Amazon Inspector FAQ

Q: Amazon Inspector란 무엇인가요?

Amazon Inspector는 Amazon Elastic Compute Cloud(EC2), AWS Lambda 함수 및 컨테이너 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하는 자동화된 취약성 관리 서비스입니다.

Q: Amazon Inspector의 주요 이점은 무엇인가요?

Amazon Inspector는 한 단계로 모든 계정에 Amazon Inspector를 배포할 수 있도록 하여 취약성 관리 솔루션 배포 및 구성과 관련된 운영 오버헤드를 제거합니다. 다음은 추가적인 이점입니다.

• 거의 실시간으로 취약성 발견을 제공하는 자동화된 검색 및 지속적인 스캔
• 위임된 관리자(DA) 계정을 설정하여 모든 조직의 계정에 대한 중앙 관리, 구성 및 조사 결과 보기
• 보다 정확한 응답 우선 순위를 설정하는 데 도움이 되는 각 조사 결과에 대해 상황에 맞고 유용한 Amazon Inspector 위험 점수
• 계정, Amazon EC2 인스턴스, Lambda 함수 및 Amazon Inspector에서 적극적으로 스캔하는 Amazon Elastic Container Registry(ECR) 리포지토리를 포함한 범위 지표에 대한 직관적인 Amazon Inspector 대시보드
• AWS Security Hub 및 Amazon EventBridge와 통합하여 워크플로 및 티켓 라우팅 자동화
  

Q: Amazon Inspector는 Amazon Inspector Classic과 어떻게 다른가요?

Amazon Inspector는 새로운 취약성 관리 서비스를 생성하기 위해 리아키텍팅되고 재구축되었습니다. 다음은 Amazon Inspector Classic의 주요 개선 사항입니다.

• 확장을 고려한 구축: 새로운 Amazon Inspector는 확장과 동적 클라우드 환경을 고려하여 구축되었습니다. 한 번에 스캔할 수 있는 인스턴스 또는 이미지 수에는 제한이 없습니다.
• 컨테이너 이미지 및 Lambda 함수 지원: 새로운 Amazon Inspector는 Amazon ECR 및 Lambda 함수에 있는 컨테이너 이미지에서도 소프트웨어 취약성을 스캔합니다. 컨테이너 관련 결과도 Amazon ECR 콘솔로 푸시됩니다.
• 다중 계정 관리 지원: 다중 계정 관리 지원: 새로운 Amazon Inspector는 AWS Organizations와 통합되어 조직의 Amazon Inspector에 대한 관리자 계정을 위임할 수 있습니다. 이 위임된 관리자(DA) 계정은 모든 결과를 통합하고 모든 구성원 계정을 구성할 수 있는 중앙 집중식 계정입니다.
• AWS Systems Manager Agent: 새로운 Amazon Inspector를 사용하면 더 이상 모든 Amazon EC2 인스턴스에 독립 실행형 Amazon Inspector 에이전트를 설치하고 유지 관리할 필요가 없습니다. 새로운 Amazon Inspector는 널리 배포된 AWS Systems Manager Agent(SSM Agent)를 사용하므로 이러한 필요가 없어집니다.
• 자동화되고 지속적인 스캔: 새로운 Amazon Inspector는 새로 시작된 모든 Amazon EC2 인스턴스, Lambda 함수 및 Amazon ECR에 푸시된 적격 컨테이너 이미지를 자동으로 감지하고 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 즉시 스캔합니다. 새로운 취약성을 유발할 수 있는 이벤트가 발생하면 관련 리소스가 자동으로 다시 스캔됩니다. 리소스 다시 스캔을 시작하는 이벤트에는 EC2 인스턴스에 새 패키지 설치, 패치 설치, 리소스에 영향을 주는 새로운 공통 취약성 및 노출(CVE) 게시가 포함됩니다.
• Amazon Inspector 위험 점수: 새로운 Amazon Inspector는 최신 CVE 정보를 네트워크 접근성 및 악용 가능성 정보와 같은 시간적 및 환경적 요인과 연결하여 조사 결과의 우선 순위를 지정하는 데 도움이 되는 컨텍스트를 추가하는 방법으로 Inspector 위험 점수를 계산합니다.
  

Q: 같은 계정에서 Amazon Inspector와 Amazon Inspector Classic을 동시에 사용할 수 있나요?

예, 같은 계정에서 동시에 사용할 수 있습니다.

Q: Amazon Inspector Classic에서 새로운 Amazon Inspector로 마이그레이션하려면 어떻게 해야 하나요?

계정에서 모든 평가 템플릿을 삭제하기만 하면 Amazon Inspector Classic을 비활성화할 수 있습니다. 기존 평가 실행에 대한 결과에 액세스하려면 보고서로 다운로드하거나 Amazon Inspector API를 사용하여 내보냅니다. AWS Management Console에서 클릭 몇 번으로 또는 새로운 Amazon Inspector API로 새로운 Amazon Inspector를 활성화할 수 있습니다. Amazon Inspector Classic 사용 설명서에서 자세한 마이그레이션 단계를 찾아볼 수 있습니다.

Q: Amazon ECR용 Amazon Inspector 컨테이너 이미지 스캔 서비스는 Amazon ECR Clair 기반 솔루션과 어떻게 다른가요?

Q: Amazon Inspector의 요금은 어떻게 되나요?

전체 요금 내역은 Amazon Inspector 요금 페이지를 참조하세요.

Q: Amazon Inspector에는 무료 평가판이 있나요?

Amazon Inspector를 처음 사용하는 모든 계정은 15일 무료 평가판을 통해 서비스를 평가하고 비용을 추정할 수 있습니다. 평가판 기간 동안 Amazon ECR로 푸시된 모든 적격 Amazon EC2 인스턴스, AWS Lambda 함수 및 컨테이너 이미지는 무료로 계속 스캔됩니다. Amazon Inspector 콘솔에서 예상 지출을 검토할 수도 있습니다.

Q: 어느 리전에서 Amazon Inspector를 사용할 수 있나요?

Amazon Inspector는 전 세계에서 사용할 수 있습니다. 리전별 특정 가용성이 여기에 나열되어 있습니다.

Q: 시작하려면 어떻게 해야 하나요?

AWS Management Console에서 클릭 몇 번으로 전체 조직 또는 개별 계정에 대해 Amazon Inspector를 활성화할 수 있습니다. Amazon Inspector를 활성화하면 실행 중인 Amazon EC2 인스턴스, Lambda 함수 및 Amazon ECR 리포지토리를 자동으로 검색하고 즉시 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하기 시작합니다. Amazon Inspector를 처음 사용하는 경우 15일 무료 평가판도 있습니다.

Q: Amazon Inspector 결과란 무엇인가요?

Amazon Inspector 결과는 잠재적인 보안 취약성입니다. 예를 들어 Amazon Inspector는 소프트웨어 취약성을 감지하거나 컴퓨팅 리소스에 대한 네트워크 경로를 열 때 보안 결과를 생성합니다.

Q: 내 AWS Organizations 구조를 사용하여 Amazon Inspector를 관리할 수 있나요?

예. Amazon Inspector는 AWS Organizations와 통합됩니다. Amazon Inspector의 프라이머리 관리자 계정 역할을 하고 Amazon Inspector를 중앙에서 관리하고 구성할 수 있는 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다. DA 계정은 AWS 조직의 일부인 모든 계정에 대한 결과를 중앙에서 보고 관리할 수 있습니다.

Q: Amazon Inspector 서비스의 관리자를 위임하려면 어떻게 해야 하나요?

AWS Organizations Management 계정은 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다.

Q: 특정 스캔 유형(즉, Amazon EC2 스캔, Lambda 함수 스캔 또는 Amazon ECR 컨테이너 이미지 스캔)을 활성화해야 하나요?

Amazon Inspector를 처음으로 시작하는 경우 EC2 스캔, Lambda 스캔 및 ECR 컨테이너 이미지 스캔을 포함한 모든 스캔 유형이 기본적으로 활성화됩니다. 그러나 조직의 모든 계정에 걸쳐 이러한 스캔 유형의 일부 또는 전부를 비활성화할 수 있습니다. 기존 사용자는 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 새로운 기능을 활성화할 수 있습니다.

Q: Amazon Inspector를 사용하려면 에이전트가 필요한가요?

스캔하는 리소스에 따라 다릅니다. Amazon EC2 인스턴스의 취약성 스캔에는 AWS Systems Manager Agent(SSM Agent)가 필요합니다. Amazon EC2 인스턴스의 네트워크 연결 가능성과 컨테이너 이미지의 취약성 스캔 또는 Lambda 함수의 취약성 스캔에는 에이전트가 필요하지 않습니다.

Q: Amazon Systems Manager Agent를 설치하고 구성하려면 어떻게 해야 하나요?

소프트웨어 취약성에 대해 Amazon EC2 인스턴스를 성공적으로 스캔하려면 Amazon Inspector는 이러한 인스턴스를 AWS Systems Manager와 SSM Agent를 통해 관리해야 합니다. Systems Manager 활성화 및 구성 지침은 AWS Systems Manager 사용 설명서의 Systems Manager 사전 요구 사항을 참조하세요. 관리형 인스턴스에 대한 자세한 내용은 AWS Systems Manager 사용 설명서의 관리형 인스턴스 섹션을 참조하세요.

Q: 스캔용으로 구성된 Amazon ECR 리포지토리를 어떻게 알 수 있나요? 그리고 스캔을 위해 구성해야 하는 리포지토리를 어떻게 관리하나요?

Amazon Inspector는 스캔할 ECR 리포지토리를 선택하는 포함 규칙 구성을 지원합니다. 포함 규칙은 ECR 콘솔 내의 레지스트리 설정 페이지에서 또는 ECR API를 사용하여 생성하고 관리할 수 있습니다. 포함 규칙과 일치하는 ECR 리포지토리는 스캔을 위해 구성됩니다. 리포지토리의 자세한 스캔 상태는 ECR 및 Amazon Inspector 콘솔에서 모두 확인할 수 있습니다.

Q: 내 리소스가 활발하게 스캔되고 있는지 어떻게 알 수 있나요?

Amazon Inspector 대시보드의 환경 적용 범위 패널은 Amazon Inspector에서 활발히 스캔 중인 계정, Amazon EC2 인스턴스, Lambda 함수 및 ECR 리포지토리에 대한 지표를 보여줍니다. 각 인스턴스와 이미지의 스캔 상태는 Scanning(스캔 중) 또는 Not Scanning(스캔 중 아님)입니다. 스캐닝은 리소스가 거의 실시간으로 지속적으로 스캔되고 있음을 의미합니다. 스캔 중 아님(Not Scanning) 상태는 초기 스캔이 아직 수행되지 않았거나 OS가 지원되지 않거나 다른 문제로 인해 스캔이 불가능함을 의미할 수 있습니다.

Q: 자동 다시 스캔은 얼마나 자주 수행되나요?

모든 스캔은 이벤트에 따라 자동으로 수행됩니다. 모든 워크로드는 검색 시 처음에 스캔되고 이후에 다시 스캔됩니다.

• Amazon EC2 인스턴스의 경우: 인스턴스에 새 소프트웨어 패키지가 설치 또는 제거될 때, 새 CVE가 게시될 때, 취약한 패키지가 업데이트된 후(추가 취약성이 없는지 확인하기 위해) 다시 스캔이 시작됩니다.
• Amazon ECR 컨테이너 이미지의 경우: 이미지에 영향을 미치는 새 CVE가 게시되면 적격 컨테이너 이미지에 대해 자동 다시 스캔이 시작됩니다. 컨테이너 이미지에 대한 자동 재검색은 Amazon Inspector 콘솔 또는 API에 구성된 기간 동안 계속됩니다. 사용할 수 있는 구성에는 평생(기본값), 180일 또는 30일이 있습니다.
  
• Lambda 함수의 경우: 처음에는 검색되는 모든 새로운 Lambda 함수가 평가되고 Lambda 함수가 업데이트되거나 새로운 CVE가 게시될 때 지속적으로 다시 평가됩니다.

Q: Amazon Inspector를 사용하여 컨테이너 이미지를 지속적으로 다시 스캔하는 기간은 얼마나 되나요?

• Amazon Inspector ECR 검색이 활성화되면 Amazon Inspector는 검색을 위해 지난 30일 동안 푸시된 이미지만 선택하지만 구성된 기간(예: 수명(기본값), 180일 또는 30일)동안 계속 검색합니다.
  
• Amazon Inspector ECR 스캔이 활성화된 후 ECR로 푸시된 모든 영상은 구성된 기간(예: 평생(기본값), 180일 또는 30일) 동안 지속적으로 스캔됩니다.

Q: 내 리소스를 스캔에서 제외할 수 있나요?

• Amazon EC2 인스턴스의 경우: Amazon Inspector는 계정 내의 모든 EC2 인스턴스를 자동으로 검색하고 구성된 Amazon SSM Agent로 모든 인스턴스를 지속적으로 스캔합니다.
• Amazon ECR에 있는 컨테이너 이미지의 경우: 예. 스캔을 위해 구성된 Amazon ECR 리포지토리를 선택할 수 있지만 리포지토리 내의 모든 이미지가 스캔됩니다. 포함 규칙을 생성하여 스캔해야 하는 리포지토리를 선택할 수 있습니다.
  
• Lambda 함수의 경우: 예. 리소스 태그를 추가하여 검사에서 Lambda 함수를 제외할 수 있습니다. 표준 스캔의 경우 'InspectorExclusion' 키와 'LambdaStandardScanning' 값을 사용합니다. 코드 스캔의 경우 'InspectorCodeExclusion' 키와 'LambdaCodeScanning' 값을 사용합니다.
  

Q: Amazon Inspector를 사용하여 Lambda 함수의 보안 취약성을 평가하려면 어떻게 해야 하나요?

다중 계정 구조에서는 Amazon Inspector 콘솔 또는 API에서 위임된 관리자(DA) 계정을 통해 AWS Organization 내의 모든 계정에 대해 Amazon Inspector의 Lambda 취약성 평가를 활성화할 수 있습니다. 그러나 다른 멤버 계정은 중앙 보안 팀에서 활성화하지 않은 경우 자체 계정에 대해 Amazon Inspector를 활성화할 수 있습니다. AWS Organization에 포함되지 않은 계정은 Amazon Inspector 콘솔 또는 API를 통해 개별 계정에 대해 Amazon Inspector를 활성화할 수 있습니다.

Q: Lambda 함수에 여러 버전이 있는 경우 Amazon Inspector는 어느 버전을 평가하게 되나요?

Amazon Inspector는 $LATEST 버전만 지속적으로 모니터링하고 평가합니다. 자동 다시 스캔은 최신 버전에 대해서만 계속되므로 새로운 결과는 최신 버전에 대해서만 생성됩니다. 콘솔 내 드롭다운에서 버전을 선택하여 원하는 버전의 조사 결과를 볼 수 있습니다.

Q: Lambda 표준 스캔을 활성화하지 않고 Lambda 코드 스캔을 활성화할 수 있나요?

아니요. 2가지 옵션이 있습니다. Lambda 표준 스캔만 활성화하거나 Lambda 표준 및 코드 스캔을 함께 활성화할 수 있습니다. Lambda 표준 스캔은 Lambda 함수 및 연결 계층으로 배포된 애플리케이션에 사용되는 취약한 종속성으로부터 애플리케이션을 근본적으로 보호합니다. Lambda 코드 스캔은 Lambda 함수 내의 사용자 지정 전용 애플리케이션 코드를 검사하여 주입 결함, 데이터 유출, 취약한 암호화 또는 내장된 비밀과 같은 코드 보안 취약성을 검사함으로써 보안을 개선합니다.

Q: SSM 인벤토리 수집 빈도를 기본 30분에서 12시간으로 변경하면 Amazon Inspector의 연속 스캔에 어떤 영향이 있나요?

기본 SSM 인벤토리 수집 빈도를 변경하면 스캔의 지속적인 특성에 영향이 있을 수 있습니다. Amazon Inspector는 SSM Agent를 사용하여 애플리케이션 인벤토리를 수집하여 결과를 생성합니다. 애플리케이션 인벤토리 기간이 기본값인 30분에서 늘어나면 애플리케이션 인벤토리에 대한 변경 감지가 지연되고 새로운 조사 결과가 지연될 수 있습니다.

Q: Amazon Inspector 위험 점수란 무엇인가요?

Amazon Inspector 위험 점수는 일반적인 취약성 및 노출(CVE) 정보를 네트워크 도달 가능성 결과, 악용 가능성 데이터 및 소셜 미디어 추세와 연결하여 각 조사 결과에 대해 생성되는 고도로 맥락화된 점수입니다. 이렇게 하면 더 쉽게 조사 결과의 우선 순위를 지정하고 가장 중요한 조사 결과와 취약한 리소스에 집중할 수 있습니다. 결과 세부 정보(Findings Details) 측면 패널에 있는 Inspector 점수(Inspector Score) 탭에서 Inspector 위험 점수가 계산된 방식과 점수에 영향을 준 요인을 확인할 수 있습니다.

예: Amazon EC2 인스턴스에서 식별된 새 CVE가 있으며 원격으로만 악용될 수 있습니다. Amazon Inspector의 지속적인 네트워크 연결 가능성 스캔에서도 인터넷에서 인스턴스에 연결할 수 없음을 발견하면 취약성이 악용될 가능성이 낮다는 것을 알게 됩니다. 따라서 Amazon Inspector는 스캔 결과를 CVE와 연관시켜 위험 점수를 하향 조정하여 해당 특정 인스턴스에 대한 CVE의 영향을 보다 정확하게 반영합니다.

Q: 결과 심각도는 어떻게 결정되나요?

Q: 억제 규칙은 어떻게 작동하나요?

Amazon Inspector를 사용하면 정의한 사용자 지정 기준에 따라 결과를 억제할 수 있습니다. 조직에서 허용하는 것으로 간주되는 결과에 대한 억제 규칙을 생성할 수 있습니다.

Q: 내 결과를 내보내려면 어떻게 해야 하며 여기에는 무엇이 포함되나요?

Amazon Inspector 콘솔 또는 Amazon Inspector API를 통해 클릭 몇 번으로 여러 형식(CSV 또는 JSON)으로 보고서를 생성할 수 있습니다. 모든 조사 결과가 포함된 전체 보고서를 다운로드하거나 콘솔에 설정된 보기 필터를 기반으로 사용자 지정된 보고서를 생성하고 다운로드할 수 있습니다.

Q: 리소스에 대한 SBOM을 내보내려면 어떻게 해야 하고, SBOM에는 무엇이 포함되나요?

Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 통해 몇 단계만 수행하면 Amazon Inspector로 모니터링되는 모든 리소스에 대한 SBOM을 다양한 형식(CycloneDX 또는 SPDX)으로 생성하고 내보낼 수 있습니다. 모든 리소스에 대한 SBOM이 포함된 전체 보고서를 다운로드하거나, 세트 보기 필터를 기반으로 일부 선택된 리소스에 대한 SBOM을 선택적으로 생성하고 다운로드할 수 있습니다.

Q: Amazon Inspector를 VPC로 설정하여 프라이빗 Amazon EC2 인스턴스를 스캔할 수 있나요?

예. Amazon Inspector는 SSM Agent를 사용하여 인터넷을 통한 정보 전송을 방지하기 위해 Amazon Virtual Private Cloud(VPC) 엔드포인트로 설정할 수 있는 애플리케이션 인벤토리를 수집합니다.

Q: Amazon Inspector는 어떤 운영 체제를 지원하나요?

여기에서 지원되는 운영 체제(OS) 목록을 찾을 수 있습니다.

Q: Amazon Inspector는 컨테이너 이미지 스캔을 위해 어떤 프로그래밍 언어 패키지를 지원하나요?

여기에서 지원되는 프로그래밍 언어 패키지 목록을 찾을 수 있습니다.

Q: Amazon Inspector는 Network Address Translation(NAT)을 사용하는 인스턴스에서 작동하나요?

예. NAT를 사용하는 인스턴스는 Amazon Inspector에서 자동으로 지원됩니다.

Q: 내 인스턴스에 프록시를 사용합니다. Amazon Inspector가 이 인스턴스에서 작동하나요?

예. 자세한 내용은 프록시를 사용하도록 SSM Agent를 구성하는 방법을 참조하세요.

Q: Amazon Inspector를 다른 AWS 서비스와 통합하여 로깅과 알림을 적용할 수 있나요?

Amazon Inspector는 Amazon EventBridge와 통합되어 새 결과, 결과 상태 변경 또는 억제 규칙 생성과 같은 이벤트에 대한 알림을 제공합니다. 또한 Amazon Inspector는 호출 로깅을 위해 AWS CloudTrail과 통합됩니다.

Q: Amazon Inspector는 "CIS 운영 체제 보안 구성 벤치마크" 스캔을 제공하나요?

아니요. Amazon Inspector는 현재 CIS 스캔을 지원하지 않지만 이 기능은 향후 추가될 예정입니다. 그러나 Amazon Inspector Classic에서 제공하는 CIS 스캔 규칙 패키지를 계속 사용할 수 있습니다.

Q: Amazon Inspector는 AWS 파트너 솔루션과 연동되나요?

예. 자세한 내용은 Amazon Inspector 파트너를 참조하세요.

Q: Amazon Inspector를 비활성화할 수 있나요?

예. Amazon Inspector 서비스를 비활성화하여 모든 스캔 유형(Amazon EC2 스캔, Amazon ECR 컨테이너 이미지 스캔 및 Lambda 함수 스캔)을 비활성화하거나 계정에 대해 개별적으로 각 스캔 유형을 비활성화할 수 있습니다.

Q: Amazon Inspector를 일시 중단할 수 있나요?

아니요. Amazon Inspector는 일시 중단 상태를 지원하지 않습니다.