新版本繼續自動重新掃描,因此只會針對最新版本產生新的問題清單。在主控台中,您可以從下拉式清單中選擇版本來查看任何版本的問題清單。

不可以。您有兩種選擇:單獨啟用 Lambda 標準掃描,或同時啟用 Lambda 標準和程式碼掃描。Lambda 標準掃描針對部署為 Lambda 函數和關聯層的應用程式中使用的易受攻擊相依性提供基本安全保護。Lambda 程式碼掃描可在 Lambda 函數中掃描自訂專屬應用程式碼,以找出程式碼安全漏洞 (例如隱碼攻擊漏洞、資料洩漏、弱式密碼編譯或內嵌機密),從而提供額外的安全性。

變更預設的 SSM 清單收集頻率可能會影響掃描的持續性。Amazon Inspector 依靠 SSM Agent 來收集應用程式清單以產生問題清單。如果應用程式清單持續時間從預設的 30 分鐘開始增加,這會延遲對應用程式清單變更的偵測,並且可能會延遲新的問題清單。

Amazon Inspector 風險評分是一個高度情境化的評分,透過將常見漏洞和風險 (CVE) 資訊與網路可連線性結果、可利用性資料和社交媒體趨勢相關聯,針對每個問題清單產生該評分。這讓您能夠更輕鬆地確定問題清單的優先級,並專注於最關鍵的問題清單和易受攻擊的資源。您可以在「問題清單詳細資訊」側面板中的「Inspector 評分」標籤中,查看 Inspector 風險評分的計算方式及影響分數的因素。

例如:在您的 Amazon EC2 執行個體上發現了新的 CVE,只能在遠端受到攻擊。如果 Amazon Inspector 持續網路可連線性掃描還發現無法從網際網路連線該執行個體,則它知道該漏洞不太可能受到攻擊。因此,Amazon Inspector 會將掃描結果與 CVE 相關聯,以向下調整風險評分,更準確地反映 CVE 對特定執行個體的影響。

Amazon Inspector 評分 嚴重性
0 資訊性
0.2–3.9
4.0–6.9 中型
7.0–8.9
9.0–10.0 嚴重

Amazon Inspector 允許您根據您定義的自訂條件來隱藏問題清單。您可以針對組織認為可接受的問題清單建立隱藏規則。

您可以在 Amazon Inspector 主控台中或透過 Amazon Inspector API 執行幾個步驟,來產生多種格式 (CSV 或 JSON) 的報告。您可以下載包含所有調查結果的完整報告,或者根據主控台中設定的檢視篩選條件,來產生和下載自訂報告。

不可以。您有兩種選擇:單獨啟用 Lambda 標準掃描,或同時啟用 Lambda 標準和程式碼掃描。Lambda 標準掃描針對部署為 Lambda 函數和關聯層的應用程式中使用的易受攻擊相依性提供基本安全保護。Lambda 程式碼掃描可在 Lambda 函數中掃描自訂專屬應用程式碼,以找出程式碼安全漏洞 (例如隱碼攻擊漏洞、資料洩漏、弱式密碼編譯或內嵌機密),從而提供額外的安全性。

您可以透過 Amazon Inspector 主控台或 Amazon Inspector API 執行幾個步驟,採用多種格式 (CycloneDx 或 SPDX) 為使用 Amazon Inspector 監控的所有資源產生和匯出 SBOM。您可以為所有資源下載含有 SBOM 的完整報告,或根據設定的檢視篩選條件,選擇性地為少數選取資源產生並下載 SBOM。

對於使用單一帳戶的現有 Amazon Inspector 客戶,您可以透過瀏覽 Amazon Inspector 主控台內的帳戶管理頁面或使用 API,來啟用無代理程式掃描 (預覽)。

對於使用 AWS Organizations 的現有 Amazon Inspector 客戶,您的委派管理員需要將整個組織完全遷移至無代理程式解決方案,或繼續專門使用 SSM 代理程式型解決方案。您可以從主控台中的 EC2 設定頁面或透過 API 變更掃描模式組態。

對於新的 Amazon Inspector 客戶,在無代理程式掃描預覽期間,當您啟用 EC2 掃描時,將於代理程式型掃描模式下掃描執行個體。如有需要,您可以切換至混合掃描模式。在混合掃描模式下,Amazon Inspector 依賴 SSM Agent 進行應用程式庫存收集來執行漏洞評估,並自動對未安裝或設定 SSM Agent 的執行個體進行無代理程式掃描。

對於標記為無代理程式掃描 (預覽) 的執行個體,Amazon Inspector 將每 24 小時自動觸發掃描。對於標記為 SSM Agent 型掃描的執行個體,持續掃描行為不會變更。 

您只需瀏覽 Amazon Inspector 主控台中的資源涵蓋範圍頁面或使用 Amazon Inspector 涵蓋範圍 API,即可在「監控使用」欄中查看掃描模式。 

否,在多帳戶設定中,只有委派管理員才能為整個組織設定掃描模式組態。

應用程式和平台團隊可以使用專為各種 CI/CD 工具 (例如 Jenkins 和 TeamCity) 設計的專用 Amazon Inspector 外掛程式,將 Amazon Inspector 整合到建置管道。這些外掛程式可在各個 CI/CD 工具的市集中找到。在安裝外掛程式後,您可以在管道中新增一個步驟,來執行容器映像的評估並採取動作,例如根據評估結果封鎖管道。在評定中識別漏洞時,會產生切實可行的安全調查結果。這些調查結果包括漏洞詳細資訊、修復建議和可利用性詳細資訊。它們同時以 JSON 和 CSV 格式回到 CI/CD 工具,然後可以透過 Amazon Inspector 外掛程式將其轉換為人類可讀的儀表板,也可以由團隊下載。

否,如果您具有作用中 AWS 帳戶,則無需啟用 Amazon Inspector 即可使用此功能。

是。Amazon Inspector 使用 SSM Agent 來收集應用程式清單,這可將其設定為 Amazon Virtual Private Cloud (VPC) 端點,以避免透過網際網路傳送資訊。

您可以在此處找到支援的作業系統 (OS) 清單。

您可以在此處找到支援的程式設計語言套件清單。

是。Amazon Inspector 自動支援使用 NAT 的執行個體。

是。如需詳細資訊,請參閱如何設定 SSM Agent 以使用代理

Amazon Inspector 可與 Amazon EventBridge 整合以提供事件通知,例如新的問題清單、問題清單狀態變更,或隱藏規則的建立。Amazon Inspector 還可與 AWS CloudTrail 整合以進行呼叫記錄。

是。您可以執行 Amazon Inspector,針對 AWS 組織中的 Amazon EC2 執行個體的作業系統層級 CIS 組態基準,執行隨需和目標評定。

是。如需詳細資訊,請參閱 Amazon Inspector 合作夥伴

是。您可以停用 Amazon Inspector 服務,藉此來停用所有掃描類型 (Amazon EC2 掃描、Amazon ECR 容器映像掃描和 Lambda 函數掃描),或針對某個帳戶單獨停用每種掃描類型。

否。Amazon Inspector 不支援暫停狀態。