一般性问题

什么是 Amazon Inspector?

Amazon Inspector 是一款自动化安全评估服务,可帮助您测试 Amazon EC2 实例的网络可访问性以及其上运行的应用程序的安全状态。

问:Amazon Inspector 有什么用处?

Amazon Inspector 可帮助您在整个开发和部署流程中或针对静态生产系统实现安全漏洞评估自动化。这样,您便可在开发和 IT 运营流程中更有规律地进行安全测试。Amazon Inspector 是一款使用可选代理的 API 驱动型服务,可让您轻松部署、管理和实现自动化。Amazon Inspector 评估作为预定义的规则包(映射到常见安全最佳实践和漏洞定义)提供给您。

问:Amazon Inspector 服务包括哪些内容?

Amazon Inspector 包含一项用于分析您在 AWS 中的网络配置能否实现可访问性的技术、一个 Amazon EC2 实例的操作系统中所安装的由 Amazon 开发的代理,以及一款使用来自代理和 AWS 配置的遥测数据来评估实例中是否存在安全风险和漏洞的安全评估服务。

问:什么是评估模板?

评估模板是指在 Amazon Inspector 中创建的一项配置,用于定义评估运行。此评估模板包括规则包(您希望 Amazon Inspector 根据其评估您的评估目标)、评估运行的持续时间、Amazon Simple Notification Service (SNS) 主题(您希望 Amazon Inspector 向其发送有关评估运行状态和结果的通知)以及 Amazon Inspector 的特定属性(键/值对),您可以将这些属性指定给由评估运行生成的结果。

什么是评估运行?

评估运行是指通过根据指定的规则包分析评估目标的配置、所安装的软件和行为来发现潜在安全问题的过程。如果使用了网络可访问性规则包,那么 Inspector 就会分析您在 AWS 中的网络配置,以确定能否通过网络访问 EC2实例。如果实例上安装了 Inspector 代理,该代理将收集并发送主机上的软件和配置数据。然后,Inspector 服务会分析这些数据并将其与指定的规则包进行比较。评估运行完成后,将会生成潜在安全问题的结果列表。

在 Amazon Inspector 评估运行期间,性能是否会受影响?

运行使用网络可访问性规则包的无代理评估对应用程序的性能没有任何影响。当使用 Amazon Inspector 代理时,在评估运行的数据收集阶段,性能会受到很小的影响。

什么是评估目标?

评估目标是指一组需要评估的 Amazon EC2 实例,通常是一组作为一个单元协同工作以助您实现业务目标的实例。Amazon Inspector 会评估这些 EC2 实例的安全状态。您可以在评估目标中包含所有实例,或者通过使用 Amazon EC2 标签指定一部分实例。

什么是结果?

结果是指在对特定目标进行 Amazon Inspector 评估运行的过程中所发现的潜在安全问题。结果显示在 Amazon Inspector 控制台中,也可以通过 API 进行检索,它既包括对安全问题的详细描述,又包括解决问题的建议。

什么是规则包?

规则包是指一组安全检查,可以将其作为评估模板和评估运行的一部分进行配置。Amazon Inspector 有两种类型的规则包:网络可访问性规则包(用于检查 Amazon EC2 实例的网络可访问性)和主机评估规则包(用于检查 Amazon EC2 实例上的漏洞和不安全配置)。主机评估规则包中包括常见漏洞和风险 (CVE)、互联网安全中心 (CIS) 操作系统配置基准和安全最佳实践。有关可用规则包的完整列表,请参阅 Amazon Inspector 文档

能否自定义评估模板的规则?

不能。目前只允许评估运行使用预定义的规则。

Inspector 可以分析主机上的哪些软件包存在漏洞?

Amazon Inspector 通过查询安装了代理的操作系统上的软件包管理器或软件安装系统来查找应用程序。这意味着它可以对通过软件包管理器安装的软件执行漏洞评估。对于未通过这些方法安装的软件版本和补丁级别,Inspector 则无法识别。例如,通过 apt、yum 或 Microsoft 安装程序安装的软件可以由 Inspector 进行评估,而通过 make config/make install 安装的软件,或通过使用 Puppet 或 Ansible 等自动化软件将二进制文件直接复制到系统进行安装的软件,则无法由 Inspector 进行评估。

什么是评估报告,评估报告包含哪些内容?

评估运行流程成功完成后,即会生成一份 Amazon Inspector 评估报告。评估报告是一份文档,详细说明评估运行流程中测试的内容以及评估结果。评估结果采用标准报告格式,可在生成后与团队成员共享,以便进行修复操作,从而丰富合规审核数据或留存以供将来参考。

评估报告有结果报告和完整报告这两种类型,您可以从中为您的评估进行选择。结果报告包含评估的执行摘要、针对的实例、测试的规则包、生成结果的规则和每条规则的详细信息,以及未通过审核的实例的列表。完整报告除包含结果报告中的所有信息外,还提供了在评估目标中针对所有实例接受审核且通过审核的规则的列表。

如果在我运行评估时一些代理不可用,会出现什么情况?

对于所有 Amazon EC2 实例,使用网络可访问性规则包的 Amazon Inspector 评估均可在没有安装代理的情况下运行。主机评估规则包则需要安装代理。Amazon Inspector 将从所有可用代理收集漏洞数据,并为其返回任何适当的安全结果。Inspector 会生成排除项,在 EC2 实例没有安装代理或者代理运行状况不佳时通知您。

代理在何种情况下会不可用?

Amazon Inspector 代理可能会不可用,原因有多种,例如:EC2 实例处于关闭状态或无响应;目标实例未安装代理;安装的代理不可用或不能返回漏洞数据。

Amazon Inspector 如何定价?

Amazon Inspector 的定价基于每个评估中包含的 Amazon EC2 实例数量,并且取决于您为评估选择的规则包。Inspector 评估可以使用主机评估规则包和/或网络可访问性规则包。主机评估规则包中包括常见漏洞和风险 (CVE)、互联网安全中心 (CIS) 基准、安全最佳实践和运行时行为分析。如果您的评估同时使用主机规则包和网络可访问性规则包,那么您需要分别付费。按需计费周期是指一个日历月。有关完整的定价详情,请参阅 Amazon Inspector 定价页面。

定价示例:

考虑这样一个场景:您在一个月内进行了以下评估运行。在本示例中,所有评估运行均同时使用了主机评估规则包和网络可访问性规则包。所有 EC2 实例上都安装了 Inspector 代理。

对 1 个实例运行 1 次评估
对 10 个实例运行 1 次评估
对 2 个实例分别运行 10 次评估
对 10 个实例分别运行 30 次评估

如果上述内容表示在给定计费周期内您的账户中 Amazon Inspector 评估运行的活动数,则将向您收取共 331 个代理评估的费用和 331 个网络可访问性实例评估的费用。

每个主机代理评估和网络可访问性实例评估的价格均基于分层定价模型。例如,随着给定计费周期内您的代理评估数量的增加,每个代理评估的支付价格将更低。

您的账户在此计费期间的 Amazon Inspector 费用为:

对于主机评估规则包:
前 250 个代理评估,每个代理评估 0.30 USD
之后的 81 个代理评估,每个代理评估 0.25 USD

对于网络可访问性规则包:
前 250 个实例评估,每个实例评估 0.15 USD
之后的 81 个实例评估,每个实例评估 0.13 USD

将上述所有值相加,即可得出 Amazon Inspector 账单为 95.25 USD 的主机代理评估费用加上 48.03 USD 的网络可访问性实例评估费用,总计 143.28 USD。

Amazon Inspector 是否提供免费试用版?

提供。对于从未运行过 Amazon Inspector 评估的账户,前 90 天可以免费获享 250 个使用主机规则包的代理评估和 250 个使用网络可访问性规则包的实例评估。

Amazon Inspector 支持哪些操作系统?

有关 Inspector 代理支持的操作系统的最新列表,请参阅 Amazon Inspector 文档。请注意,对于所有 Amazon EC2 实例,网络可访问性规则包均可在没有安装代理的情况下运行,与操作系统无关。如果安装了 Inspector 代理,那么网络可访问性规则包就会生成包含能够识别 EC2 实例上可访问软件进程的信息的增强结果。

在哪些区域可以使用 Amazon Inspector?

有关受支持区域的最新列表,请参阅 Amazon Inspector 文档

哪些 Linux 内核版本支持 Amazon Inspector 评估?

通过使用网络可访问性、常见漏洞和风险 (CVE)、互联网安全中心 (CIS) 基准,或与内核版本无关的安全最佳实践规则包,您可以为配备基于 Linux 的操作系统的 EC2 实例成功运行评估。但是,要使用运行时行为分析规则包运行评估,您的 Linux 实例必须使用支持 Amazon Inspector 的内核版本。此处提供了 Amazon Inspector 评估支持的 Linux 内核版本的最新列表。

Amazon Inspector 听起来很棒,如何开始使用?

只需在 AWS 管理控制台中注册 Amazon Inspector 即可。在欢迎页面上,只需单击一次,即可为您的整个账户启用预定的网络可访问性评估。您可以在 EC2 实例上安装可选的 Inspector 代理,以启用主机评估规则包。您还能使用高级设置选项来自定义要评估的 EC2 实例、规则包选项和结果通知。评估运行完成后,Inspector 将针对在您的环境中发现的安全问题生成结果。

是否需要将 Amazon Inspector 代理安装在我要评估的所有 EC2 实例上?

不需要。对于所有 Amazon EC2 实例,使用网络可访问性规则包的 Amazon Inspector 评估均可在没有安装代理的情况下运行。主机评估规则包则需要安装代理。

如何安装 Amazon Inspector 代理?

可通过多种方式来安装代理。对于简单安装,您可以在每个实例上手动安装,或者使用 AWS Systems Manager Run Command 文档 (AmazonInspector-ManageAWSAgent) 进行一次性加载。对于大型部署,您可以在配置实例时使用 EC2 用户数据功能自动安装代理,也可以使用 AWS Lambda 创建自动化的代理安装。您还可以通过从 EC2 控制台或 AWS Marketplace 将 Amazon Linux AMI 与预安装的 Amazon Inspector 代理结合使用来启动 EC2 实例。

如何检查 Amazon Inspector 代理是否已安装在我的 EC2 实例上并且正常运行?

您可以通过 Inspector 控制台中提供的“预览目标”功能以及 PreviewAgents API 查询,查看评估目标中所有 EC2 实例的 Amazon Inspector 代理状态。代理状态包括代理是否已安装在 EC2 实例上以及代理的运行状况。除了目标 EC2 实例上的 Inspector 代理状态,还会显示实例 ID、公有主机名和公有 IP 地址(如果已定义),以及每个实例的 EC2 控制台链接。

Amazon Inspector 是否会访问我账户中的其他 AWS 服务?

Amazon Inspector 需要枚举 EC2 实例和标签,以识别评估目标中指定的实例并读取 AWS 网络配置。当您作为新客户或在新区域开始使用 Inspector 时,Amazon Inspector 会通过代表您创建的服务相关角色来访问这些内容。Inspector 服务相关角色由 Amazon Inspector 进行管理,因此您无需担心意外撤销了 Amazon Inspector 所需的权限。对于某些现有客户,在开始使用 Inspector 时注册的 IAM 角色可用于访问其他 AWS 服务,直到创建 Inspector 服务相关角色。您可以通过 Inspector 控制台的控制面板页面创建 Inspector 服务相关角色。

我的实例使用网络地址转换 (NAT)。Amazon Inspector 能否与这些实例配合使用?

可以。Amazon Inspector 支持使用 NAT 的实例,不需要您进行操作。

我的实例使用代理。Amazon Inspector 能否与这些实例配合使用?

可以。Amazon Inspector 代理支持代理环境对于 Linux 实例,我们支持 HTTPS 代理;对于 Windows 实例,我们支持 WinHTTP 代理。请参阅 Amazon Inspector 用户指南,了解如何为 AWS Inspector 代理配置代理支持。

我希望对基础设施定期自动进行评估,贵方是否提供自动设置评估的方式?

提供。Amazon Inspector 提供了一个完整的 API,允许自动创建应用环境、创建评估、评估策略、创建策略异常、创建筛选条件以及检索结果。Amazon Inspector 评估也可通过 AWS CloudFormation 模板进行配置和触发。

我能否安排安全评估在特定日期和时间运行?

能,您可以在评估模板中为评估设置重复的简单时间表。Inspector 评估可由任何 Amazon CloudWatch 事件触发。您可以通过 CloudWatch 事件使用固定重复率或更详细的 Cron 表达式来设置自定义时间表。

我可以触发基于事件运行的安全评估吗?

可以。您可以使用 Amazon CloudWatch Events 创建事件模式以监控其他 AWS 服务中是否存在触发评估的操作。例如,您可以创建一个事件来监控 AWS Auto Scaling 是否启动了新的 Amazon EC2 实例,或者监控 AWS CodeDeploy 通知以了解代码部署是否成功完成。一旦针对 Amazon Inspector 模板配置了 CloudWatch 事件,这些评估事件将作为评估模板的一部分显示在 Inspector 控制台中,以便您可以查看该评估的所有自动触发器。

我可以通过 AWS CloudFormation 设置 Amazon Inspector 评估吗?

是的,您可以使用 AWS CloudFormation 模板创建 Amazon Inspector 资源组、评估目标和评估模板。这样,可以在部署 EC2 实例时为其自动设置安全评估。在 CloudFormation 模板中,您还可以在 AWS::CloudFormation::InitEC2 用户数据中使用代理安装命令,从而在 EC2 实例上进行 Inspector 代理的引导安装。或者,也可以通过使用带预安装 Inspector 代理的 AMI,在 CloudFormation 模板中创建 EC2 实例。

从哪里可以找到关于 Amazon Inspector 评估的指标信息?

Amazon Inspector 会自动将关于评估的指标数据发布到 Amazon CloudWatch。如果您是 CloudWatch 用户,那么您的 Inspector 评估统计数据会被自动填充到 CloudWatch 中。目前提供的 Inspector 指标包括评估次数、定为目标的代理和生成的结果。有关更多详细信息,请参阅 Amazon Inspector 文档,其中包含关于发布到 CloudWatch 的评估指标的详细信息。

Amazon Inspector 可以与其他 AWS 服务集成来进行日志记录和提供通知吗?

Amazon Inspector 通过与 Amazon SNS 集成来提供有关各种事件(如监控重要事件、故障或异常到期)的通知,通过与 AWS CloudTrail 集成来记录对 Amazon Inspector 的调用。

什么是网络可访问性规则包?

网络可访问性规则包可识别能从您的 VPC 外部访问的 Amazon EC2 实例上的端口和服务。当您使用此规则包运行评估时,Inspector 会查询 AWS API 来读取您账户中的网络配置,例如 Amazon Virtual Private Cloud (VPC)、安全组、网络访问控制列表 (ACL) 和路由表。然后,分析这些网络配置以证明端口的可访问性。结果显示网络配置允许访问可访问的端口,以帮助您根据需要轻松地限制访问。使用网络可访问性规则包的评估不需要安装 Amazon Inspector 代理。对于安装了 Inspector 代理的实例,网络可访问性结果因包含能够识别要在可访问端口上监听哪些进程的信息而得以增强。


将 Inspector 代理用于网络可访问性规则包有什么优势?

使用网络可访问性规则包的评估不需要安装 Amazon Inspector 代理。对于安装了 Inspector 代理的实例,网络可访问性结果因包含能够识别要在可访问端口上监听哪些进程的信息而得以增强。

什么是“CIS 操作系统安全配置基准测试”规则包?

CIS 安全基准测试由 Internet 安全中心提供,仅仅是基于一致同意的最佳实践安全配置指南,由政府部门、工商企业和学术界共同开发和认可。Amazon Web Services 是 CIS 安全基准测试会员公司,可在此处查看 Amazon Inspector 证书列表。CIS 基准测试规则是一系列通过/失败安全检查。对于每一项失败的 CIS 检查,Inspector 会生成一个高严重性的问题。此外,Inspector 会为每个实例生成一个信息问题,列出其检查的所有 CIS 规则以及每条规则的通过/失败结果。

什么是“常见漏洞”规则包?

常见漏洞 (CVE) 规则可检查已公布的信息安全漏洞。CVE 规则详情可在美国国家漏洞数据库 (NVD) 中公开查询。我们使用 NVD 的通用漏洞评分系统 (CVSS) 作为严重性信息的主要来源。如果 CVE 在 NVD 中没有评分,但存在于 Amazon Linux AMI 安全报告 (ALAS) 中,则我们使用来自 Amazon Linux 报告的严重性。如果 CVE 没有这两种评分,则我们不会将该 CVE 报告为问题。我们会每天检查 NVD 和 ALAS 中的最新信息,并对我们的规则包进行相应的更新。

什么是问题的严重性?

每条 Amazon Inspector 规则都会分配一个严重性等级,Amazon 将其分类为高、中、低或信息。严重性可帮助区分您响应问题时的优先级。

如何确定严重性?

规则的严重性基于所发现的安全问题的潜在影响。尽管有些规则包会在提供的规则中包含严重性等级,但这种情况通常会随规则集而变化。Amazon Inspector 将各自的严重性等级对应到常见的高、中、低和信息分类,从而在所有可用的规则包中规范了问题的严重性。对于“高”、“中”和“低”严重性问题,问题的严重性越高,底层问题的安全影响就越大。而被分类为“信息”的问题则是告诉您这些安全性问题可能不会立即对安全造成影响。

对于 AWS 支持的规则包,严重性由 AWS 安全组决定。

CIS 基准测试规则包问题始终具有“高”严重性。

对于常见漏洞 (CVE) 规则包,Amazon Inspector 将对应到已提供的 CVSS 基准评分和 ALAS 严重性等级:

Amazon Inspector 严重性 CVSS 基准评分 ALAS 严重性(如果未给出 CVSS 评分)
>= 5  严重或重要
< 5 且 >= 2.1 
< 2.1 且 >= 0.8 
信息 < 0.8 不适用

当通过 API 描述问题时 (DescribeFindings),每个问题都有“numericSeverity”属性。这个属性代表什么意思?

“numericSeverity”属性是问题严重性的数字表现形式。数字严重性值与严重性的映射关系如下所示:

 信息 = 0.0
 低 = 3.0
 中 = 6.0
 高 = 9.0

Amazon Inspector 可与 AWS 合作伙伴解决方案搭配使用吗?

可以,Amazon Inspector 配有面向公众的 API,这些 API 可供客户和 AWS 合作伙伴使用。一些合作伙伴已与 Amazon Inspector 集成,可将结果整合到电子邮件、票证系统、寻呼台或更加广泛的安全仪表板中。有关受支持合作伙伴的详细信息,请访问 Amazon Inspector 合作伙伴页面。

Amazon Inspector 服务是否符合 HIPAA 要求?

是的,Amazon Inspector 服务符合 HIPAA 要求,并且已被纳入 AWS 商业伙伴增订合约 (BAA)。如果您已与 AWS 签订 BAA,那么您可以在包含受保护健康信息 (PHI) 的 EC2 实例上运行 Inspector。

Amazon Inspector 支持哪些合规性和保障计划?

Inspector 支持 SOC 1、SOC 2、SOC 3、ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 HIPAA。Inspector 满足对 FedRAMP 实施的控制,目前我们在等待审计报告完成。如果您想要了解 AWS 按合规性计划提供的范围内服务的更多信息,请访问范围内的 AWS 产品页面

了解 Amazon Inspector 客户

访问客户页面
准备好开始构建了吗?
开始使用 Amazon Inspector
还有更多问题?
联系我们
页面内容
一般性问题