问:什么是 Amazon Inspector?
Amazon Inspector 是一款自动化安全评估服务,可帮助您测试 Amazon EC2 上运行的应用程序的安全状态。

问:Amazon Inspector 有什么用处?
Amazon Inspector 可帮助您在整个开发和部署流程中或针对静态生产系统实现安全漏洞评估自动化。这样,您便可在开发和 IT 运营流程中更有规律地进行安全测试。Amazon Inspector 基于代理,由 API 驱动,并且以服务形式进行交付,从而使其易于部署、管理和自动化。

开始使用 Amazon Inspector

创建免费账户

问:什么是评估模板?
评估模板是指在 Amazon Inspector 中创建的一项配置,用于定义评估运行。此评估模板包括规则包(您希望 Amazon Inspector 根据其评估您的评估目标)、评估运行的持续时间、Amazon Simple Notification Service (SNS) 主题(您希望 Amazon Inspector 向其发送有关评估运行状态和结果的通知)以及 Amazon Inspector 的特定属性(键/值对),您可以将这些属性指定给由评估运行生成的结果。

问:什么是评估运行?
评估运行是指通过根据指定的规则包分析评估目标的配置和行为来发现潜在安全问题的过程。在进行评估运行期间,代理将监控、收集和分析特定目标内的行为数据(遥测法),如安全通道的使用情况、正在运行的进程中的网络流量以及与 AWS 服务的通信详情。接下来,代理将分析数据并将其与评估运行期间所用评估模板中指定的一组安全规则包进行对比。完整的评估运行会生成结果列表(不同严重程度的潜在安全问题)。

问:什么是评估目标?
评估目标是指一组作为一个单元协同工作以助您实现业务目标的 AWS 资源。Amazon Inspector 会对评估目标所含资源的安全状态进行评估。您可以使用 Amazon EC2 标签来创建评估目标,然后将这些已添加标签的资源定义为评估目标,该目标将用于评估模板所定义的评估运行。

问:什么是结果?
结果是指在对特定目标进行 Amazon Inspector 评估运行的过程中所发现的潜在安全问题。结果显示在 Amazon Inspector 控制台中,也可以通过 API 进行检索,它既包括对安全问题的详细描述,又包括解决问题的建议。

问:什么是规则包?
规则包是指一组安全测试,可以将其作为评估模板和评估运行的一部分进行配置。Amazon Inspector 有很多规则包,其中包括常见漏洞 (CVE)、CIS 操作系统配置基准和安全最佳实践。有关可用规则包的完整列表,请参阅 Amazon Inspector 文档

问:什么是评估报告,评估报告包含哪些内容?
评估运行流程成功完成后,即会生成一份 Amazon Inspector 评估报告。评估报告是一份文档,详细说明评估运行流程中测试的内容以及评估结果。评估结果采用标准报告格式,可在生成后与团队成员共享,以便进行修复操作,从而丰富合规审核数据或留存以供将来参考。

评估报告有结果报告和完整报告这两种类型,您可以从中为您的评估进行选择。结果报告包含评估的执行摘要、针对的实例、测试的规则包、生成结果的规则和每条规则的详细信息,以及未通过审核的实例的列表。完整报告除包含结果报告中的所有信息外,还提供了在评估目标中针对所有实例接受审查且通过审查的规则的列表。

问:如果在我运行评估时一些目标不可用,会出现什么情况?
Amazon Inspector 将收集为评估模板所配置的所有可用目标的漏洞数据,并返回与可用目标对应的所有安全性检查结果。如果启动运行时没有可用于评估模板的目标,系统将报告无法运行评估并返回以下通知消息:“由于没有可用于所选评估模板的目标实例,当前无法执行评估。”

问:目标在何种情况下会不可用?
评估中的目标可能会不可用,原因有多种,例如:EC2 实例处于关闭状态或无响应;标记 (设为目标) 的实例未安装 Amazon Inspector 代理;安装的 Amazon Inspector 代理不可用或不能返回漏洞数据。

问:Amazon Inspector 如何定价?
Inspector 的定价基于评估运行的次数以及在进行这些运行期间所评估的代理或系统的数量。我们将此称为“代理评估”。与所有 AWS 服务类似,按需计费周期是指一个日历月。例如:

针对 1 个代理的 1 次评估运行 = 1 个代理评估
针对 10 个代理的 1 次评估运行 = 10 个代理评估
针对 2 个代理中每个代理的 10 次评估运行 = 20 个代理评估
针对 10 个代理中每个代理的 30 次评估运行 = 300 个代理评估

如果上述内容表示在给定计费周期内您的账户中 Amazon Inspector 评估运行的活动数,则将向您收取共 331 个代理评估的费用。

各个代理评估的价格将根据分级定价模型而定。随着给定计费周期内您的代理评估数量的增加,每个代理评估的支付价格将更低。例如,前两个级别的代理评估定价为:

前 250 个代理评估 = 每个代理评估 0.30 USD
之后的 750 个代理评估 = 每个代理评估 0.25 USD

因此,对于上述示例中给定计费周期内总数为 331 的代理评估,前 250 个的价格为 0.30 USD,之后的 81 个的价格为 0.25 USD,即计费周期内的全部费用为 95.25 USD。有关完整的定价表,请参阅 Amazon Inspector 定价页面。

问:Amazon Inspector 是否提供免费试用版?
是的。在使用该服务的前 90 天内可免费使用 Amazon Inspector 的前 250 个代理评估。新加入 Amazon Inspector 服务的所有 AWS 账户都符合条件。

问:在哪些区域可以使用 Amazon Inspector?
Amazon Inspector 现在以下地区可用:亚太地区 (孟买)、亚太地区 (首尔)、亚太地区 (悉尼)、亚太地区 (东京)、欧洲 (爱尔兰)、美国东部 (弗吉利亚北部)、美国西部 (加利福利亚北部)、美国西部 (俄勒冈)。

问:Amazon Inspector 支持哪些 Linux 内核版本?
此处提供了 Amazon Inspector 评估支持的 Linux 内核版本的最新列表。

问:Amazon Inspector 服务包括哪些内容?
Amazon Inspector 包括一个由亚马逊开发的代理(安装在 Amazon EC2 实例的操作系统中)以及一个 IAM 服务角色(在设置 Amazon Inspector 服务时只需单击一下便可创建该角色)。此服务角色将授权 Amazon Inspector 枚举实例和标签以设置评估目标。有关受支持操作系统的最新列表,请参阅 Amazon Inspector 文档

问:Amazon Inspector 听起来很棒,如何开始使用?
只需在 AWS 管理控制台中注册 Amazon Inspector。注册完成后,在 Amazon EC2 实例上安装合适的 Amazon Inspector 代理、创建新的评估模板、选择要使用的规则包,然后安排一次评估运行。完成评估运行后,系统将针对其在您的环境中发现的所有问题生成一份结果报告。

问:Amazon Inspector 可与 AWS 合作伙伴解决方案搭配使用吗?
可以,Amazon Inspector 配有面向公众的 API,这些 API 可供客户和 AWS 合作伙伴使用。一些合作伙伴已与 Amazon Inspector 集成,可将结果整合到电子邮件、票证系统、寻呼台或更加广泛的安全仪表板中。有关受支持合作伙伴的详细信息,请访问 Amazon Inspector 合作伙伴页面。

问:我的实例使用网络地址转换 (NAT)。Amazon Inspector 能否与这些实例配合使用?
可以。Amazon Inspector 支持使用 NAT 的实例,不需要您进行操作。

问:我的实例使用代理。Amazon Inspector 能否与这些实例配合使用?
可以。Amazon Inspector 代理支持代理环境对于 Linux 实例,我们支持 HTTPS 代理;对于 Windows 实例,我们支持 WinHTTP 代理。请参阅 Amazon Inspector 用户指南,了解如何为 AWS Inspector 代理配置代理支持。

问:Inspector 可以分析哪些应用程序的漏洞?
Amazon Inspector 通过查询安装了代理的操作系统上的软件包管理器或软件安装系统来查找应用程序。这意味着它可以对通过软件包管理器安装的软件执行漏洞评估。对于未通过这些方法安装的软件版本和补丁级别,Inspector 则无法识别。例如,通过 apt、yum 或 Microsoft 安装程序安装的软件可以由 Inspector 进行评估,而通过 make config/make install 安装的软件,或通过使用 Puppet 或 Ansible 等自动化软件将二进制文件直接复制到系统进行安装的软件,则无法由 Inspector 进行评估。

问:从哪里可以找到关于 Amazon Inspector 评估的指标信息?
Amazon Inspector 会自动将关于评估的指标数据发布到 Amazon CloudWatch。如果您是 CloudWatch 用户,那么您的 Inspector 评估统计数据会被自动填充到 CloudWatch 中。目前提供的 Inspector 指标包括评估次数、定为目标的代理和生成的结果。有关更多详细信息,请参阅 Amazon Inspector 文档,其中包含关于发布到 CloudWatch 的评估指标的详细信息。

问:Amazon Inspector 可以与其他 AWS 服务集成来进行日志记录和提供通知吗?
Amazon Inspector 通过与 SNS 集成来提供有关各种事件(如监控重要事件、故障或异常到期)的通知,通过与 AWS CloudTrail 集成来记录对 Amazon Inspector 的调用。

问:我希望对基础设施定期自动进行评估,贵方是否提供自动提交评估的方式?
是的。Amazon Inspector 提供了一个完整的 API,允许自动创建应用环境、创建评估、评估策略、创建策略异常、创建筛选条件以及检索结果。

问:我能否安排安全评估在特定日期和时间运行?
可以。Amazon Inspector 为您提供了 AWS Lambda 蓝图,以便您创建重复的计划事件。为您想要运行的安全评估创建评估模板后,只需从 AWS 管理控制台转到 AWS Lambda 即可。在 AWS Lambda 中,单击“Create a Lambda function”,并选择“inspector-scheduled-run”蓝图。该蓝图将引导您创建重复计划,以运行评估。

问:Amazon Inspector 可以在不为资源添加标签的情况下运行吗?
不能。Amazon Inspector 需要您使用 Amazon EC2 实例标签来运行评估。

问:在 Amazon Inspector 扫描期间性能是否会受影响?
为了在评估运行过程中最大限度地降低对性能的影响,Amazon Inspector 和 Amazon Inspector 代理已经过专门设计。

问:能否自定义评估模板的规则?
不能。最初只允许评估运行使用预定义的规则。不过,我们会继续探索,争取加入 AWS Marketplace 中的供应商提供的高级规则集和自主开发的自定义规则。

问:什么是问题的严重性?
每条 Amazon Inspector 规则都会分配一个严重性等级,Amazon 将其分类为高、中、低或信息。严重性可帮助区分您响应问题时的优先级。

问:什么是“CIS 操作系统安全配置基准测试”规则包?
CIS 安全基准测试由 Internet 安全中心提供,仅仅是基于一致同意的最佳实践安全配置指南,由政府部门、工商企业和学术界共同开发和认可。Amazon Web Services 是 CIS 安全基准测试会员公司,可在此处查看 Amazon Inspector 证书列表。CIS 基准测试规则是一系列通过/失败安全检查。对于每一项失败的 CIS 检查,Inspector 会生成一个高严重性的问题。此外,Inspector 会为每个实例生成一个信息问题,列出其检查的所有 CIS 规则以及每条规则的通过/失败结果。

问:什么是“常见漏洞”规则包?
常见漏洞 (CVE) 规则可检查已公布的信息安全漏洞。CVE 规则详情可在美国国家漏洞数据库 (NVD) 中公开查询。我们使用 NVD 的通用漏洞评分系统 (CVSS) 作为严重性信息的主要来源。如果 CVE 在 NVD 中没有评分,但存在于 Amazon Linux AMI 安全报告 (ALAS) 中,则我们使用来自 Amazon Linux 报告的严重性。如果 CVE 没有这两种评分,则我们不会将该 CVE 报告为问题。我们会每天检查 NVD 和 ALAS 中的最新信息,并对我们的规则包进行相应的更新。

问:如何确定严重性?
规则的严重性基于所发现的安全问题的潜在影响。尽管有些规则包会在提供的规则中包含严重性等级,但这种情况通常会随规则集而变化。Amazon Inspector 将各自的严重性等级对应到常见的高、中、低和信息分类,从而在所有可用的规则包中规范了问题的严重性。对于“高”、“中”和“低”严重性问题,问题的严重性越高,底层问题的安全影响就越大。而被分类为“信息”的问题则是告诉您这些安全性问题可能不会立即对安全造成影响。

  • 对于 AWS 支持的规则包,严重性由 AWS 安全组决定。
  • CIS 基准测试规则包问题始终具有“高”严重性。
  • 对于常见漏洞 (CVE) 规则包,Amazon Inspector 将对应到已提供的 CVSS 基准评分和 ALAS 严重性等级:
    Amazon Inspector 严重性 CVSS 基准评分 ALAS 严重性 (如果没有 CVSS 评分)
    高 >= 5 严重或重要
    中 < 5 且 >= 2.1 中
    低 < 2.1 且 >= 0.8 低
    信息 < 0.8 不适用

 

问:当通过 API 描述问题时 (DescribeFindings),每个问题都有“numericSeverity”属性。这个属性代表什么意思?
“numericSeverity”属性是问题严重性的数字表现形式。数字严重性值与严重性的映射关系如下所示:
            信息 = 0.0
            低 = 3.0
            中 = 6.0
            高 = 9.0