일반

Q: Amazon Inspector란 무엇인가요?

Amazon Inspector는 Amazon Elastic Compute Cloud(EC2) 및 컨테이너 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하는 자동화된 취약성 관리 서비스입니다.

Q: Amazon Inspector의 주요 이점은 무엇인가요?

Amazon Inspector는 클릭 한 번으로 모든 계정에 Amazon Inspector를 배포할 수 있도록 하여 취약성 관리 솔루션 배포 및 구성과 관련된 운영 오버헤드를 제거합니다. Amazon Inspector의 추가 이점은 다음과 같습니다.

  • 거의 실시간으로 취약성 발견을 제공하는 자동화된 검색 및 지속적인 스캔
  • 위임된 관리자(DA) 계정을 설정하여 모든 조직의 계정에 대한 중앙 관리, 구성 및 결과 보기
  • 보다 정확한 응답 우선순위를 설정하는 데 도움이 되는 각 결과에 대해 상황에 맞는 의미 있는 Inspector 위험 점수
  • 계정, EC2 인스턴스 및 Amazon Inspector에서 적극적으로 스캔하는 Amazon Elastic Container Registry(ECR) 리포지토리를 포함한 범위 지표에 대한 직관적인 Amazon Inspector 대시보드
  • AWS Security Hub 및 Amazon EventBridge와 통합하여 워크플로 및 티켓 라우팅 자동화

Q: Amazon Inspector는 Amazon Inspector Classic과 어떻게 다른가요?

Amazon Inspector는 새로운 취약성 관리 서비스를 생성하기 위해 리아키텍팅되고 재구축되었습니다. 다음은 Amazon Inspector Classic의 주요 개선 사항입니다.

  • 확장을 고려한 구축: 새로운 Amazon Inspector는 확장과 동적 클라우드 환경을 고려하여 구축되었습니다. 한 번에 스캔할 수 있는 인스턴스 또는 이미지 수에는 제한이 없습니다.
  • 컨테이너 이미지 지원: 새로운 Amazon Inspector는 Amazon ECR에 있는 컨테이너 이미지에서도 소프트웨어 취약성을 스캔합니다. 컨테이너 관련 결과도 ECR 콘솔로 푸시됩니다.
  • 다중 계정 관리 지원: 다중 계정 관리 지원: 새로운 Amazon Inspector는 AWS Organizations와 통합되어 조직의 Amazon Inspector에 대한 관리자 계정을 위임할 수 있습니다. 이 위임된 관리자(DA) 계정은 모든 결과를 통합하고 모든 구성원 계정을 구성할 수 있는 중앙 집중식 계정입니다.
  • AWS Systems Manager Agent: 새로운 Amazon Inspector를 사용하면 더 이상 모든 Amazon EC2 인스턴스에 독립 실행형 Amazon Inspector 에이전트를 설치하고 유지 관리할 필요가 없습니다. 새로운 Amazon Inspector는 널리 배포된 AWS Systems Manager Agent(SSM Agent)를 사용하므로 이러한 필요가 없어집니다.
  • 자동화되고 지속적인 스캔: 새로운 Amazon Inspector는 새로 시작된 모든 Amazon EC2 인스턴스와 Amazon ECR에 푸시된 적격 컨테이너 이미지를 자동으로 감지하고 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 즉시 스캔합니다. 새로운 취약성을 유발할 수 있는 이벤트가 발생하면 관련 리소스가 자동으로 다시 스캔됩니다. 리소스 다시 스캔을 시작하는 이벤트에는 EC2 인스턴스에 새 패키지 설치, 패치 설치, 리소스에 영향을 주는 새로운 공통 취약성 및 노출(CVE) 게시가 포함됩니다.
  • Inspector 위험 점수: 새로운 Amazon Inspector는 최신 CVE 정보를 네트워크 접근성 및 악용 가능성 정보와 같은 시간적 및 환경적 요인과 연결하여 결과의 우선순위를 지정하는 데 도움이 되는 컨텍스트를 추가하여 Inspector 위험 점수를 계산합니다.

Q: 같은 계정에서 Amazon Inspector와 Amazon Inspector Classic을 동시에 사용할 수 있나요?

예, 같은 계정에서 동시에 사용할 수 있습니다.

Q: Amazon Inspector Classic에서 새로운 Amazon Inspector로 마이그레이션하려면 어떻게 해야 하나요?

계정에서 모든 평가 템플릿을 삭제하기만 하면 Amazon Inspector Classic을 사용 중지할 수 있습니다. 기존 평가 실행에 대한 결과에 액세스하려면 보고서로 다운로드하거나 Amazon Inspector API를 사용하여 내보냅니다. AWS 관리 콘솔에서 클릭 몇 번으로 또는 새로운 Amazon Inspector API로 새로운 Amazon Inspector를 사용할 수 있습니다. Amazon Inspector Classic 사용 설명서에서 자세한 마이그레이션 단계를 찾아볼 수 있습니다.

Q: Amazon ECR용 Amazon Inspector 컨테이너 이미지 스캔 서비스는 Amazon ECR Clair 기반 솔루션과 어떻게 다른가요?

  Amazon Inspector 컨테이너 이미지 스캔  Amazon ECR Clair 기반 솔루션

스캔 엔진

Amazon Inspector는 Amazon ECR에 있는 컨테이너 이미지를 기본적으로 지원하도록 AWS에서 개발한 취약성 관리 서비스입니다.

Amazon ECR은 관리형 오픈 소스 Clair 프로젝트를 기본 스캔 솔루션으로 제공합니다.

패키지 적용 범위

운영 체제(OS) 패키지와 프로그래밍 언어(예: Python, Java, Ruby 등) 패키지에서 취약성을 식별합니다.

OS 패키지에서만 소프트웨어 취약성을 식별합니다.

스캔 빈도

연속 스캔과 온푸시 스캔을 모두 제공합니다.

온푸시 스캔만 제공합니다.

결과

Amazon Inspector, ECR 애플리케이션 프로그램 인터페이스(API) 및 소프트웨어 개발 키트(SDK)뿐만 아니라 Amazon Inspector 및 ECR 콘솔에서도 결과를 사용할 수 있습니다.

ECR 콘솔과 ECR API 및 SDK에서 결과를 사용할 수 있습니다.

취약성 점수

NVD(National Vulnerability Database)와 공급 업체의 상황별 Inspector 점수와 CVSS(Common Vulnerability Scoring System) v2 및 v3 점수를 제공합니다.

CVSS v2 점수만 제공합니다.

AWS 서비스 통합

AWS Security Hub, AWS Organizations 및 AWS EventBridge와 통합됩니다.

다른 AWS 서비스와의 기본 제공 통합은 사용할 수 없습니다.

 

Q: Amazon Inspector의 요금은 어떻게 되나요?

전체 요금 내역은 Amazon Inspector 요금 페이지를 참조하세요.

Q: Amazon Inspector 무료 평가판이 있나요?

Amazon Inspector를 처음 사용하는 모든 계정은 15일 무료 평가판을 통해 서비스를 평가하고 비용을 추정할 수 있습니다. 평가판 기간 동안 ECR에 푸시된 모든 적격 Amazon EC2 인스턴스 및 컨테이너 이미지는 무료로 계속 스캔됩니다. Amazon Inspector 콘솔에서 예상 지출을 검토할 수도 있습니다.

Q: 어느 리전에서 Amazon Inspector를 사용할 수 있나요?

Amazon Inspector는 전 세계에서 사용할 수 있습니다. 리전별 특정 가용성이 여기에 나열되어 있습니다.

시작하기

Q: 시작하려면 어떻게 해야 하나요?

AWS 관리 콘솔에서 클릭 몇 번으로 전체 조직 또는 개별 계정에 대해 Amazon Inspector를 사용할 수 있습니다. Amazon Inspector를 사용하면 실행 중인 Amazon EC2 인스턴스와 Amazon ECR 리포지토리를 자동으로 검색하고 즉시 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하기 시작합니다. Inspector를 처음 사용하는 경우 15일 무료 평가판도 있습니다.

Q: Amazon Inspector 결과란 무엇인가요?

Amazon Inspector 결과는 잠재적인 보안 취약성입니다. 예를 들어 Amazon Inspector는 소프트웨어 취약성을 감지하거나 컴퓨팅 리소스에 대한 네트워크 경로를 열 때 보안 결과를 생성합니다.

Q: 내 AWS Organizations 구조를 사용하여 Amazon Inspector를 관리할 수 있나요?

예. Amazon Inspector는 AWS Organizations와 통합됩니다. Amazon Inspector의 프라이머리 관리자 계정 역할을 하고 Amazon Inspector를 중앙에서 관리하고 구성할 수 있는 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다. DA 계정은 AWS 조직의 일부인 모든 계정에 대한 결과를 중앙에서 보고 관리할 수 있습니다.

Q: Amazon Inspector 서비스의 관리자를 위임하려면 어떻게 해야 하나요?

AWS Organizations Management 계정은 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다.

Q: 특정 스캔 유형(즉, Amazon EC2 스캔 또는 Amazon ECR 컨테이너 이미지 스캔)을 사용해야 하나요?

기본적으로 EC2 인스턴스와 ECR 이미지 스캔이 모두 사용됩니다. 그러나 계정에서 Amazon EC2 인스턴스 스캔, Amazon ECR 이미지 스캔 또는 둘 다 사용할 수 있습니다.

Q: Amazon Inspector를 사용하려면 에이전트가 필요하나요?

스캔하는 리소스에 따라 다릅니다. Amazon EC2 인스턴스의 취약성 스캔에는 AWS Systems Manager Agent(SSM Agent)가 필요합니다. Amazon EC2 인스턴스의 네트워크 연결 가능성과 컨테이너 이미지의 취약성 스캔에는 에이전트가 필요하지 않습니다.

Q: Amazon Systems Manager Agent를 설치하고 구성하려면 어떻게 해야 하나요?

소프트웨어 취약성에 대해 Amazon EC2 인스턴스를 성공적으로 스캔하려면 Amazon Inspector는 이러한 인스턴스를 AWS Systems Manager(SSM)와 SSM Agent를 통해 관리해야 합니다. AWS Systems Manager 사용 및 구성 지침은 AWS Systems Manager 사용 설명서의 Systems Manager 사전 요구 사항을 참조하세요. 관리형 인스턴스에 대한 자세한 내용은 AWS Systems Manager 사용 설명서의 관리형 인스턴스 섹션을 참조하세요.

Q: 일부 Amazon EC2 인스턴스를 스캔에서 제외할 수 있나요?

아니요. Amazon Inspector가 Amazon EC2 스캔에 사용되면 Amazon SSM Agent가 계정에 설치 및 구성된 모든 EC2 인스턴스가 지속적으로 스캔됩니다.

Q: 스캔용으로 구성된 Amazon ECR 리포지토리를 어떻게 알 수 있나요? 그리고 스캔을 위해 구성해야 하는 리포지토리를 어떻게 관리하나요?

Amazon Inspector는 스캔할 Amazon ECR 리포지토리를 선택하는 포함 규칙 구성을 지원합니다. 포함 규칙은 ECR 콘솔 내의 레지스트리 설정 페이지에서 또는 ECR API를 사용하여 생성하고 관리할 수 있습니다. 포함 규칙과 일치하는 ECR 리포지토리는 스캔을 위해 구성됩니다. 리포지토리의 자세한 스캔 상태는 ECR 및 Amazon Inspector 콘솔에서 모두 확인할 수 있습니다.

Amazon Inspector로 작업

Q: 내 리소스가 활발하게 스캔되고 있는지 어떻게 알 수 있나요?

Amazon Inspector 대시보드의 환경 적용 범위 패널은 Amazon Inspector에서 활발히 스캔 중인 계정, Amazon EC2 인스턴스 및 Amazon ECR 리포지토리에 대한 지표를 보여줍니다. 각 인스턴스와 이미지의 스캔 상태는 스캔 중(Scanning) 또는 스캔 중 아님(Not Scanning)입니다. 스캐닝은 리소스가 거의 실시간으로 지속적으로 스캔되고 있음을 의미합니다. 스캔 중 아님(Not Scanning) 상태는 초기 스캔이 아직 수행되지 않았거나 OS가 지원되지 않거나 다른 문제로 인해 스캔이 불가능함을 의미할 수 있습니다.

Q: 자동 다시 스캔은 얼마나 자주 수행되나요?

모든 스캔은 이벤트에 따라 자동으로 수행됩니다. 모든 워크로드는 검색 시 처음에 스캔되고 이후에 다시 스캔됩니다.

  • Amazon EC2 인스턴스의 경우: 인스턴스에 새 소프트웨어 패키지가 설치 또는 제거될 때, 새 CVE가 게시될 때, 취약한 패키지가 업데이트된 후(추가 취약성이 없는지 확인하기 위해) 다시 스캔이 시작됩니다.
  • ECR 컨테이너 이미지의 경우: 이미지에 영향을 미치는 새 CVE가 게시되면 적격 컨테이너 이미지에 대해 자동 다시 스캔이 시작됩니다. 컨테이너 이미지에 대한 자동화된 다시 스캔은 이미지가 푸시된 후 처음 30일 동안입니다.

Q: Amazon Inspector를 사용하여 컨테이너 이미지를 지속적으로 다시 스캔하는 기간은 얼마나 되나요?

연속 스캔을 위해 구성된 Amazon ECR 리포지토리에 있는 컨테이너 이미지는 리포지토리로 푸시된 후 30일 동안 스캔됩니다.

Q: 내 리소스를 스캔에서 제외할 수 있나요?

  • Amazon EC2 인스턴스의 경우: Amazon Inspector는 계정 내의 모든 EC2 인스턴스를 자동으로 검색하고 구성된 Amazon SSM Agent로 모든 인스턴스를 지속적으로 스캔합니다.
  • Amazon ECR에 있는 컨테이너 이미지의 경우: 예. 스캔을 위해 구성된 ECR 리포지토리를 선택할 수 있지만 리포지토리 내의 모든 이미지가 스캔됩니다. 포함 규칙을 생성하여 스캔해야 하는 리포지토리를 선택할 수 있습니다.

Q: SSM 인벤토리 수집 빈도를 기본 30분에서 12시간으로 변경하면 Amazon Inspector의 연속 스캔에 어떤 영향이 있나요?

기본 SSM 인벤토리 수집 빈도를 변경하면 스캔의 지속적인 특성에 영향이 있을 수 있습니다. Amazon Inspector는 SSM Agent를 사용하여 애플리케이션 인벤토리를 수집하여 결과를 생성합니다. 애플리케이션 인벤토리 기간이 기본값인 30분에서 늘어나면 애플리케이션 인벤토리에 대한 변경 감지가 지연되고 새로운 결과가 지연될 수 있습니다.

Q: Inspector 위험 점수는 무엇인가요?

Inspector 위험 점수는 일반적인 취약성 및 노출(CVE) 정보를 네트워크 도달 가능성 결과, 악용 가능성 데이터 및 소셜 미디어 추세와 연결하여 각 결과에 대해 생성되는 고도로 맥락화된 점수입니다. 이렇게 하면 더 쉽게 결과의 우선순위를 지정하고 가장 중요한 결과와 취약한 리소스에 집중할 수 있습니다. 결과 세부 정보(Findings Details) 측면 패널에 있는 Inspector 점수(Inspector Score) 탭에서 Inspector 위험 점수가 계산된 방식과 점수에 영향을 준 요인을 확인할 수 있습니다.

예: Amazon EC2 인스턴스에서 식별된 새 CVE가 있으며 원격으로만 악용될 수 있습니다. Amazon Inspector의 지속적인 네트워크 연결 가능성 스캔에서도 인터넷에서 인스턴스에 연결할 수 없음을 발견하면 취약성이 악용될 가능성이 낮다는 것을 알게 됩니다. 따라서 Amazon Inspector는 스캔 결과를 CVE와 연관시켜 위험 점수를 하향 조정하여 해당 특정 인스턴스에 대한 CVE의 영향을 보다 정확하게 반영합니다.

Q: 결과 심각도는 어떻게 결정되나요?

Inspector 점수  심각도 
0% 정보용
0.2~3.9 낮음
4.0~6.9 미디엄
7.0~8.9 높음
9.0~10.0 심각

Q: 억제 규칙은 어떻게 작동하나요?

Amazon Inspector를 사용하면 정의한 사용자 지정 기준에 따라 결과를 억제할 수 있습니다. 조직에서 허용하는 것으로 간주되는 결과에 대한 억제 규칙을 생성할 수 있습니다.

Q: 내 결과를 내보내려면 어떻게 해야 하며 여기에는 무엇이 포함되나요?

Amazon Inspector 콘솔 또는 Amazon Inspector API를 통해 클릭 몇 번으로 여러 형식(CSV 또는 JSON)으로 보고서를 생성할 수 있습니다. 모든 결과가 포함된 전체 보고서를 다운로드하거나 콘솔에 설정된 보기 필터를 기반으로 사용자 지정된 보고서를 생성하고 다운로드할 수 있습니다.

Q: Amazon Inspector를 VPC 엔드포인트로 설정하여 프라이빗 Amazon EC2 인스턴스를 스캔할 수 있나요?

예. Amazon Inspector는 Amazon SSM Agent를 사용하여 인터넷을 통한 정보 전송을 방지하기 위해 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트로 설정할 수 있는 애플리케이션 인벤토리를 수집합니다.

Q: Amazon Inspector는 어떤 운영 체제를 지원하나요?

여기에서 지원되는 운영 체제(OS) 목록을 찾을 수 있습니다.

Q: Amazon Inspector는 컨테이너 이미지 스캔을 위해 어떤 프로그래밍 언어 패키지를 지원하나요?

여기에서 지원되는 프로그래밍 언어 패키지 목록을 찾을 수 있습니다.

Q: Amazon Inspector는 NAT(Network Address Translation)를 사용하는 인스턴스에서 작동하나요?

예. NAT를 사용하는 인스턴스는 Amazon Inspector에서 자동으로 지원됩니다.

Q: 내 인스턴스에 프록시를 사용합니다. Amazon Inspector가 이 인스턴스에서 작동하나요?

예. 자세한 내용은 프록시를 사용하도록 SSM Agent를 구성하는 방법을 참조하세요.

Q: Amazon Inspector를 다른 AWS 서비스와 통합하여 로깅과 알림을 적용할 수 있나요?

Amazon Inspector는 Amazon EventBridge와 통합되어 새 결과, 결과 상태 변경 또는 억제 규칙 생성과 같은 이벤트에 대한 알림을 제공합니다. 또한 Amazon Inspector는 호출 로깅을 위해 AWS CloudTrail과 통합됩니다.

Q: Amazon Inspector는 "CIS 운영 체제 보안 구성 벤치마크" 스캔을 제공하나요?

아니요. Amazon Inspector는 현재 CIS 스캔을 지원하지 않지만 이 기능은 향후 추가될 예정입니다. 그러나 Amazon Inspector Classic에서 제공하는 CIS 스캔 규칙 패키지를 계속 사용할 수 있습니다.

Q: Amazon Inspector는 AWS 파트너 솔루션과 연동되나요?

예. 자세한 내용은 Amazon Inspector 파트너를 참조하세요.

Q: Amazon Inspector를 사용 중지할 수 있나요?

예. Amazon Inspector 서비스를 사용 중지하여 모든 스캔 유형(EC2 스캐닝 및 ECR 컨테이너 이미지 스캐닝)을 사용 중지하거나 계정에 대해 개별적으로 각 스캐닝 유형을 사용 중지할 수 있습니다.

Q: Amazon Inspector를 일시 중단할 수 있나요?

아니요. Amazon Inspector는 일시 중단 상태를 지원하지 않습니다.

Amazon Inspector 고객에 대해 자세히 알아보기

고객 페이지로 이동하기
구축할 준비가 되셨습니까?
Amazon Inspector 시작하기
추가 질문이 있으십니까?
AWS에 문의