Amazon Inspector FAQ

AWS Management Console에서 몇 단계를 거쳐 전체 조직 또는 개별 계정에 대해 Amazon Inspector를 활성화할 수 있습니다. Amazon Inspector를 활성화하면 실행 중인 Amazon EC2 인스턴스, Lambda 함수 및 Amazon ECR 리포지토리를 자동으로 검색하고 즉시 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하기 시작합니다. Amazon Inspector를 처음 사용하는 경우 15일 무료 평가판도 있습니다.

Amazon Inspector 결과는 잠재적인 보안 취약성입니다. 예를 들어 Amazon Inspector는 소프트웨어 취약성을 감지하거나 컴퓨팅 리소스에 대한 네트워크 경로를 열 때 보안 결과를 생성합니다.

예. Amazon Inspector는 AWS Organizations와 통합됩니다. Amazon Inspector의 프라이머리 관리자 계정 역할을 하고 Amazon Inspector를 중앙에서 관리하고 구성할 수 있는 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다. DA 계정은 AWS 조직의 일부인 모든 계정에 대한 결과를 중앙에서 보고 관리할 수 있습니다.

AWS Organizations Management 계정은 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다.

Amazon Inspector를 처음으로 시작하는 경우 EC2 스캔, Lambda 스캔 및 ECR 컨테이너 이미지 스캔을 포함한 모든 스캔 유형이 기본적으로 활성화됩니다. 그러나 조직의 모든 계정에 걸쳐 이러한 스캔 유형의 일부 또는 전부를 비활성화할 수 있습니다. 기존 사용자는 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 새로운 기능을 활성화할 수 있습니다.

아니요, 스캔을 위해 에이전트가 필요하지 않습니다. Amazon EC2 인스턴스의 취약성 스캔을 위해 에이전트 기반 솔루션용 AWS Systems Manager Agent(SSM Agent)를 사용할 수 있습니다. 또한 Amazon Inspector는 SSM 에이전트를 배포하거나 구성하지 않은 경우 에이전트 없는 검사(평가판)를 제공합니다. Amazon EC2 인스턴스의 네트워크 연결성 평가, 컨테이너 이미지의 취약점 스캔 또는 Lambda 함수의 취약점 검사를 평가하는 데에는 에이전트가 필요하지 않습니다. 

소프트웨어 취약성에 대해 Amazon EC2 인스턴스를 성공적으로 스캔하려면 Amazon Inspector는 이러한 인스턴스를 AWS Systems Manager와 SSM Agent를 통해 관리해야 합니다. Systems Manager 활성화 및 구성 지침은 AWS Systems Manager 사용 설명서의 Systems Manager 사전 요구 사항을 참조하세요. 관리형 인스턴스에 대한 자세한 내용은 AWS Systems Manager 사용 설명서의 관리형 인스턴스 섹션을 참조하세요.

Amazon Inspector는 스캔할 ECR 리포지토리를 선택하는 포함 규칙 구성을 지원합니다. 포함 규칙은 ECR 콘솔 내의 레지스트리 설정 페이지에서 또는 ECR API를 사용하여 생성하고 관리할 수 있습니다. 포함 규칙과 일치하는 ECR 리포지토리는 스캔을 위해 구성됩니다. 리포지토리의 자세한 스캔 상태는 ECR 및 Amazon Inspector 콘솔에서 모두 확인할 수 있습니다.

Amazon Inspector 대시보드의 환경 적용 범위 패널은 Amazon Inspector에서 활발히 스캔 중인 계정, Amazon EC2 인스턴스, Lambda 함수 및 ECR 리포지토리에 대한 지표를 보여줍니다. 각 인스턴스와 이미지의 스캔 상태는 Scanning(스캔 중) 또는 Not Scanning(스캔 중 아님)입니다. 스캐닝은 리소스가 거의 실시간으로 지속적으로 스캔되고 있음을 의미합니다. 스캔 중 아님(Not Scanning) 상태는 초기 스캔이 아직 수행되지 않았거나 OS가 지원되지 않거나 다른 문제로 인해 스캔이 불가능함을 의미할 수 있습니다.

모든 스캔은 이벤트에 따라 자동으로 수행됩니다. 모든 워크로드는 검색 시 처음에 스캔되고 이후에 다시 스캔됩니다.

• Amazon EC2 인스턴스의 경우: SSM 에이전트 기반 스캔의 경우, 인스턴스에 새 소프트웨어 패키지가 설치 또는 제거될 때, 새 CVE가 게시될 때, 취약한 패키지가 업데이트된 후(추가 취약성이 없는지 확인하기 위해) 다시 스캔이 시작됩니다. 에이전트리스 스캔의 경우 24시간마다 스캔이 수행됩니다.
• Amazon ECR 컨테이너 이미지의 경우: 이미지에 영향을 미치는 새 CVE가 게시되면 적격 컨테이너 이미지에 대해 자동 다시 스캔이 시작됩니다. 컨테이너 이미지에 대한 자동 재스캔은 Amazon Inspector 콘솔 또는 API에서 이미지 푸시 날짜와 풀 날짜 모두에 대해 구성된 재스캔 기간을 기준으로 수행됩니다. 이미지의 푸시 날짜가 구성된 ‘푸시 날짜 재스캔 기간’보다 짧고 구성된 ‘풀 날짜 재스캔 기간’ 내에 이미지를 가져온 경우 컨테이너 이미지가 계속 모니터링되고 이미지에 영향을 미치는 새 CVE가 게시될 때 자동 재스캔이 시작됩니다. 이미지 푸시 날짜에 사용할 수 있는 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일, 180일 또는 평생입니다. 이미지 풀 날짜의 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일 또는 180일입니다.
• Lambda 함수의 경우: 처음에는 검색되는 모든 새로운 Lambda 함수가 평가되고 Lambda 함수가 업데이트되거나 새로운 CVE가 게시될 때 지속적으로 다시 평가됩니다.

연속 스캔을 위해 구성된 Amazon ECR 리포지토리에 있는 컨테이너 이미지는 Amazon Inspector 콘솔 또는 API에서 구성된 기간 동안 스캔됩니다. 이미지 푸시 날짜에 사용할 수 있는 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일, 180일 또는 평생입니다. 이미지 풀 날짜의 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일 또는 180일입니다.

• Amazon Inspector ECR 스캐닝이 활성화되면 Amazon Inspector는 스캔을 위해 지난 30일 동안 푸시되거나 가져온 이미지만 선택하지만 푸시 날짜 및 풀 날짜에 구성된 재스캔 기간(예: 30일(기본값), 14일, 60일, 90일, 180일 또는 평생) 동안 지속적으로 스캔합니다. 이미지의 푸시 날짜가 구성된 ‘푸시 날짜 재스캔 기간’보다 짧고 구성된 ‘풀 날짜 재스캔 기간’ 내에 이미지를 가져온 경우 컨테이너 이미지가 계속 모니터링되고 이미지에 영향을 미치는 새 CVE가 게시될 때 자동 재스캔이 시작됩니다. 예를 들어 Amazon Inspector ECR 스캐닝을 활성화하면 Amazon Inspector는 지난 30일 동안 푸시되거나 가져온 이미지를 픽업하여 스캔합니다. 그러나 활성화 후 푸시 날짜 및 풀 날짜 구성에 대해 180일 재스캔 기간을 선택하면 Amazon Inspector는 이미지가 지난 180일 이내에 푸시되었거나 지난 180일 동안 한 번 이상 가져온 경우 이미지를 계속 스캔합니다. 지난 180일 동안 이미지를 푸시하거나 가져오지 않은 경우 Amazon Inspector는 이미지 모니터링을 중단합니다.
• Amazon Inspector ECR 스캔이 활성화된 후 ECR로 푸시되는 모든 이미지는 ‘푸시 날짜 재스캔 기간’ 및 ‘풀 날짜 재스캔 기간’에 구성된 기간에 지속적으로 스캔됩니다. 이미지 푸시 날짜에 사용할 수 있는 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일, 180일 또는 평생입니다. 이미지 풀 날짜의 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일 또는 180일입니다. 자동 재스캔 기간은 컨테이너 이미지의 마지막 푸시 또는 풀 날짜를 기준으로 계산됩니다. 예를 들어 Amazon Inspector ECR 스캔을 활성화한 후 푸시 날짜와 풀 날짜 구성에 대한 재스캔 기간을 180일로 선택하면 Amazon Inspector는 이미지가 지난 180일 동안 푸시되었거나 지난 180일 동안 한 번 이상 가져온 경우 이미지를 계속 스캔합니다. 하지만 지난 180일 동안 이미지를 푸시하거나 가져오지 않은 경우 Amazon Inspector는 해당 이미지에 대한 모니터링을 중단합니다.
• 이미지가 ‘스캔 자격 만료’ 상태인 경우 이미지를 가져와서 Amazon Inspector 모니터링 대상으로 다시 가져올 수 있습니다. 이미지는 마지막으로 가져온 날짜부터 푸시 날짜 및 풀 날짜에 구성된 재스캔 기간 동안 계속 스캔됩니다.

• Amazon EC2 인스턴스의 경우: 예. 리소스 태그를 추가하여 EC2 인스턴스를 스캔에서 제외할 수 있습니다. ‘InspectorEc2Exclusion’ 키를 사용하면 됩니다. 값은 <optional>입니다.
• Amazon ECR에 있는 컨테이너 이미지의 경우: 예. 스캔을 위해 구성된 Amazon ECR 리포지토리를 선택할 수 있지만 리포지토리 내의 모든 이미지가 스캔됩니다. 포함 규칙을 생성하여 스캔해야 하는 리포지토리를 선택할 수 있습니다.
• Lambda 함수의 경우: 예. 리소스 태그를 추가하여 검사에서 Lambda 함수를 제외할 수 있습니다. 표준 스캔의 경우 'InspectorExclusion' 키와 'LambdaStandardScanning' 값을 사용합니다. 코드 스캔의 경우 'InspectorCodeExclusion' 키와 'LambdaCodeScanning' 값을 사용합니다.

다중 계정 구조에서는 Amazon Inspector 콘솔 또는 API에서 위임된 관리자(DA) 계정을 통해 AWS Organization 내의 모든 계정에 대해 Amazon Inspector의 Lambda 취약성 평가를 활성화할 수 있습니다. 그러나 다른 멤버 계정은 중앙 보안 팀에서 활성화하지 않은 경우 자체 계정에 대해 Amazon Inspector를 활성화할 수 있습니다. AWS Organization에 포함되지 않은 계정은 Amazon Inspector 콘솔 또는 API를 통해 개별 계정에 대해 Amazon Inspector를 활성화할 수 있습니다.

Amazon Inspector는 $LATEST 버전만 지속적으로 모니터링하고 평가합니다. 자동 다시 스캔은 최신 버전에 대해서만 계속되므로 새로운 결과는 최신 버전에 대해서만 생성됩니다. 콘솔 내 드롭다운에서 버전을 선택하여 원하는 버전의 조사 결과를 볼 수 있습니다.

아니요. 2가지 옵션이 있습니다. Lambda 표준 스캔만 활성화하거나 Lambda 표준 및 코드 스캔을 함께 활성화할 수 있습니다. Lambda 표준 스캔은 Lambda 함수 및 연결 계층으로 배포된 애플리케이션에 사용되는 취약한 종속성으로부터 애플리케이션을 근본적으로 보호합니다. Lambda 코드 스캔은 Lambda 함수 내의 사용자 지정 전용 애플리케이션 코드를 검사하여 주입 결함, 데이터 유출, 취약한 암호화 또는 내장된 비밀과 같은 코드 보안 취약성을 검사함으로써 보안을 개선합니다.

기본 SSM 인벤토리 수집 빈도를 변경하면 스캔의 지속적인 특성에 영향이 있을 수 있습니다. Amazon Inspector는 SSM Agent를 사용하여 애플리케이션 인벤토리를 수집하여 결과를 생성합니다. 애플리케이션 인벤토리 기간이 기본값인 30분에서 늘어나면 애플리케이션 인벤토리에 대한 변경 감지가 지연되고 새로운 조사 결과가 지연될 수 있습니다.

Amazon Inspector 위험 점수는 일반적인 취약성 및 노출(CVE) 정보를 네트워크 도달 가능성 결과, 악용 가능성 데이터 및 소셜 미디어 추세와 연결하여 각 조사 결과에 대해 생성되는 고도로 맥락화된 점수입니다. 이렇게 하면 더 쉽게 조사 결과의 우선 순위를 지정하고 가장 중요한 조사 결과와 취약한 리소스에 집중할 수 있습니다. 결과 세부 정보(Findings Details) 측면 패널에 있는 Inspector 점수(Inspector Score) 탭에서 Inspector 위험 점수가 계산된 방식과 점수에 영향을 준 요인을 확인할 수 있습니다.

예: Amazon EC2 인스턴스에서 식별된 새 CVE가 있으며 원격으로만 악용될 수 있습니다. Amazon Inspector의 지속적인 네트워크 연결 가능성 스캔에서도 인터넷에서 인스턴스에 연결할 수 없음을 발견하면 취약성이 악용될 가능성이 낮다는 것을 알게 됩니다. 따라서 Amazon Inspector는 스캔 결과를 CVE와 연관시켜 위험 점수를 하향 조정하여 해당 특정 인스턴스에 대한 CVE의 영향을 보다 정확하게 반영합니다.

Amazon Inspector를 사용하면 정의한 사용자 지정 기준에 따라 결과를 억제할 수 있습니다. 조직에서 허용하는 것으로 간주되는 결과에 대한 억제 규칙을 생성할 수 있습니다.

Amazon Inspector 콘솔 또는 Amazon Inspector API를 통해 몇 단계를 거쳐 여러 형식(CSV 또는 JSON)으로 보고서를 생성할 수 있습니다. 모든 조사 결과가 포함된 전체 보고서를 다운로드하거나 콘솔에 설정된 보기 필터를 기반으로 사용자 지정된 보고서를 생성하고 다운로드할 수 있습니다.

아니요. 2가지 옵션이 있습니다. Lambda 표준 스캔만 활성화하거나 Lambda 표준 및 코드 스캔을 함께 활성화할 수 있습니다. Lambda 표준 스캔은 Lambda 함수 및 연결 계층으로 배포된 애플리케이션에 사용되는 취약한 종속성으로부터 애플리케이션을 근본적으로 보호합니다. Lambda 코드 스캔은 Lambda 함수 내의 사용자 지정 전용 애플리케이션 코드를 검사하여 주입 결함, 데이터 유출, 취약한 암호화 또는 내장된 비밀과 같은 코드 보안 취약성을 검사함으로써 보안을 개선합니다.

Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 통해 몇 단계만 수행하면 Amazon Inspector로 모니터링되는 모든 리소스에 대한 SBOM을 다양한 형식(CycloneDX 또는 SPDX)으로 생성하고 내보낼 수 있습니다. 모든 리소스에 대한 SBOM이 포함된 전체 보고서를 다운로드하거나, 세트 보기 필터를 기반으로 일부 선택된 리소스에 대한 SBOM을 선택적으로 생성하고 다운로드할 수 있습니다.

단일 계정을 사용하는 기존 Amazon Inspector 고객의 경우, Amazon Inspector 콘솔의 계정 관리 페이지를 방문하거나 API를 사용하여 에이전트 없는 검사(평가판)를 활성화할 수 있습니다.

AWS Organizations를 사용하는 기존 Amazon Inspector 고객의 경우, 위임 관리자는 전체 조직을 에이전트 없는 솔루션으로 완전히 마이그레이션하거나 SSM 에이전트 기반 솔루션만 계속 독점적으로 사용해야 합니다. 콘솔의 EC2 설정 페이지에서 또는 API를 통해 스캔 모드 구성을 변경할 수 있습니다.

신규 Amazon Inspector 고객의 경우 에이전트 없는 검사 평가판 기간 동안 EC2 스캔을 활성화하면 에이전트 기반 검사 모드에서 인스턴스가 스캔됩니다. 필요한 경우 하이브리드 검사 모드로 전환할 수 있습니다. 하이브리드 검사 모드에서 Amazon Inspector는 애플리케이션 인벤토리 수집을 위해 SSM 에이전트를 사용하여 취약성 평가를 수행하고 SSM 에이전트가 설치 또는 구성되지 않은 인스턴스의 경우 에이전트 없는 검사로 자동으로 대체합니다.

Amazon Inspector는 에이전트 없는 검사(평가판)으로 표시된 인스턴스에 대해 24시간마다 자동으로 검사를 트리거합니다. SSM 에이전트 기반 검사로 표시된 인스턴스의 연속 검색 동작은 변경되지 않습니다. 

Amazon Inspector 콘솔의 리소스 커버리지 페이지를 방문하거나 Amazon Inspector 커버리지 API를 사용하면 '모니터링 사용' 열에서 검사 모드를 확인할 수 있습니다. 

아니요, 다중 계정 설정에서는 위임된 관리자만 전체 조직에 대해 검사 모드 구성을 설정할 수 있습니다.

애플리케이션 및 플랫폼 팀은 Jenkins 및 TeamCity와 같은 다양한 CI/CD 도구용으로 설계된 특수 제작된 Amazon Inspector 플러그인을 사용하여 Amazon Inspector를 빌드 파이프라인에 통합할 수 있습니다. 이러한 플러그인은 각 CI/CD 도구의 마켓플레이스에서 사용할 수 있습니다. 플러그인이 설치되면 파이프라인에 단계를 추가하여 컨테이너 이미지 평가를 수행하고 평가 결과에 따라 파이프라인을 차단하는 등의 조치를 취할 수 있습니다. 평가에서 취약성이 확인되면 실행 가능한 보안 결과가 생성됩니다. 이러한 조사 결과에는 취약성 세부 정보, 개선 권장 사항 및 악용 가능성 세부 정보가 포함됩니다. 이 파일은 JSON 및 CSV 형식으로 CI/CD 도구에 반환되며, Amazon Inspector 플러그인을 통해 사람이 읽을 수 있는 대시보드로 변환하거나 팀에서 다운로드할 수 있습니다.

아니요, 활성 AWS 계정이 있는 경우 Amazon Inspector를 활성화하지 않고도 이 기능을 사용할 수 있습니다.

예. Amazon Inspector는 SSM Agent를 사용하여 인터넷을 통한 정보 전송을 방지하기 위해 Amazon Virtual Private Cloud(VPC) 엔드포인트로 설정할 수 있는 애플리케이션 인벤토리를 수집합니다.

여기에서 지원되는 운영 체제(OS) 목록을 찾을 수 있습니다.

여기에서 지원되는 프로그래밍 언어 패키지 목록을 찾을 수 있습니다.

예. NAT를 사용하는 인스턴스는 Amazon Inspector에서 자동으로 지원됩니다.

예. 자세한 내용은 프록시를 사용하도록 SSM Agent를 구성하는 방법을 참조하세요.

Amazon Inspector는 Amazon EventBridge와 통합되어 새 결과, 결과 상태 변경 또는 억제 규칙 생성과 같은 이벤트에 대한 알림을 제공합니다. 또한 Amazon Inspector는 직접 호출 로깅을 위해 AWS CloudTrail과 통합됩니다.

예. Amazon Inspector를 실행하여 AWS 조직 전체의 Amazon EC2 인스턴스에 대한 OS 수준 CIS 구성 벤치마크에 대한 온디맨드 및 맞춤형 평가를 수행할 수 있습니다.

예. 자세한 내용은 Amazon Inspector 파트너를 참조하세요.

예. Amazon Inspector 서비스를 비활성화하여 모든 스캔 유형(Amazon EC2 스캔, Amazon ECR 컨테이너 이미지 스캔 및 Lambda 함수 스캔)을 비활성화하거나 계정에 대해 개별적으로 각 스캔 유형을 비활성화할 수 있습니다.

아니요. Amazon Inspector는 일시 중단 상태를 지원하지 않습니다.