一般性问题
问:什么是 Amazon Inspector?
Amazon Inspector 是一项自动化漏洞管理服务,持续扫描 Amazon Elastic Compute Cloud (EC2) 和容器工作负载,从而发现软件漏洞和意外网络暴露。
问:Amazon Inspector 有哪些主要优势?
Amazon Inspector 允许您一键单击跨所有账户部署 Amazon Inspector,消除了部署和配置漏洞管理解决方案的运营开销。Amazon Inspector 的其他优势包括:
- 自动化发现及持续扫描,提供近乎实时漏洞结果
- 通过设置委派管理员 (DA) 账户,对组织的所有账户进行集中管理、配置和结果查看
- 针对每个结果提供高度情境化且有意义的 Inspector 风险评分,帮助您设置更准确的响应优先级
- 直观的 Amazon Inspector 控制面板,覆盖各种指标,包括账户、EC2 实例和由 Amazon Inspector 主动扫描的 Amazon Elastic Container Registry (ECR) 存储库
- 与 AWS Security Hub 和 Amazon EventBridge 集成,实现工作流和票证路由的自动化
问:Amazon Inspector 与 Amazon Inspector Classic 有何区别?
Amazon Inspector 已重新架构并重建,以创建一项新的漏洞管理服务。以下是 Amazon Inspector Classic 的重要改进:
- 专为扩展而设计:新 Amazon Inspector 是专为扩展和动态云环境而设计的。一次可以扫描的实例或镜像数量没有限制。
- 支持容器镜像:新 Amazon Inspector 还可以扫描位于 Amazon ECR 中的容器镜像,用于查找软件漏洞。还将容器相关结果推送至 ECR 控制台。
- 支持多账户管理:新 Amazon Inspector 与 AWS Organizations 集成,允许您为企业委派 Amazon Inspector 管理员账户。委派管理员 (DA) 账户是一个集中账户,合并所有结果并能配置所有成员账户。
- AWS Systems Manager Agent:借助新 Amazon Inspector,您将不再需要在 Amazon EC2 所有实例上安装并维护独立的 Amazon Inspector 代理。新 Amazon Inspector 利用广泛部署的 AWS Systems Manager Agent (SSM Agent),消除了这种需求。
- 自动化持续扫描:新 Amazon Inspector 自动检测所有新启动的 Amazon EC2 实例和推送至 Amazon ECR 的有效容器镜像,并立即扫描其软件漏洞和意外网络暴露。 事件发生时可能会引入新的漏洞,所涉及的资源会被自动重新扫描。启动重新扫描资源的事件包括在 EC2 实例中安装新包、安装补丁,以及何时发布影响该资源的新的常见漏洞和暴露 (CVE)。
- Inspector 风险评分:新 Amazon Inspector 通过将最新的 CVE 信息与时间和环境因素(如网络可访问性和可利用性信息)相关联,计算出 Inspector 风险评分,然后添加上下文,从而帮助确定您的结果的优先级。
问:我可以在同一个账户中同时使用 Amazon Inspector 和 Amazon Inspector Classic 吗?
是的,您可以在同一个账户中同时使用这两种服务。
问:我如何从 Amazon Inspector Classic 迁移至新 Amazon Inspector?
您可以仅删除账户中的所有评估模板来禁用 Amazon Inspector Classic。要访问现有评估运行结果,您可以下载这些结果作为报告或使用 Amazon Inspector API 导出这些结果。您可以通过在 AWS 管理控制台中单击几下或通过使用新 Amazon Inspector API 来启用新 Amazon Inspector。您可以在 Amazon Inspector Classic 用户指南中找到详细的迁移步骤。
问:Amazon ECR 的 Amazon Inspector 容器镜像扫描服务与 Amazon ECR 基于 Clair 的解决方案有何区别?
| Amazon Inspector 容器镜像扫描 | Amazon ECR 基于 Clair 的解决方案 | |
|---|---|---|
扫描引擎 |
Amazon Inspector 是一项由 AWS 开发的漏洞管理服务,内置了对位于 Amazon ECR 中的容器镜像的支持 |
Amazon ECR 提供了一个托管式开源 Clair 项目作为基本的扫描解决方案 |
资源包覆盖范围 |
识别操作系统 (OS) 资源包和编程语言(例如 Python、Java、Ruby 等)资源包中的漏洞 |
仅识别 OS 资源包中的软件漏洞 |
扫描频率 |
提供连续扫描和推送时扫描 |
仅提供推送时扫描 |
结果 |
可在 Amazon Inspector 和 ECR 控制台以及Amazon Inspector 和 ECR 应用程序编程接口 (API) 和软件开发工具包 (SDK) 中查看结果 |
可在 ECR 控制台和 ECR API 和 SDK 中查看结果 |
漏洞评分 |
提供情境化 Inspector 评分以及美国国家漏洞数据库 (NVD) 和供应商的通用漏洞评分系统 (CVSS) v2 和 v3 评分 |
仅 CVSS v2 评分 |
AWS 服务集成 |
已与 AWS Security Hub、AWS Organizations 和 AWS EventBridge 集成 |
没有与其他 AWS 服务的内置集成 |
问:Amazon Inspector 如何定价?
如需了解完整的定价详情,请参阅 Amazon Inspector 定价页面。
问:Amazon Inspector 是否提供免费试用版?
Amazon Inspector 的所有新账户均有资格获得 15 天的免费试用,用于评估服务及估计成本。 试用期间,免费持续扫描推送到 ECR 的所有合格的 Amazon EC2 实例和容器镜像。您也可以在 Amazon Inspector 控制台查看预计的花费。
问:在哪些区域可以使用 Amazon Inspector?
Amazon Inspector 现已在全球推出。此处按区域列出了具体可用性。
开始使用
问:如何开始使用?
您只需在 AWS 管理控制台中单击几下,即可为您的整个企业或个人账户启用 Amazon Inspector。启用后,Amazon Inspector 自动发现正在运行的 Amazon EC2 实例和 Amazon ECR 存储库,并立即开始持续扫描工作负载,以发现软件漏洞和意外网络暴露。如果您是第一次使用 Inspector,您将获得 15 天免费试用。
问:Amazon Inspector 结果是什么?
Amazon Inspector 结果是潜在的安全漏洞。例如,Amazon Inspector 检测软件漏洞或开放至计算资源的网络路径时,Amazon Inspector 会创建安全结果。
问:我能使用 AWS Organizations 结构管理 Amazon Inspector 吗?
是。Amazon Inspector 已与 AWS Organizations 集成。您可以为 Amazon Inspector 配置 DA 账户,该帐户作为 Amazon Inspector 的主管理员账户,可以用于集中管理和配置 Amazon Inspector。DA 账户可以集中查看并管理 AWS 企业的所有账户的结果。
问:我如何委派 Amazon Inspector 服务的管理员?
AWS Organizations 管理账户可在 Amazon Inspector 控制台中或通过使用 Amazon Inspector API 为 Amazon Inspector 分配 DA 账户。
问:我是否必须启用特定的扫描类型(即 Amazon EC2 扫描或 Amazon ECR 容器镜像扫描)?
按原定设置,EC2 实例和 ECR 镜像扫描均已启用。但是,您可以在账户上禁用 Amazon EC2 实例扫描或 Amazon ECR 镜像扫描或同时禁用两者。
问:我是否需要代理来使用 Amazon Inspector?
这取决于您正在扫描的资源。对 Amazon EC2 实例进行漏洞扫描需要 AWS Systems Manager Agent (SSM Agent)。Amazon EC2 实例的网络可达性和容器镜像的漏洞扫描不需要代理。
问:如何安装并配置 Amazon Systems Manager Agent?
要成功扫描 Amazon EC2 实例的软件漏洞,Amazon Inspector 要求用 AWS Systems Manager (SSM) 和 SSM 代理管理这些实例。请参阅 AWS Systems Manager 用户指南中的 Systems Manager 要求,了解如何启用和配置 AWS Systems Manager。有关托管式实例的信息,请参阅 AWS Systems Manager 用户指南中的托管式实例部分。
问:我是否能够从扫描中排除部分 Amazon EC2 实例?
不能。启用 Amazon Inspector 进行 Amazon EC2 扫描后,将持续扫描账户中安装和配置的有 Amazon SSM Agent 的所有 EC2 实例。
问:我如何知道哪些 Amazon ECR 存储库配置了扫描? 以及我如何管理哪些存储库应该被配置扫描?
Amazon Inspector 支持包含规则的配置,用于选择扫描哪些 Amazon ECR 存储库。可在 ECR 控制台中的注册设置页面或使用 ECR API 创建并管理包含规则。匹配包含规则的 ECR 存储库配置了扫描。存储库的详细扫描状态在 ECR 和 Amazon Inspector 控制台中可见。
使用 Amazon Inspector
问:我如何知道我的资源是否正在被主动扫描?
Amazon Inspector 控制面板中的环境覆盖范围面板显示 Amazon Inspector 正在主动扫描的账户指标、Amazon EC2 实例和 Amazon ECR 存储库。每个实例和镜像的扫描状态是:扫描或未扫描。扫描状态表示近乎实时地持续扫描资源。未扫描状态表示尚未执行初始扫描,操作系统不受支持,或扫描受阻。
问:多久执行一次自动化重新扫描?
所有扫描都会根据事件自动执行。在发现所有工作负载时,先进行初始扫描,然后进行重新扫描。
- 关于 Amazon EC2 实例:在实例中安装或卸载新软件资源包时,发布新的 CVE 时,以及更新有漏洞的资源包后,开始重新扫描(以确认是否有其他漏洞)。
- 关于 ECR 容器镜像:当影响镜像的新 CVE 发布时,开始自动化重新扫描合格的容器镜像。容器镜像的自动化重新扫描是在推送镜像后 30 天内进行的。
问:用 Amazon Inspector 重新持续扫描容器镜像需要多长时间?
位于 Amazon ECR 存储库中被配置持续扫描的容器镜像在被推送至存储库后将被扫描 30 天。
问:我是否能够把我的资源排除在扫描范围之外?
- 关于 Amazon EC2 实例:不能。Amazon Inspector 自动发现一个账户内的所有 EC2 实例,并使用配置的 Amazon SSM Agent 持续扫描所有实例。
- 对于位于 Amazon ECR 中的容器镜像:能。尽管您可以选择配置哪些 ECR 存储库进行扫描,但是系统将扫描存储库内的所有镜像。您可以创建包含规则,来选择应该扫描哪些存储库。
问:将 SSM 目录收集频率的原定设置 30 分钟更改为 12 小时时如何影响 Amazon Inspector 的持续扫描?
更改 SSM 目录收集频率的原定设置可能会影响扫描的连续性。Amazon Inspector 依靠 SSM Agent 收集应用程序目录来生成结果。如果延长应用程序目录持续时间的原定设置 30 分钟,这将延迟对应用程序目录变更的检测,并延迟新结果。
问:Inspector 风险评分是什么?
Inspector 风险评分是一个高度情境化的评分,系统通过将通用漏洞和暴露 (CVE) 信息与网络可达性结果、可利用性数据和社交媒体趋势关联,对每个结果生成该评分。这使您更容易对结果进行优先排序,并专注于最重要的结果和有漏洞的资源。您可以查看如何计算 Inspector 风险评分,以及哪些因素影响了结果详细信息侧面板中 Inspector 评分选项中的评分。
示例:在您的 Amazon EC2 实例中存在已识别的新 CVE, 该 CVE 只能远程使用。如果 Amazon Inspector 持续网络可达性扫描还发现无法通过网络访问该实例,Amazon Inspector 就会发现漏洞的利用性太低。因此,Amazon Inspector 将扫描结果与 CVE 相关联,以向下调整风险评分,更准确地反映 CVE 对该特定实例的影响。
问:如何确定结果的严重性?
| Inspector 评分 | 严重性 |
|---|---|
| 0 | 信息性 |
| 0.2–3.9 | 低 |
| 4.0–6.9 | 中 |
| 7.0–8.9 | 高 |
| 9.0–10.0 | 严重 |
问:如何使用禁止规则?
Amazon Inspector 允许您根据您设定的自定义标准禁止结果。您可以为您的企业认为可接受的结果创建禁止规则。
问:如何导出结果,包括哪些结果?
您只需在 Amazon Inspector 控制台单击几下或使用 Amazon Inspector API,即可生成多种格式(CSV 或 JSON)的报告。您可以下载包含所有结果的完整报告,或者根据控制台中设置的视图筛选器生成并下载自定义报告。
问:我可以通过将 Amazon Inspector 设置为 VPC 终端节点来扫描我的私有 Amazon EC2 实例吗?
可以。Amazon Inspector 使用 Amazon SSM Agent 收集应用程序目录,可以将其设置为 Amazon Virtual Private Cloud (Amazon VPC) 端点,避免在互联网上发送任何信息。
问:Amazon Inspector 支持哪些操作系统?
您可以在此处找到支持的操作系统 (OS) 列表。
问: Amazon Inspector 支持哪些编程语言资源包进行容器镜像扫描?
您可以在此处找到支持的编程语言资源包列表。
问:Amazon Inspector 会与使用网络地址转换 (NAT) 的实例配合使用吗?
是。Amazon Inspector 自动支持使用 NAT 的实例。
问:我的实例使用代理。Amazon Inspector 会与这些实例配合使用吗?
是。有关更多信息,请参阅如何配置 SSM Agent 以使用代理。
问:Amazon Inspector 可以与其他 AWS 服务集成来进行日志记录和提供通知吗?
Amazon Inspector 与 Amazon EventBridge 集成提供事件通知,例如新结果、结果状态变更、或禁止规则创建。Amazon Inspector 还与 AWS CloudTrail 集成,用于调用日志记录。
问:Amazon Inspector 提供“CIS 操作系统安全配置基准测试”扫描吗?
不提供。目前 Amazon Inspector 不支持 CIS 扫描,但在未来将添加该功能。但是,您可以继续使用 Amazon Inspector Classic 提供的 CIS 扫描规则包。
问:Amazon Inspector 可与 AWS 合作伙伴解决方案搭配使用吗?
是。有关更多信息,请参阅 Amazon Inspector 合作伙伴。
问:我可以禁用 Amazon Inspector 吗?
是。您可以通过禁用 Amazon Inspector 服务来禁用所有扫描类型(EC2 扫描和 ECR 容器镜像扫描),或者您可以单独禁用一个帐户的每个扫描类型。
问:我可以暂停 Amazon Inspector 吗?
不可以。Amazon Inspector 不支持暂停状态。
了解 Amazon Inspector 客户