问:什么是 Amazon Inspector?
Amazon Inspector 是一款自动化安全评估服务,可帮助您测试 Amazon EC2 上运行的应用程序的安全状态。

问:Amazon Inspector 有什么用处?
Amazon Inspector 可帮助您在整个开发和部署流程中或针对静态生产系统实现安全漏洞评估自动化。这样,您便可在开发和 IT 运营流程中更有规律地进行安全测试。Amazon Inspector 基于代理,由 API 驱动,并且以服务形式进行交付,从而使其易于部署、管理和自动化。

开始使用 Amazon Inspector

创建免费账户

问:Amazon Inspector 服务包括哪些内容?
Amazon Inspector 包含 Amazon EC2 实例的操作系统中所安装的由 Amazon 开发的代理,以及使用来自代理和 AWS 配置的遥测数据来评估实例中是否存在安全风险和漏洞的安全评估服务。

问:什么是评估模板?
评估模板是指在 Amazon Inspector 中创建的一项配置,用于定义评估运行。此评估模板包括规则包 (您希望 Amazon Inspector 根据其评估您的评估目标)、评估运行的持续时间、Amazon Simple Notification Service (SNS) 主题 (您希望 Amazon Inspector 向其发送有关评估运行状态和结果的通知) 以及 Amazon Inspector 的特定属性 (键/值对),您可以将这些属性指定给由评估运行生成的结果。

问:什么是评估运行?
评估运行是指通过根据指定的规则包分析评估目标的配置和行为来发现潜在安全问题的过程。在进行评估运行期间,代理将监控、收集和分析特定目标内的行为数据(遥测法),如安全通道的使用情况、正在运行的进程中的网络流量以及与 AWS 服务的通信详情。接下来,代理将分析数据并将其与评估运行期间所用评估模板中指定的一组安全规则包进行对比。完整的评估运行会生成结果列表(不同严重程度的潜在安全问题)。

问:在 Amazon Inspector 评估运行期间性能是否会受影响?
为了在评估运行过程中最大限度地降低对性能的影响,Amazon Inspector 和 Amazon Inspector 代理已经过专门设计。

问:什么是评估目标?
评估目标是指一组作为一个单元协同工作以助您实现业务目标的 AWS 资源。Amazon Inspector 会对评估目标所含资源的安全状态进行评估。您可以使用 Amazon EC2 标签来创建评估目标,然后将这些已添加标签的资源定义为评估目标,该目标将用于评估模板所定义的评估运行。

问:什么是结果?
结果是指在对特定目标进行 Amazon Inspector 评估运行的过程中所发现的潜在安全问题。结果显示在 Amazon Inspector 控制台中,也可以通过 API 进行检索,它既包括对安全问题的详细描述,又包括解决问题的建议。

问:什么是规则包?
规则包是指一组安全测试,可以将其作为评估模板和评估运行的一部分进行配置。Amazon Inspector 有很多规则包,其中包括常见漏洞 (CVE)、Center for Internet Security (CIS) 操作系统配置基准和安全最佳实践。有关可用规则包的完整列表,请参阅 Amazon Inspector 文档

问:能否自定义评估模板的规则?
不能。最初只允许评估运行使用预定义的规则。不过,我们会继续探索,争取加入 AWS Marketplace 中的供应商提供的高级规则集和自主开发的自定义规则。

问:Inspector 可以分析哪些应用程序的漏洞?
Amazon Inspector 通过查询安装了代理的操作系统上的软件包管理器或软件安装系统来查找应用程序。这意味着它可以对通过软件包管理器安装的软件执行漏洞评估。对于未通过这些方法安装的软件版本和补丁级别,Inspector 则无法识别。例如,通过 apt、yum 或 Microsoft 安装程序安装的软件可以由 Inspector 进行评估,而通过 make config/make install 安装的软件,或通过使用 Puppet 或 Ansible 等自动化软件将二进制文件直接复制到系统进行安装的软件,则无法由 Inspector 进行评估。

问:什么是评估报告,评估报告包含哪些内容?
评估运行流程成功完成后,即会生成一份 Amazon Inspector 评估报告。评估报告是一份文档,详细说明评估运行流程中测试的内容以及评估结果。评估结果采用标准报告格式,可在生成后与团队成员共享,以便进行修复操作,从而丰富合规审核数据或留存以供将来参考。

评估报告有结果报告和完整报告这两种类型,您可以从中为您的评估进行选择。结果报告包含评估的执行摘要、针对的实例、测试的规则包、生成结果的规则和每条规则的详细信息,以及未通过审核的实例的列表。完整报告除包含结果报告中的所有信息外,还提供了在评估目标中针对所有实例接受审查且通过审查的规则的列表。

问:如果在我运行评估时一些目标不可用,会出现什么情况?
Amazon Inspector 将收集为评估模板所配置的所有可用目标的漏洞数据,并返回与可用目标对应的所有安全性检查结果。如果启动运行时没有可用于评估模板的目标,系统将报告无法运行评估并返回以下通知消息:“由于没有可用于所选评估模板的目标实例,当前无法执行评估。”

问:目标在何种情况下会不可用?
评估中的目标可能会不可用,原因有多种,例如:EC2 实例处于关闭状态或无响应;标记 (设为目标) 的实例未安装 Amazon Inspector 代理;安装的 Amazon Inspector 代理不可用或不能返回漏洞数据。

问:Amazon Inspector 如何定价?
Inspector 的定价基于评估运行的次数以及在进行这些运行期间所评估的代理或系统的数量。我们将此称为“代理评估”。与所有 AWS 服务类似,按需计费周期是指一个日历月。例如:

针对 1 个代理的 1 次评估运行 = 1 个代理评估
针对 10 个代理的 1 次评估运行 = 10 个代理评估
针对 2 个代理中每个代理的 10 次评估运行 = 20 个代理评估
针对 10 个代理中每个代理的 30 次评估运行 = 300 个代理评估

如果上述内容表示在给定计费周期内您的账户中 Amazon Inspector 评估运行的活动数,则将向您收取共 331 个代理评估的费用。

各个代理评估的价格将根据分级定价模型而定。随着给定计费周期内您的代理评估数量的增加,每个代理评估的支付价格将更低。例如,前两个级别的代理评估定价为:

前 250 个代理评估 = 每个代理评估 0.30 USD
之后的 750 个代理评估 = 每个代理评估 0.25 USD

因此,对于上述示例中给定计费周期内总数为 331 的代理评估,前 250 个的价格为 0.30 USD,之后的 81 个的价格为 0.25 USD,即计费周期内的全部费用为 95.25 USD。有关完整的定价表,请参阅 Amazon Inspector 定价页面。

问:Amazon Inspector 是否提供免费试用版?
是的。在使用该服务的前 90 天内可免费使用 Amazon Inspector 的前 250 个代理评估。新加入 Amazon Inspector 服务的所有 AWS 账户都符合条件。

问:Amazon Inspector 支持哪些操作系统?
有关受支持操作系统的最新列表,请参阅 Amazon Inspector 文档

问:在哪些地区可以使用 Amazon Inspector?
有关受支持地区的最新列表,请参阅 Amazon Inspector 文档

问:哪些 Linux 内核版本支持 Amazon Inspector 评估?
通过使用通用漏洞披露 (CVE)、互联网安全中心 (CIS) 基准,或与内核版本无关的安全性最佳实践规则包,您可以为配备基于 Linux 的操作系统的 EC2 实例运行成功的评估。但是,要使用运行时行为分析规则包运行评估,您的 Linux 实例必须具有支持 Amazon Inspector 的内核版本。此处提供了支持 Amazon Inspector 评估的 Linux 内核版本的最新列表。

问:Amazon Inspector 听起来很棒,如何开始使用?
只需在 AWS 管理控制台中注册 Amazon Inspector。注册完成后,在 Amazon EC2 实例上安装合适的 Amazon Inspector 代理、创建新的评估模板、选择要使用的规则包,然后安排一次评估运行。完成评估运行后,系统将针对其在您的环境中发现的所有问题生成一份结果报告。

问:是否需要将 Amazon Inspector 代理安装在我要评估的所有 EC2 实例上?
是的。在评估运行期间,Amazon Inspector 代理将监控它所在的 EC2 实例的操作系统和应用程序的行为,收集配置和行为数据,并将数据传递给 Amazon Inspector 服务。

问:如何安装 Amazon Inspector 代理?
可通过多种方式来安装代理。对于简单安装,您可以在每个实例上手动安装,或者使用 AWS Systems Manager Run Command 文档 (AmazonInspector-ManageAWSAgent) 进行一次性加载。对于大型部署,您可以在配置实例时使用 EC2 用户数据功能自动安装代理,也可以使用 AWS Lambda 创建自动化的代理安装。您还可以通过从 EC2 控制台或 AWS Marketplace 将 Amazon Linux AMI 与预安装的 Amazon Inspector 代理结合使用来启动 EC2 实例。

问:如何检查 Amazon Inspector 代理是否已安装在我的 EC2 实例上并且正常运行?
您可以通过 Inspector 控制台中提供的“预览目标”功能以及 PreviewAgents API 查询,查看评估目标中所有 EC2 实例的 Amazon Inspector 代理状态。代理状态包括代理是否已安装在 EC2 实例上以及代理的运行状况。除了目标 EC2 实例上的 Inspector 代理状态,还会显示实例 ID、公有主机名和公有 IP 地址 (如果已定义),以及每个实例的 EC2 控制台链接。

问:Amazon Inspector 可以在不为资源添加标签的情况下运行吗?
不能。Amazon Inspector 需要您使用 Amazon EC2 实例标签来运行评估。

问:Amazon Inspector 是否会访问我账户中的其他 AWS 服务?
Amazon Inspector 需要枚举 EC2 实例和标签以识别评估目标中指定的实例。当您作为新客户或在新地区开始使用 Inspector 时,Amazon Inspector 会通过代表您创建的服务相关角色来访问这些内容。Inspector 服务相关角色由 Amazon Inspector 进行管理,因此您无需担心意外撤销了 Amazon Inspector 所需的权限。对于某些现有客户,在开始使用 Inspector 时注册的 IAM 角色可用于访问其他 AWS 服务,直到创建 Inspector 服务相关角色。您可以通过 Inspector 控制台的控制面板页面创建 Inspector 服务相关角色。

问:我的实例使用网络地址转换 (NAT)。Amazon Inspector 能否与这些实例配合使用?
可以。Amazon Inspector 支持使用 NAT 的实例,不需要您进行操作。

问:我的实例使用代理。Amazon Inspector 能否与这些实例配合使用?
可以。Amazon Inspector 代理支持代理环境对于 Linux 实例,我们支持 HTTPS 代理;对于 Windows 实例,我们支持 WinHTTP 代理。请参阅 Amazon Inspector 用户指南,了解如何为 AWS Inspector 代理配置代理支持。

问:我希望对基础设施定期自动进行评估,贵方是否提供自动提交评估的方式?
是的。Amazon Inspector 提供了一个完整的 API,允许自动创建应用环境、创建评估、评估策略、创建策略异常、创建筛选条件以及检索结果。

问:我能否安排安全评估在特定日期和时间运行?
可以。Amazon Inspector 评估可由任何 Amazon CloudWatch 事件触发。您可以使用简单的固定重复率或更详细的 Cron 表达式来设置重复的计划事件。

问:我可以触发基于事件运行的安全评估吗?
可以。您可以使用 Amazon CloudWatch Events 创建事件模式以监控其他 AWS 服务中是否存在触发评估的操作。例如,您可以创建一个事件来监控 AWS Auto Scaling 是否启动了新的 Amazon EC2 实例,或者监控 AWS CodeDeploy 通知以了解代码部署是否成功完成。一旦针对 Amazon Inspector 模板配置了 CloudWatch 事件,这些评估事件将作为评估模板的一部分显示在 Inspector 控制台中,以便您可以查看该评估的所有自动触发器。

问:我可以通过 AWS CloudFormation 设置 Amazon Inspector 评估吗?
是的,您可以使用 AWS CloudFormation 模板创建 Amazon Inspector 资源组、评估目标和评估模板。这样,可以在部署 EC2 实例时为其自动设置安全评估。在 CloudFormation 模板中,您还可以在 AWS::CloudFormation::InitEC2 用户数据脚本中使用代理安装命令,从而在 EC2 实例上进行 Inspector 代理的引导安装。或者,也可以通过使用带预安装 Inspector 代理的 AMI,在 CloudFormation 模板中创建 EC2 实例。

问:从哪里可以找到关于 Amazon Inspector 评估的指标信息?
Amazon Inspector 会自动将关于评估的指标数据发布到 Amazon CloudWatch。如果您是 CloudWatch 用户,那么您的 Inspector 评估统计数据会被自动填充到 CloudWatch 中。目前提供的 Inspector 指标包括评估次数、定为目标的代理和生成的结果。有关更多详细信息,请参阅 Amazon Inspector 文档,其中包含关于发布到 CloudWatch 的评估指标的详细信息。

问:Amazon Inspector 可以与其他 AWS 服务集成来进行日志记录和提供通知吗?
Amazon Inspector 通过与 Amazon SNS 集成来提供有关各种事件 (如监控重要事件、故障或异常到期) 的通知,通过与 AWS CloudTrail 集成来记录对 Amazon Inspector 的调用。

问:什么是“CIS 操作系统安全配置基准测试”规则包?
CIS 安全基准测试由 Internet 安全中心提供,仅仅是基于一致同意的最佳实践安全配置指南,由政府部门、工商企业和学术界共同开发和认可。Amazon Web Services 是 CIS 安全基准测试会员公司,可在此处查看 Amazon Inspector 证书列表。CIS 基准测试规则是一系列通过/失败安全检查。对于每一项失败的 CIS 检查,Inspector 会生成一个高严重性的问题。此外,Inspector 会为每个实例生成一个信息问题,列出其检查的所有 CIS 规则以及每条规则的通过/失败结果。

问:什么是“常见漏洞”规则包?
常见漏洞 (CVE) 规则可检查已公布的信息安全漏洞。CVE 规则详情可在美国国家漏洞数据库 (NVD) 中公开查询。我们使用 NVD 的通用漏洞评分系统 (CVSS) 作为严重性信息的主要来源。如果 CVE 在 NVD 中没有评分,但存在于 Amazon Linux AMI 安全报告 (ALAS) 中,则我们使用来自 Amazon Linux 报告的严重性。如果 CVE 没有这两种评分,则我们不会将该 CVE 报告为问题。我们会每天检查 NVD 和 ALAS 中的最新信息,并对我们的规则包进行相应的更新。

问:什么是问题的严重性?
每条 Amazon Inspector 规则都会分配一个严重性等级,Amazon 将其分类为高、中、低或信息。严重性可帮助区分您响应问题时的优先级。

问:如何确定严重性?
规则的严重性基于所发现的安全问题的潜在影响。尽管有些规则包会在提供的规则中包含严重性等级,但这种情况通常会随规则集而变化。Amazon Inspector 将各自的严重性等级对应到常见的高、中、低和信息分类,从而在所有可用的规则包中规范了问题的严重性。对于“高”、“中”和“低”严重性问题,问题的严重性越高,底层问题的安全影响就越大。而被分类为“信息”的问题则是告诉您这些安全性问题可能不会立即对安全造成影响。

  • 对于 AWS 支持的规则包,严重性由 AWS 安全组决定。
  • CIS 基准测试规则包问题始终具有“高”严重性。
  • 对于常见漏洞 (CVE) 规则包,Amazon Inspector 将对应到已提供的 CVSS 基准评分和 ALAS 严重性等级:
    Amazon Inspector 严重性 CVSS 基准评分 ALAS 严重性 (如果没有 CVSS 评分)
    高 >= 5 严重或重要
    中 < 5 且 >= 2.1 中
    低 < 2.1 且 >= 0.8 低
    信息 < 0.8 不适用

问:当通过 API 描述问题时 (DescribeFindings),每个问题都有“numericSeverity”属性。这个属性代表什么意思?
“numericSeverity”属性是问题严重性的数字表现形式。数字严重性值与严重性的映射关系如下所示:
            信息 = 0.0
            低 = 3.0
            中 = 6.0
            高 = 9.0

问:Amazon Inspector 可与 AWS 合作伙伴解决方案搭配使用吗?
可以,Amazon Inspector 配有面向公众的 API,这些 API 可供客户和 AWS 合作伙伴使用。一些合作伙伴已与 Amazon Inspector 集成,可将结果整合到电子邮件、票证系统、寻呼台或更加广泛的安全仪表板中。有关受支持合作伙伴的详细信息,请访问 Amazon Inspector 合作伙伴页面。

问:Amazon Inspector 服务是否符合 HIPAA 要求?
是的,Amazon Inspector 服务符合 HIPAA 要求,并且已被加入 AWS 商业伙伴协议 (BAA)。如果您已与 AWS 签订商业伙伴协议,那么您可以在包含受保护健康信息 (PHI) 的 EC2 实例上运行 Inspector。

问:Amazon Inspector 支持哪些合规性和保障计划?
Inspector 支持 SOC 1、SOC 2、SOC 3、ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 HIPAA。Inspector 满足对 FedRAMP 实施的控制,目前我们在等待审计报告完成。如果您想要了解 AWS 按合规性计划提供的范围内服务的更多信息,请访问范围内的 AWS 产品页面