如何设置 Amazon Inspector Classic 以对 Amazon EC2 实例运行安全评估?
上次更新日期:2022 年 1 月 19 日
如何设置 Amazon Inspector Classic 以对 Amazon Elastic Compute Cloud (Amazon EC2) 实例执行安全评估?
解决方法
您可以按照以下步骤使用 Amazon Inspector Classic 服务为 Amazon EC2 实例创建和运行安全评估。
重要提示:在开始之前,请考虑从 Amazon Inspector Classic 转换为新的 Amazon Inspector。这是因为 Amazon Inspector 是一项自动化漏洞管理服务,可持续扫描 AWS 工作负载的软件漏洞和意外网络暴露。有关说明,请参阅移至新的 Amazon Inspector。
为 Amazon Inspector 创建一个与服务关联的角色并对 Amazon EC2 实例贴标签
- 打开 Amazon Inspector console(Amazon Inspector 控制台),然后在导航窗格中选择 Switch to Inspector Classic(切换至 Inspector Classic)。
- 按照一键设置说明操作。
- 打开 Amazon EC2 控制台,然后从导航窗格中选择 Instances(实例)。
- 选择希望 Amazon Inspector 对其执行评估的实例,然后选择标记选项卡。
- 选择添加/编辑标记,然后选择创建标记。
- 输入键和值名称,然后选择 Save(保存)。
安装 Amazon Inspector 代理
按照说明为 Amazon EC2 实例的操作系统安装 Amazon Inspector 代理:
- 在基于 Linux 的 EC2 实例上安装代理
- 在基于 Windows 的 EC2 实例上安装代理
- 安装了 Amazon Inspector Classic 代理的 Amazon Linux 2 AMI
- 使用 Systems Manager Run Command 在多个 EC2 实例上安装代理(需要 SSM Agent)
有关自动安装 Amazon Inspector 代理的信息,请参阅如何使用 Amazon EC2 Systems Manager 和 Amazon Inspector 简化安全评估设置。
定义评估目标
- 打开 Amazon Inspector Classic 控制台,然后选择 Assessment target(评估目标)。
- 选择创建,输入评估目标的名称。
- 选择要在评估中包含的 Amazon EC2 实例的键和值对,例如“examplekey”和“examplevalue”。
- 取消选中安装代理,然后选择预览以查看和验证所包含的实例。
- 选择 OK(确定),然后选择 Save(保存)。
定义评估模板并运行评估
- 打开 Amazon Inspector Classic 控制台,依次选择 Assessment templates(评估模板)和 Create(创建)。
- 在评估模板中,输入名称和目标名称。
- 对于规则包,选择常见漏洞。
- 对于 Duration(持续时间),选择要运行评估的时间。注意:如果有多个规则包或实例,最好选择一小时的持续时间。
- 取消选中 Assessment Schedule(评估计划),然后选择 Create and run(创建并运行)。
- 评估完成后,从导航窗格中选择 Findings(结果)或 Assessment runs(评估运行)。
运行评估
- 打开 Amazon Inspector Classic 控制台。
- 选择评估模板部分以查看可用的评估。
- 选择您创建的模板。
- 选择运行以立即开始评估。
- 评估完成后,从导航窗格中选择 Findings(结果)或 Assessment runs(评估运行)。
注意:您也可以通过 AWS Lambda 函数设置自动评估运行。
评估运行包括所有评估运行的列表。您可以查看有关特定评估的信息,从该评估生成报告,或导航到特定评估的安全结果。有关详细信息,请参阅评估报告。
结果包括所有评估运行的所有结果列表。您可以筛选这些结果以查看特定结果。结果是在 Amazon Inspector 评估期间发现的安全漏洞或配置风险。要了解有关 Amazon Inspector 结果的更多信息,请选择结果旁边的箭头以展开详细视图。有关更多信息,请参阅 Amazon Inspector Classic 结果。
注意:Amazon Inspector 评估目标只能包含安装了支持的操作系统的 Amazon EC2 实例。请参阅 Amazon Inspector Classic 支持的操作系统和区域以了解详细信息。