일반

Amazon Inspector란 무엇입니까?

Amazon Inspector는 Amazon EC2의 네트워크 접근성 및 해당 인스턴스에서 실행되는 애플리케이션의 보안 상태를 테스트하는 데 도움이 되는 자동화된 보안 평가 서비스입니다.

Amazon Inspector로 어떤 작업을 할 수 있습니까?

Amazon Inspector를 사용하면 개발 및 배포 파이프라인 전체에서 또는 정적 프로덕션 시스템에 대해 보안 취약성 평가를 자동화할 수 있습니다. 이를 통해 보안 테스트를 개발 및 IT 작업의 일부로 좀 더 정기적으로 수행할 수 있습니다. Amazon Inspector는 에이전트(선택 사항)를 사용하는 API 중심의 서비스로서, 쉽게 배포, 관리 및 자동화할 수 있도록 지원합니다. Amazon Inspector 평가는 일반 보안 모범 사례 및 취약성 정의에 매핑된 사전에 정의된 규칙 패키지로 제공됩니다.

Amazon Inspector 서비스의 구성 요소는 어떻게 됩니까?

Amazon Inspector는 도달성을 위해 AWS의 네트워크 구성을 분석하는 기술, Amazon에서 개발하고 Amazon EC2 인스턴스 운영 체제에 설치된 에이전트, 해당 에이전트의 텔레메트리와 AWS 구성을 사용하여 인스턴스의 보안 노출 및 취약성을 평가하는 보안 평가 서비스로 구성됩니다.

평가 템플릿이란 무엇입니까?

평가 템플릿은 사용자가 Amazon Inspector에서 생성하는 구성으로서, 평가 실행을 정의합니다. 이 평가 템플릿에는 Amazon Inspector로 평가 대상을 평가하는 데 사용할 규칙 패키지, 평가 실행 기간, Amazon Inspector가 평가 실행 상태 및 결과에 대한 알림을 전송할 Amazon Simple Notification Service(SNS) 주제, 그리고 평가 실행에서 생성된 결과에 지정할 수 있는 Amazon Inspector별 특성(키/값 페어)이 포함되어 있습니다.

평가 실행이란 무엇입니까?

평가 실행은 지정된 규칙 패키지를 기준으로 평가 대상의 구성, 설치된 소프트웨어 및 동작을 분석하여 잠재적 보안 문제를 찾아내는 프로세스입니다. 네트워크 도달성 규칙 패키지가 포함되어 있는 경우, Inspector는 AWS의 네트워크 구성을 분석하여 네트워크를 통한 EC2 인스턴스의 접근성을 찾습니다. 인스턴스에 Inspector 에이전트가 설치된 경우, 에이전트는 호스트상의 소프트웨어 및 구성 데이터를 수집 및 전송합니다. 그런 다음 Inspector 서비스가 데이터를 분석하고 이를 지정된 규칙 패키지와 비교합니다. 평가 실행이 완료되면 잠재적 보안 문제에 대한 평가 결과 목록이 생성됩니다.

Amazon Inspector 평가가 수행될 때 성능에 영향을 줍니까?

네트워크 도달성 규칙 패키지를 통해 에이전트 없는 평가를 실행할 때 애플리케이션의 성능에 미치는 영향은 없습니다. Amazon Inspector 에이전트를 사용할 때 평가 실행의 데이터 수집 단계에서 성능에 아주 적은 영향을 줍니다.

평가 대상이란 무엇입니까?

평가 대상은 평가하고자 하는 Amazon EC2 인스턴스의 모음으로, 일반적으로 비즈니스 목표를 달성하는 데 도움이 되도록 유닛으로 함께 작동하는 일련의 인스턴스를 말합니다. Amazon Inspector는 이러한 EC2 인스턴스의 보안 상태를 평가합니다. 모든 인스턴스를 평가 대상에 포함하거나 Amazon EC2 태그를 사용하여 인스턴스 하위 집합을 지정할 수 있습니다.

결과란 무엇입니까?

결과는 지정된 대상에 대한 Amazon Inspector 평가 실행으로 발견된 잠재적 보안 문제입니다. 결과는 Amazon Inspector 콘솔에 표시되며, API를 통해 검색할 수도 있습니다. 보안 문제에 대한 상세한 설명과 해결 방법에 대한 추천 사항이 포함되어 있습니다.

규칙 패키지란 무엇입니까?

규칙 패키지는 평가 템플릿과 평가 실행의 일부로 구성될 수 있는 보안 점검 항목의 모음입니다. Amazon Inspector에는 두 가지 유형의 규칙 패키지가 있습니다. 네트워크 도달성 규칙 패키지는 Amazon EC2 인스턴스의 네트워크 접근성을 점검하고 호스트 평가 규칙 패키지는 Amazon EC2 인스턴스의 취약성 및 안전하지 않은 구성을 점검합니다. 호스트 평가 규칙 패키지에는 CVE(Common Vulnerabilities and Exposures), CIS(Center for Internet Security) 운영 체제 구성 벤치마크 및 보안 모범 사례가 포함되어 있습니다. 제공되는 규칙 패키지의 전체 목록은 Amazon Inspector 설명서를 참조하십시오.

평가 템플릿에 자체 규칙을 정의할 수 있습니까?

아니요. 현재는 미리 정의된 규칙만 평가 실행에서 사용할 수 있습니다.

Inspector가 취약성을 분석할 수 있는 호스트상 소프트웨어 패키지는 무엇입니까?

Amazon Inspector는 에이전트가 설치된 운영 체제의 소프트웨어 설치 시스템 또는 패키지 관리자를 쿼리하여 애플리케이션을 찾습니다. 즉, 패키지 관리자를 통해 설치된 소프트웨어의 취약성을 평가할 수 있습니다. Inspector에서는 이러한 방법을 통해 설치되지 않은 버전 및 패치 수준의 소프트웨어를 인식하지 않습니다. 예를 들어 Inspector는 apt, yum 또는 Microsoft Installer를 통해 설치된 소프트웨어를 평가하게 됩니다. make config 또는 make install을 통해 설치되거나 Puppet이나 Ansible과 같은 자동화 소프트웨어를 사용하여 시스템에 직접 복사된 바이너리 파일을 통해 설치된 소프트웨어는 Inspector에서 평가하지 않습니다.

평가 보고서란 무엇이며 어떤 내용이 포함되어 있습니까?

Amazon Inspector 평가 보고서는 평가 실행이 성공적으로 완료된 후 생성할 수 있습니다. 평가 보고서는 평가 실행에서 어떤 테스트가 수행되었고 평가 결과는 어떤지를 상세히 기술한 문서입니다. 평가 결과는 팀과 결과를 공유하여 수정 조치를 취할 수 있고 표준 보고서 형식을 갖추고 있으므로, 규정 준수 감사 데이터를 강화하거나 나중에 참조하도록 저장할 수 있습니다.

평가 보고서는 결과 보고서 또는 전체 보고서 두 가지 유형 중에 선택할 수 있습니다. 결과 보고서는 평가, 대상 인스턴스, 테스트한 규칙 패키지, 결과의 원인이 되는 규칙, 각 규칙에 대한 상세 정보, 점검에서 불합격한 인스턴스 목록에 대한 요약본을 포함합니다. 전체 보고서는 결과 보고서의 모든 정보를 포함하며, 평가 대상인 모든 인스턴스에서 점검되고 합격된 규칙 목록을 추가로 제공합니다.

평가를 실행할 때 일부 에이전트가 사용할 수 없는 상태인 경우에는 어떻게 됩니까?

네트워크 도달성 규칙 패키지를 통한 Amazon Inspector 평가는 Amazon EC2 인스턴스에 대한 에이전트 없이 실행될 수 있습니다. 에이전트는 호스트 평가 규칙 패키지에 필요합니다. Amazon Inspector는 모든 가용 에이전트로부터 취약성 데이터를 수집하고 그에 대한 적절한 보안 평가 결과를 반환합니다. Inspector는 제외 항목을 생성하여 에이전트가 설치되어 있지 않거나 비정상 에이전트가 있는 EC2 인스턴스를 알립니다.

에이전트는 어떤 경우에 사용할 수 없게 됩니까?

Amazon Inspector 에이전트를 사용할 수 없게 되는 데는 몇 가지 이유가 있을 수 있습니다. 예를 들어 EC2 인스턴스에 장애가 발생하거나 응답하지 않는 경우, 대상 인스턴스에 에이전트가 설치되지 않은 경우, 설치된 에이전트에 장애가 발생하거나 취약성 데이터를 반환할 수 없는 경우입니다.

Amazon Inspector의 요금은 어떻게 됩니까?

Amazon Inspector 요금은 각 평가에 포함된 Amazon EC2 인스턴스의 수를 기반으로 하며 평가를 위해 선택하는 규칙 패키지에 따라 달라집니다. Inspector 평가는 호스트 평가 규칙 패키지 및 네트워크 도달성 규칙 패키지의 원하는 조합으로 사용할 수 있습니다. 호스트 평가 규칙 패키지에는 CVE(Common Vulnerabilities and Exposures), CIS(Center for Internet Security) 벤치마크, 보안 모범 사례 및 런타임 동작 분석이 포함됩니다. 평가에 호스트 규칙 패키지 및 네트워크 접근성 규칙 패키지가 모두 포함되어 있는 경우 각각에 대한 요금이 개별적으로 청구됩니다. 온디맨드 청구 기간은 한 달(역월)입니다. 전체 요금 내역은 Amazon Inspector 요금 페이지를 참조하십시오.

요금 예제:

한 달 동안 다음과 같은 평가 실행을 수행하는 시나리오를 가정해보겠습니다. 이 예제에서는 모든 평가 실행에 호스트 규칙 패키지 및 네트워크 접근성 규칙 패키지가 포함되어 있습니다. 그리고 모든 EC2 인스턴스에는 Inspector 에이전트가 있습니다.

1개의 인스턴스에 대한 평가 실행 1회
10개의 인스턴스에 대한 평가 실행 10회
2개의 인스턴스에 대한 평가 실행 각 10회
10개의 인스턴스에 대한 평가 실행 각 30회

기본 청구 기간 동안 계정에 Amazon Inspector 평가 실행 활동이 위와 같이 표시되는 경우, 총 331번의 호스트 에이전트 평가 및 331번의 네트워크 도달성 인스턴스 평가에 대한 요금이 청구됩니다.

개별 호스트 에이전트 평가 및 네트워크 도달성 인스턴스 평가 요금은 계층화된 요금 모델을 기반으로 합니다. 예를 들어 기본 청구 기간에 에이전트 평가 볼륨이 증가하면, 에이전트 평가당 요금이 낮아집니다.

이 청구 기간 동안 계정의 Amazon Inspector 요금은 다음과 같습니다.

호스트 평가 규칙 패키지의 경우
처음 에이전트 평가 250회 = 에이전트 평가당 0.30 USD
다음 에이전트 평가 81회 = 에이전트 평가당 0.25 USD

네트워크 도달성 규칙 패키지의 경우
처음 인스턴스 평가 250회 = 인스턴스 평가당 0.15 USD
다음 인스턴스 평가 81회 = 인스턴스 평가당 0.13 USD

위의 비용을 모두 더하면, Amazon Inspector 청구 금액은 호스트 에이전트 평가에 대해 95.25 USD, 네트워크 도달성 인스턴스 평가에 대해 48.03 USD로 총 143.28 USD가 됩니다.

Amazon Inspector 무료 평가판이 있습니까?

예. Amazon Inspector 평가를 실행한 적이 없는 계정에 한해 처음 90일 동안 비용 없이 호스트 규칙 패키지로 250회의 에이전트 평가와 네트워크 도달성 규칙 패키지로 250회의 인스턴스 평가를 받을 수 있습니다.

Amazon Inspector는 어떤 운영 체제를 지원합니까?

현재 Inspector 에이전트가 지원되는 운영 체제 목록은 Amazon Inspector 설명서를 참조하십시오. 네트워크 도달성 규칙 패키지는 운영 체제와 관계없이 모든 Amazon EC2 인스턴스에 대해 에이전트 없이 실행될 수 있습니다. Inspector 에이전트가 설치된 경우, 네트워크 도달성은 EC2 인스턴스상의 접근 가능한 소프트웨어 프로세스를 식별하는 정보가 추가되어 향상된 평가 결과를 생성합니다.

어느 리전에서 Amazon Inspector를 사용할 수 있습니까?

현재 지원되는 리전 목록은 Amazon Inspector 설명서를 참조하십시오.

Amazon Inspector 평가에서 지원하는 Linux 커널 버전은 무엇입니까?

커널 버전과 상관없이 네트워크 접근성, CVE(Common Vulnerabilities and Exposures), CIS(Center for Internet Security) 벤치마크 또는 보안 모범 사례 규칙 패키지를 사용해 Linux 기반 OS가 설치된 EC2 인스턴스에 대한 평가를 성공적으로 실행할 수 있습니다. 하지만 런타임 동작 분석 규칙 패키지를 사용해 평가를 수행하려면 Amazon Inspector에서 지원하는 커널 버전이 Linux 인스턴스에 설치되어 있어야 합니다. Amazon Inspector 평가에 사용할 수 있는 Linux 커널 버전의 최신 목록은 여기에 제공되어 있습니다.

Amazon Inspector가 상당히 유용한 것 같은데, 시작하려면 어떻게 해야 합니까?

AWS Management Console에서 Amazon Inspector에 가입합니다. 환영 페이지에서 클릭 한 번으로 전체 계정에 대해 예정된 네트워크 도달성 평가를 활성화할 수 있습니다. 원하는 경우 EC2 인스턴스에 Inspector 에이전트를 설치하여 호스트 평가 규칙 패키지를 활성화할 수 있습니다. 또한, 고급 설정 옵션을 사용하여 평가할 EC2 인스턴스, 규칙 패키지 선택, 평가 결과 알림을 사용자 지정할 수 있습니다. 평가 실행이 완료되면 Inspector가 환경에서 확인된 보안 문제에 대한 평가 결과를 생성합니다.

평가하려는 모든 EC2 인스턴스에 Amazon Inspector 에이전트를 설치해야 합니까?

아니요. 네트워크 도달성 규칙 패키지를 통한 Amazon Inspector 평가는 Amazon EC2 인스턴스의 에이전트 없이 실행될 수 있습니다. 에이전트는 호스트 평가 규칙 패키지에 필요합니다.

Amazon Inspector 에이전트를 설치하려면 어떻게 해야 합니까?

에이전트를 설치하는 방법에는 몇 가지가 있습니다. 간단한 설치의 경우 각 인스턴스에 수동으로 설치하거나 AWS Systems Manager Run Command 문서(AmazonInspector-ManageAWSAgent)를 사용하여 일회성 로드를 수행할 수 있습니다. 좀 더 규모가 큰 배포의 경우, 인스턴스를 구성할 때 EC2 User Data 함수를 사용하여 에이전트 설치를 자동화하거나 AWS Lambda를 사용하여 에이전트 설치 자동화 기능을 생성할 수 있습니다. 또한, EC2 콘솔 또는 AWS Marketplace에서 Amazon Inspector 에이전트가 사전에 설치된 Amazon Linux AMI를 사용하여 EC2 인스턴스를 시작할 수도 있습니다.

내 EC2 인스턴스에 Amazon Inspector 에이전트가 설치되어 있는지 그리고 상태가 정상인지 확인하려면 어떻게 해야 합니까?

Inspector 콘솔에서 제공하는 [Preview Targets] 기능을 사용하거나 PreviewAgents API 쿼리를 통해 평가 대상인 모든 EC2 인스턴스의 Amazon Inspector 에이전트 상태를 볼 수 있습니다. 에이전트 상태에는 EC2 인스턴스에 에이전트가 설치되어 있는지와 해당 에이전트의 상태가 포함되어 있습니다. 대상 EC2 인스턴스에 있는 Inspector 에이전트 상태와 더불어 인스턴스 ID, 퍼블릭 호스트 이름, 퍼블릭 IP 주소(정의된 경우)가 각 인스턴스의 EC2 콘솔로 연결되는 링크와 함께 표시됩니다.

Amazon Inspector는 내 계정 내 다른 AWS 서비스에 액세스합니까?

Amazon Inspector가 평가 대상으로 지정된 인스턴스를 식별하고 AWS 네트워크 구성을 읽기 위해서는 EC2 인스턴스와 태그를 열거해야 합니다. Amazon Inspector는 사용자가 새로운 고객으로서 또는 새로운 리전에서 Inspector를 시작할 때 생성된 서비스에 연결된 역할을 통해 이러한 리소스에 액세스합니다. Inspector 서비스에 연결된 역할은 Amazon Inspector에서 관리하므로 Amazon Inspector에 필요한 권한을 실수로 취소하는 것에 대해 걱정할 필요가 없습니다. 일부 기존 고객의 경우, Inspector 서비스에 연결된 역할이 생성될 때까지는 Inspector를 시작할 때 등록된 IAM 역할을 사용해 다른 AWS 서비스에 액세스합니다. Inspector 콘솔의 대시보드 페이지에서 Inspector 서비스에 연결된 역할을 생성할 수 있습니다.

NAT(Network Address Translation)를 인스턴스로 사용하고 있습니다. Amazon Inspector가 이 인스턴스에서 작동합니까?

예. NAT를 사용하는 인스턴스는 추가 작업 없이 Amazon Inspector에서 지원됩니다.

Proxy를 인스턴스로 사용하고 있습니다. Amazon Inspector가 이 인스턴스에서 작동합니까?

예. Amazon Inspector 에이전트는 프록시 환경을 지원합니다. Linux 인스턴스의 경우 HTTPS 프록시를 지원하며, Windows 인스턴스의 경우 WinHTTP 프록시를 지원합니다. Amazon Inspector 에이전트를 지원하도록 프록시를 구성하는 지침은 Amazon Inspector 사용 설명서에서 참조하십시오.

인프라 평가를 정기적으로 수행하도록 자동화하고 싶습니다. 평가를 자동으로 설정할 수 있는 방법이 있습니까?

예. Amazon Inspector는 애플리케이션 환경 생성, 평가 생성, 정책 평가, 정책 예외 생성, 필터, 결과 검색을 자동화할 수 있는 전체 API를 제공합니다. 또한, Amazon Inspector 평가는 AWS CloudFormation 템플릿을 통해 구성 및 트리거할 수 있습니다.

특정 날짜와 시간에 실행하도록 보안 평가 일정을 예약할 수 있습니까?

예. 평가 템플릿에 평가를 위한 간단한 반복 일정을 설정할 수 있습니다. Amazon Inspector 평가는 Amazon CloudWatch Events를 통해 트리거할 수 있습니다. 고정된 반복 비율로 또는 CloudWatch Events를 통해 좀 더 상세한 Cron 표현식으로 사용자 지정 일정을 설정할 수 있습니다.

이벤트를 기준으로 보안 평가가 실행되도록 트리거할 수 있습니까?

예. Amazon CloudWatch Events를 사용해 이벤트 패턴을 생성하여 평가를 트리거할 작업이 있는지 다른 AWS 서비스를 모니터링할 수 있습니다. 예를 들어 새로운 Amazon EC2 인스턴스가 시작되고 있는지 AWS Auto Scaling을 모니터링하거나 언제 코드 배포가 성공적으로 완료되었는지 AWS CodeDeploy 알림을 모니터링하도록 이벤트를 생성할 수 있습니다. Amazon Inspector 템플릿에 대한 CloudWatch 이벤트가 구성되면, 이러한 평가 이벤트가 평가 템플릿의 일부로 Inspector 콘솔에 표시됩니다. 따라서 해당 평가에 대해 자동화된 트리거를 모두 볼 수 있습니다.

AWS CloudFormation을 통해 Amazon Inspector 평가를 설정할 수 있습니까?

예. AWS CloudFormation 템플릿을 사용하여 Amazon Inspector 리소스 그룹, 평가 대상, 평가 템플릿을 생성할 수 있습니다. 이렇게 하면 EC2 인스턴스가 배포될 때 해당 인스턴스에 대한 보안 평가를 자동으로 설정할 수 있습니다. AWS::CloudFormation::Init 또는 EC2 사용자 데이터에서 에이전트 설치 명령을 사용하여 CloudFormation 템플릿에서 EC2 인스턴스에 대한 Inspector 에이전트의 설치를 부트스트랩할 수도 있습니다. 또는 Inspector 에이전트가 사전 설치된 AMI를 사용하여 CloudFormation 템플릿에서 EC2 인스턴스를 생성할 수 있습니다.

Amazon Inspector 평가에 대한 지표 정보를 어디서 찾을 수 있습니까?

Amazon Inspector는 평가에 대한 지표 데이터를 Amazon CloudWatch에 자동으로 게시합니다. CloudWatch 사용자는 Inspector 평가 통계 정보가 자동으로 CloudWatch에 입력됩니다. 현재 이용 가능한 Inspector 지표는 평가 실행 횟수, 목표 에이전트 및 생성된 결과 수입니다. 자세한 내용은 Amazon Inspector 설명서에서 CloudWatch에 게시되는 평가 지표에 대한 세부 정보를 참조하십시오.

Amazon Inspector를 다른 AWS 서비스와 통합하여 로깅과 알림을 적용할 수 있습니까?

Amazon Inspector는 Amazon SNS와 통합되어 예외 만료, 장애 또는 이정표 모니터링과 같은 다양한 이벤트에 대한 알림을 제공하고, AWS CloudTrail과 통합되어 Amazon Inspector에 대한 호출 로그를 제공할 수 있습니다.

네트워크 도달성 규칙 패키지란 무엇입니까?

네트워크 도달성 규칙 패키지는 VPC 외부에서 도달할 수 있는 Amazon EC2 인스턴스의 포트와 서비스를 식별합니다. 이 규칙 패키지로 평가를 실행하면, Inspector가 AWS API를 쿼리하여 Amazon Virtual Private Cloud(VPC), 보안 그룹, 네트워크 액세스 제어 목록(ACL), 라우팅 테이블 등 계정의 네트워크 구성을 읽습니다. 그런 다음 이러한 네트워크 구성을 분석하여 포트의 접근성을 증명합니다. 평가 결과는 도달 가능한 포트에 대한 액세스를 허용하는 네트워크 구성을 보여주므로 필요에 따라 쉽게 액세스를 제한할 수 있습니다. 네트워크 도달성 규칙 패키지로 평가할 때는 Amazon Inspector 에이전트가 필요하지 않습니다. Inspector 에이전트가 설치된 인스턴스의 경우, 액세스 가능한 포트에서 수신 대기 중인 프로세서를 식별하는 정보가 추가되어 네트워크 도달성 평가 결과가 향상됩니다.


네트워크 도달성 규칙 패키지에 Inspector 에이전트를 사용할 때의 이점은 무엇입니까?

네트워크 도달성 규칙 패키지로 평가할 때는 Amazon Inspector 에이전트가 필요하지 않습니다. Inspector 에이전트가 설치된 인스턴스의 경우, 액세스 가능한 포트에서 수신 대기 중인 프로세서를 식별하는 정보가 추가되어 네트워크 도달성 평가 결과가 향상됩니다.

“CIS 운영 체제 보안 구성 벤치마크” 규칙 패키지란 무엇입니까?

CIC(Center for Internet Security)에서 제공하는 CIS Security Benchmarks는 정부, 기업, 업계, 학계에서 개발하고 컨센서스를 바탕으로 수용한 유일한 보안 구성 모범 사례 가이드입니다. Amazon Web Services는 CIS Security Benchmarks 회원사로서 Amazon Inspector 인증 목록은 여기서 확인할 수 있습니다. CIS 벤치마크 규칙은 보안 검사를 통해 합격/불합격을 판정할 수 있도록 되어 있습니다. Inspector는 불합격으로 판정된 모든 CIS 검사에 대해 심각도가 High로 지정된 조사 결과를 생성합니다. 그 밖에, 각각의 인스턴스에 대해 검사를 수행한 모든 CIS 규칙과 각 규칙에 대한 합격/불합격 여부를 보여 주는 Informational 조사 결과가 생성됩니다.

"일반적인 취약성 및 노출도" 규칙 패키지란 무엇입니까?

일반적인 취약성 및 노출도(CVE) 규칙은 공개적으로 알려진 정보 보안 취약성과 노출도에 대한 검사를 위한 것입니다. CVE 규칙 세부 정보는 NVD(National Vulnerability Database)에 공개되어 있습니다. 심각도 정보의 기본 소스로는 NVD의 CVSS(Common Vulnerability Scoring System)를 사용합니다. NVD가 CVE를 평가하지는 않지만 ALAS(Amazon Linux AMI Security Advisory)에 있을 경우에는 Amazon Linux 권고의 심각도를 사용합니다. 어떤 CVE에 대해 이런 점수를 전혀 확인할 수 없는 경우에는 그 CVE를 조사 결과로 보고하지 않습니다. NVD와 ALAS의 최신 정보를 매일 확인하여 규칙 패키지를 적절히 업데이트합니다.

호스트의 수명 주기는 어떻게 됩니까?

Amazon은 각 Amazon Inspector 규칙마다 High, Medium, Low 또는 Informational로 심각도 수준을 분류해서 할당했습니다. 심각도는 조사 결과에 대한 응답의 우선순위를 정하는 데 도움을 주기 위한 것입니다.

심각도는 어떻게 결정됩니까?

규칙의 심각도는 발견된 보안 문제의 잠재적 영향을 기반으로 결정됩니다. 일부 규칙 패키지의 심각도 수준은 패키지에서 제공하는 규칙의 일부로 제공되긴 하지만, 규칙 세트별로 종종 다를 수 있습니다. Amazon Inspector는 개별 심각도를 일반적인 High, Medium, Low, Informational 분류 기준으로 매핑해 사용 가능한 모든 규칙 패키지를 대상으로 조사 결과의 심각도를 정규화했습니다. 심각도가 'High', 'Medium' 또는 'Low'인 조사 결과의 경우 심각도가 높을수록 관련 문제가 미치는 보안 영향이 더 큽니다. 'Informational'로 분류된 조사 결과는 즉각적인 보안 영향이 없을 수 있는 보안 문제를 알려드리기 위해 제공됩니다.

AWS에서 지원되는 규칙 패키지의 경우 AWS 보안 팀에서 심각도를 결정합니다.

CIS 벤치마크 규칙 패키지 조사 결과의 심각도는 항상 “High”로 설정됩니다.

CVE(Common Vulnerabilities & Exploits) 규칙 패키지의 경우 Amazon Inspector는 제공되는 CVSS 기본 점수와 ALAS 심각도 수준을 다음과 같이 매핑합니다.

Amazon Inspector 심각도  CVSS 기본 점수  ALAS 심각도(CVSS 점수가 없는 경우)
High >= 5  Critical 또는 Important
Medium < 5 및 >= 2.1  Medium
Low < 2.1 및 >= 0.8  Low
Informational < 0.8 해당 사항 없음

API(DescribeFindings)를 통해 조사 결과를 설명하는 경우 각 조사 결과에 "numericSeverity" 속성이 있습니다. 이 속성이 의미하는 것은 무엇입니까?

“numericSeverity” 속성은 조사 결과의 심각도를 숫자로 나타낸 것입니다. 숫자 심각도 값은 심각도에 다음과 같이 매핑됩니다.

 Informational = 0.0
 Low = 3.0
 Medium = 6.0
 High = 9.0

Amazon Inspector는 AWS 파트너 솔루션과 연동됩니까?

예. Amazon Inspector는 고객과 AWS 파트너가 사용할 수 있는 퍼블릭 API를 제공합니다. 일부 파트너는 Amazon Inspector와 통합을 통해 결과를 이메일, 티켓 시스템, 페이저 플랫폼 또는 광범위한 보안 대시보드에 통합했습니다. 지원 파트너에 대한 상세 정보는 Amazon Inspector 파트너 페이지를 참조하십시오.

Amazon Inspector는 HIPAA 적격 서비스입니까?

예. Amazon Inspector는 HIPAA 적격 서비스이며, AWS BAA(Business Associate Addendum)가 체결되어 있습니다. AWS와 BAA를 체결한 경우, 개인 건강 정보(PHI)가 포함된 EC2 인스턴스에서 Inspector를 실행할 수 있습니다.

Q: Amazon Inspector에서 지원하는 규정 준수 및 보증 프로그램에는 어떤 것이 있습니까?

Inspector는 SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 및 HIPAA를 지원합니다. Inspector는 FedRAMP의 제어 항목을 충족하며 AWS에서는 감사 보고서가 완료되길 기다리고 있습니다. 규정 준수 프로그램 제공 AWS 범위 내 서비스에 대해 자세히 알아보려면 AWS 범위 내 서비스 페이지를 방문하시기 바랍니다.

Amazon Inspector 고객에 대해 자세히 알아보기

고객 페이지로 이동하기
구축할 준비가 되셨습니까?
Amazon Inspector 시작하기
추가 질문이 있으십니까?
AWS에 문의하기
페이지 콘텐츠
일반