一般性问题

问:什么是 Amazon Inspector?

Amazon Inspector 是一项自动化漏洞管理服务,持续扫描 Amazon Elastic Compute Cloud (EC2) 和容器工作负载,从而发现软件漏洞和意外网络暴露。

问:Amazon Inspector 有哪些主要优势?

Amazon Inspector 允许您一键单击跨所有账户部署 Amazon Inspector,消除了部署和配置漏洞管理解决方案的运营开销。Amazon Inspector 的其他优势包括:

  • 自动化发现及持续扫描,提供近乎实时漏洞结果
  • 通过设置委派管理员 (DA) 账户,对组织的所有账户进行集中管理、配置和结果查看
  • 针对每个结果提供高度情境化且有意义的 Inspector 风险评分,帮助您设置更准确的响应优先级
  • 直观的 Amazon Inspector 控制面板,覆盖各种指标,包括账户、EC2 实例和由 Amazon Inspector 主动扫描的 Amazon Elastic Container Registry (ECR) 存储库
  • 与 AWS Security Hub 和 Amazon EventBridge 集成,实现工作流和票证路由的自动化

问:Amazon Inspector 与 Amazon Inspector Classic 有何区别?

Amazon Inspector 已重新架构并重建,以创建一项新的漏洞管理服务。以下是 Amazon Inspector Classic 的重要改进:

  • 专为扩展而设计:新 Amazon Inspector 是专为扩展和动态云环境而设计的。一次可以扫描的实例或镜像数量没有限制。
  • 支持容器镜像:新 Amazon Inspector 还可以扫描位于 Amazon ECR 中的容器镜像,用于查找软件漏洞。还将容器相关结果推送至 ECR 控制台。
  • 支持多账户管理:新 Amazon Inspector 与 AWS Organizations 集成,允许您为企业委派 Amazon Inspector 管理员账户。委派管理员 (DA) 账户是一个集中账户,合并所有结果并能配置所有成员账户。
  • AWS Systems Manager Agent:借助新 Amazon Inspector,您将不再需要在 Amazon EC2 所有实例上安装并维护独立的 Amazon Inspector 代理。新 Amazon Inspector 利用广泛部署的 AWS Systems Manager Agent (SSM Agent),消除了这种需求。
  • 自动化持续扫描:新 Amazon Inspector 自动检测所有新启动的 Amazon EC2 实例和推送至 Amazon ECR 的有效容器镜像,并立即扫描其软件漏洞和意外网络暴露。 事件发生时可能会引入新的漏洞,所涉及的资源会被自动重新扫描。启动重新扫描资源的事件包括在 EC2 实例中安装新包、安装补丁,以及何时发布影响该资源的新的常见漏洞和暴露 (CVE)。
  • Inspector 风险评分:新 Amazon Inspector 通过将最新的 CVE 信息与时间和环境因素(如网络可访问性和可利用性信息)相关联,计算出 Inspector 风险评分,然后添加上下文,从而帮助确定您的结果的优先级。

问:我可以在同一个账户中同时使用 Amazon Inspector 和 Amazon Inspector Classic 吗?

是的,您可以在同一个账户中同时使用这两种服务。

问:我如何从 Amazon Inspector Classic 迁移至新 Amazon Inspector?

您可以仅删除账户中的所有评估模板来禁用 Amazon Inspector Classic。要访问现有评估运行结果,您可以下载这些结果作为报告或使用 Amazon Inspector API 导出这些结果。您可以通过在 AWS 管理控制台中单击几下或通过使用新 Amazon Inspector API 来启用新 Amazon Inspector。您可以在 Amazon Inspector Classic 用户指南中找到详细的迁移步骤。

问:Amazon ECR 的 Amazon Inspector 容器镜像扫描服务与 Amazon ECR 基于 Clair 的解决方案有何区别?

  Amazon Inspector 容器镜像扫描 Amazon ECR 基于 Clair 的解决方案

扫描引擎

Amazon Inspector 是一项由 AWS 开发的漏洞管理服务,内置了对位于 Amazon ECR 中的容器镜像的支持

Amazon ECR 提供了一个托管式开源 Clair 项目作为基本的扫描解决方案

资源包覆盖范围

识别操作系统 (OS) 资源包和编程语言(例如 Python、Java、Ruby 等)资源包中的漏洞

仅识别 OS 资源包中的软件漏洞

扫描频率

提供连续扫描和推送时扫描

仅提供推送时扫描

结果

可在 Amazon Inspector 和 ECR 控制台以及Amazon Inspector 和 ECR 应用程序编程接口 (API) 和软件开发工具包 (SDK) 中查看结果

可在 ECR 控制台和 ECR API 和 SDK 中查看结果

漏洞评分

提供情境化 Inspector 评分以及美国国家漏洞数据库 (NVD) 和供应商的通用漏洞评分系统 (CVSS) v2 和 v3 评分

仅 CVSS v2 评分

AWS 服务集成

已与 AWS Security Hub、AWS Organizations 和 AWS EventBridge 集成

没有与其他 AWS 服务的内置集成

 

问:Amazon Inspector 如何定价?

如需了解完整的定价详情,请参阅 Amazon Inspector 定价页面。

问:Amazon Inspector 是否提供免费试用版?

Amazon Inspector 的所有新账户均有资格获得 15 天的免费试用,用于评估服务及估计成本。 试用期间,免费持续扫描推送到 ECR 的所有合格的 Amazon EC2 实例和容器镜像。您也可以在 Amazon Inspector 控制台查看预计的花费。

问:在哪些区域可以使用 Amazon Inspector?

Amazon Inspector 现已在全球推出。此处按区域列出了具体可用性。

开始使用

问:如何开始使用?

您只需在 AWS 管理控制台中单击几下,即可为您的整个企业或个人账户启用 Amazon Inspector。启用后,Amazon Inspector 自动发现正在运行的 Amazon EC2 实例和 Amazon ECR 存储库,并立即开始持续扫描工作负载,以发现软件漏洞和意外网络暴露。如果您是第一次使用 Inspector,您将获得 15 天免费试用

问:Amazon Inspector 结果是什么?

Amazon Inspector 结果是潜在的安全漏洞。例如,Amazon Inspector 检测软件漏洞或开放至计算资源的网络路径时,Amazon Inspector 会创建安全结果。

问:我能使用 AWS Organizations 结构管理 Amazon Inspector 吗?

是。Amazon Inspector 已与 AWS Organizations 集成。您可以为 Amazon Inspector 配置 DA 账户,该帐户作为 Amazon Inspector 的主管理员账户,可以用于集中管理和配置 Amazon Inspector。DA 账户可以集中查看并管理 AWS 企业的所有账户的结果。

问:我如何委派 Amazon Inspector 服务的管理员?

AWS Organizations 管理账户可在 Amazon Inspector 控制台中或通过使用 Amazon Inspector API 为 Amazon Inspector 分配 DA 账户。

问:我是否必须启用特定的扫描类型(即 Amazon EC2 扫描或 Amazon ECR 容器镜像扫描)?

按原定设置,EC2 实例和 ECR 镜像扫描均已启用。但是,您可以在账户上禁用 Amazon EC2 实例扫描或 Amazon ECR 镜像扫描或同时禁用两者。

问:我是否需要代理来使用 Amazon Inspector?

这取决于您正在扫描的资源。对 Amazon EC2 实例进行漏洞扫描需要 AWS Systems Manager Agent (SSM Agent)。Amazon EC2 实例的网络可达性和容器镜像的漏洞扫描不需要代理。

问:如何安装并配置 Amazon Systems Manager Agent?

要成功扫描 Amazon EC2 实例的软件漏洞,Amazon Inspector 要求用 AWS Systems Manager (SSM) 和 SSM 代理管理这些实例。请参阅 AWS Systems Manager 用户指南中的 Systems Manager 要求,了解如何启用和配置 AWS Systems Manager。有关托管式实例的信息,请参阅 AWS Systems Manager 用户指南中的托管式实例部分。

问:我是否能够从扫描中排除部分 Amazon EC2 实例?

不能。启用 Amazon Inspector 进行 Amazon EC2 扫描后,将持续扫描账户中安装和配置的有 Amazon SSM Agent 的所有 EC2 实例。

问:我如何知道哪些 Amazon ECR 存储库配置了扫描? 以及我如何管理哪些存储库应该被配置扫描?

Amazon Inspector 支持包含规则的配置,用于选择扫描哪些 Amazon ECR 存储库。可在 ECR 控制台中的注册设置页面或使用 ECR API 创建并管理包含规则。匹配包含规则的 ECR 存储库配置了扫描。存储库的详细扫描状态在 ECR 和 Amazon Inspector 控制台中可见。

使用 Amazon Inspector

问:我如何知道我的资源是否正在被主动扫描?

Amazon Inspector 控制面板中的环境覆盖范围面板显示 Amazon Inspector 正在主动扫描的账户指标、Amazon EC2 实例和 Amazon ECR 存储库。每个实例和镜像的扫描状态是:扫描或未扫描。扫描状态表示近乎实时地持续扫描资源。未扫描状态表示尚未执行初始扫描,操作系统不受支持,或扫描受阻。

问:多久执行一次自动化重新扫描?

所有扫描都会根据事件自动执行。在发现所有工作负载时,先进行初始扫描,然后进行重新扫描。

  • 关于 Amazon EC2 实例:在实例中安装或卸载新软件资源包时,发布新的 CVE 时,以及更新有漏洞的资源包后,开始重新扫描(以确认是否有其他漏洞)。
  • 关于 ECR 容器镜像:当影响镜像的新 CVE 发布时,开始自动化重新扫描合格的容器镜像。容器镜像的自动化重新扫描是在推送镜像后 30 天内进行的。

问:用 Amazon Inspector 重新持续扫描容器镜像需要多长时间?

位于 Amazon ECR 存储库中被配置持续扫描的容器镜像在被推送至存储库后将被扫描 30 天。

问:我是否能够把我的资源排除在扫描范围之外?

  • 关于 Amazon EC2 实例:不能。Amazon Inspector 自动发现一个账户内的所有 EC2 实例,并使用配置的 Amazon SSM Agent 持续扫描所有实例。
  • 对于位于 Amazon ECR 中的容器镜像:能。尽管您可以选择配置哪些 ECR 存储库进行扫描,但是系统将扫描存储库内的所有镜像。您可以创建包含规则,来选择应该扫描哪些存储库。

问:将 SSM 目录收集频率的原定设置 30 分钟更改为 12 小时时如何影响 Amazon Inspector 的持续扫描?

更改 SSM 目录收集频率的原定设置可能会影响扫描的连续性。Amazon Inspector 依靠 SSM Agent 收集应用程序目录来生成结果。如果延长应用程序目录持续时间的原定设置 30 分钟,这将延迟对应用程序目录变更的检测,并延迟新结果。

问:Inspector 风险评分是什么?

Inspector 风险评分是一个高度情境化的评分,系统通过将通用漏洞和暴露 (CVE) 信息与网络可达性结果、可利用性数据和社交媒体趋势关联,对每个结果生成该评分。这使您更容易对结果进行优先排序,并专注于最重要的结果和有漏洞的资源。您可以查看如何计算 Inspector 风险评分,以及哪些因素影响了结果详细信息侧面板中 Inspector 评分选项中的评分。

示例:在您的 Amazon EC2 实例中存在已识别的新 CVE, 该 CVE 只能远程使用。如果 Amazon Inspector 持续网络可达性扫描还发现无法通过网络访问该实例,Amazon Inspector 就会发现漏洞的利用性太低。因此,Amazon Inspector 将扫描结果与 CVE 相关联,以向下调整风险评分,更准确地反映 CVE 对该特定实例的影响。

问:如何确定结果的严重性?

Inspector 评分 严重性
0 信息性
0.2–3.9
4.0–6.9
7.0–8.9
9.0–10.0 严重

问:如何使用禁止规则?

Amazon Inspector 允许您根据您设定的自定义标准禁止结果。您可以为您的企业认为可接受的结果创建禁止规则。

问:如何导出结果,包括哪些结果?

您只需在 Amazon Inspector 控制台单击几下或使用 Amazon Inspector API,即可生成多种格式(CSV 或 JSON)的报告。您可以下载包含所有结果的完整报告,或者根据控制台中设置的视图筛选器生成并下载自定义报告。

问:我可以通过将 Amazon Inspector 设置为 VPC 终端节点来扫描我的私有 Amazon EC2 实例吗?

可以。Amazon Inspector 使用 Amazon SSM Agent 收集应用程序目录,可以将其设置为 Amazon Virtual Private Cloud (Amazon VPC) 端点,避免在互联网上发送任何信息。

问:Amazon Inspector 支持哪些操作系统?

您可以在此处找到支持的操作系统 (OS) 列表。

问: Amazon Inspector 支持哪些编程语言资源包进行容器镜像扫描?

您可以在此处找到支持的编程语言资源包列表。

问:Amazon Inspector 会与使用网络地址转换 (NAT) 的实例配合使用吗?

是。Amazon Inspector 自动支持使用 NAT 的实例。

问:我的实例使用代理。Amazon Inspector 会与这些实例配合使用吗?

是。有关更多信息,请参阅如何配置 SSM Agent 以使用代理

问:Amazon Inspector 可以与其他 AWS 服务集成来进行日志记录和提供通知吗?

Amazon Inspector 与 Amazon EventBridge 集成提供事件通知,例如新结果、结果状态变更、或禁止规则创建。Amazon Inspector 还与 AWS CloudTrail 集成,用于调用日志记录。

问:Amazon Inspector 提供“CIS 操作系统安全配置基准测试”扫描吗?

不提供。目前 Amazon Inspector 不支持 CIS 扫描,但在未来将添加该功能。但是,您可以继续使用 Amazon Inspector Classic 提供的 CIS 扫描规则包。

问:Amazon Inspector 可与 AWS 合作伙伴解决方案搭配使用吗?

是。有关更多信息,请参阅 Amazon Inspector 合作伙伴

问:我可以禁用 Amazon Inspector 吗?

是。您可以通过禁用 Amazon Inspector 服务来禁用所有扫描类型(EC2 扫描和 ECR 容器镜像扫描),或者您可以单独禁用一个帐户的每个扫描类型。

问:我可以暂停 Amazon Inspector 吗?

不可以。Amazon Inspector 不支持暂停状态。

了解 Amazon Inspector 客户

访问客户页面
准备好开始构建了吗?
开始使用 Amazon Inspector
还有更多问题?
联系我们