- Безопасность, идентификация и соответствие требованиям›
- Amazon Inspector›
- Вопросы и ответы по Amazon Inspector
Вопросы и ответы по Amazon Inspector
Общие вопросы
Что такое Amazon Inspector?
Amazon Inspector – это автоматизированный сервис для управления уязвимостями, который постоянно проверяет Эластичное облако вычислений Amazon (EC2), функции AWS Lambda, а также образы контейнеров в Amazon ECR и в инструментах непрерывной интеграции и доставки в режиме, близком к реальному времени, на наличие программных и сетевых уязвимостей.
Каковы главные преимущества Amazon Inspector?
Amazon Inspector избавляет от операционных затрат, связанных с развертыванием и настройкой решений для управления уязвимостями, поскольку Amazon Inspector можно развернуть одним действием сразу в нескольких аккаунтах. Дополнительные преимущества
- Автоматизированное развертывание и постоянное сканирование, позволяющее получать отчеты почти в реальном времени
- Централизованные средства для администрирования, настройки и просмотра отчетов по всем аккаунтам вашей организации благодаря использованию аккаунта уполномоченного администратора
- Оценки риска в Amazon Inspector с высокими уровнями учета контекста и значимости для всех полученных данных помогут вам лучше распределить приоритеты команд реагирования
- Интуитивно понятная информационная панель Amazon Inspector предоставляет метрики покрытия для аккаунтов, инстансов Amazon EC2, функций Lambda, а также образов контейнеров в Amazon ECR и в инструментах непрерывной интеграции и доставки в режиме, близком к реальному времени.
- Обеспечьте максимально полную проверку на наличие уязвимостей благодаря интегрированному сканированию инстансов EC2 и возможности переключаться между сканированием с использованием агента или без него (доступно в ознакомительном режиме).
- Централизованное управление экспортом спецификаций программного обеспечения (Software Bill of Materials, SBOM) для всех контролируемых ресурсов.
- Интеграция с Центром безопасности AWS и Amazon EventBridge для автоматизации рабочих процессов и перенаправления задач
Как перейти от использования Amazon Inspector Classic к новому Amazon Inspector?
Вы можете просто отключить Amazon Inspector Classic, удалив все шаблоны оценок в аккаунте. Чтобы получить данные по уже выполненным проверкам, их можно скачать в виде отчетов или экспортировать через Amazon Inspector API. Новый Amazon Inspector можно легко активировать, выполнив всего пару шагов в Консоли управления AWS или воспользовавшись API нового Amazon Inspector. Подробное описание процесса миграции приводится в Руководстве пользователя по Amazon Inspector Classic.
Чем отличается Amazon Inspector от Amazon Inspector Classic?
Amazon Inspector полностью реконструирован и спроектирован заново. По сути это новый сервис для управления уязвимостями. Вот лишь несколько основных улучшений по сравнению с Amazon Inspector Classic.
- Создан для масштабирования. Новый Amazon Inspector создан с учетом больших масштабов и динамичности облачной среды. Здесь нет ограничений на количество одновременно сканируемых инстансов или образов.
- Поддержка образов контейнеров и функций Lambda. Новый Amazon Inspector умеет сканировать образы контейнеров в Amazon ECR и в инструментах непрерывной интеграции и развертывания, а также функции Lambda на наличие программных уязвимостей. Полученные данные о контейнерах также публикуются в консоли Amazon ECR.
- Поддержка управления несколькими аккаунтами. Новый Amazon Inspector интегрируется с Организациями AWS, что позволяет предоставить Amazon Inspector аккаунт с правами уполномоченного администратора в вашей организации. Аккаунт уполномоченного администратора становится централизованным средством для объединения всех отчетов и настройки всех аккаунтов участников.
- Агент менеджера систем AWS. В новом Amazon Inspector уже не нужно устанавливать и поддерживать отдельный агент Amazon Inspector на каждом инстансе Amazon EC2. Новый Amazon Inspector использует вместо него уже повсеместно развернутый AWS Systems Manager Agent (SSM Agent).
- Постоянное и автоматизированное сканирование. Новый Amazon Inspector автоматически обнаруживает все новые инстансы Amazon EC2, функции Lambda и поддерживаемые образы контейнеров в Amazon ECR, и немедленно запускает для них сканирование на наличие программных и сетевых уязвимостей. При возникновении события, которое может приводить к новым уязвимостям, все затронутые ресурсы автоматически сканируются снова. Таким событием, которое требует повторного сканирования ресурса, может быть установка нового пакета в инстансе EC2, установка исправления и публикация новых сведений о распространенных уязвимостях, которые могут затронуть этот ресурс.
- Оценка риска в Amazon Inspector. Новый Amazon Inspector вычисляет оценку риска, сопоставляя наиболее актуальную информацию о распространенных уязвимостях и рисках с факторами времени и среды, например с информацией о доступности сети и наличии возможностей для использования уязвимостей, чтобы предоставить сведения о контексте и помочь распределить полученные данные по приоритетам.
- Покрытие проверки на наличие уязвимостей. Новый Amazon Inspector лучше отыскивает уязвимости за счет интегрированного сканирования инстансов EC2 и возможности переключаться между сканированием с использованием агента и без него (доступно в ознакомительном режиме).
- Экспорт спецификаций программного обеспечения. Новый Amazon Inspector централизованно экспортирует SBOM для всех отслеживаемых ресурсов и управляет ими.
Можно ли одновременно использовать Amazon Inspector и Amazon Inspector Classic в одном аккаунте?
Да, можно использовать оба решения одновременно в одном аккаунте.
Чем сервис сканирования образов контейнеров Amazon Inspector для Эластичного реестра контейнеров Amazon (ECR) отличается от встроенного решения Amazon ECR для сканирования образов контейнеров?
Сканирование изображений контейнеров в Amazon Inspector (усовершенствованное сканирование ECR) | Встроенное сканирование образов контейнеров Amazon ECR (базовое сканирование ECR) | |
---|---|---|
Ядро сканирования |
Amazon Inspector – это сервис управления уязвимостями, разработанный AWS, с полной поддержкой образов контейнеров, размещенных в Amazon ECR |
В Amazon ECR есть собственное управляемое базовое решение AWS для сканирования |
Поддерживаемые пакеты |
Определяет уязвимости в пакетах для операционных систем (ОС) и языков программирования (таких как Python, Java и Ruby) |
Обнаруживает программные уязвимости только в пакетах для ОС |
Частота сканирования |
Поддерживает как постоянное сканирование, так и сканирование при отправке |
Поддерживает только сканирование при отправке |
Анализ уязвимостей | Предоставляет расширенную информацию об уязвимостях, например сведения о доступности эксплойтов для базы данных Common Vulnerabilities and Exposures (CVE) и рекомендации по исправлению версий пакета, а также оценки EPSS и информацию о наборах вредоносных программ, используемых для эксплуатации CVE | Предоставляет только общие сведения об уязвимостях программного обеспечения |
Отчеты |
Отчеты предоставляются в консолях Amazon Inspector и Amazon ECR, а также через API и Пакеты средств разработки ПО (SDK) для Amazon Inspector и Amazon ECR |
Отчеты доступны в консоли Amazon ECR, а также через API и SDK для Amazon ECR |
Оценка уязвимостей |
Предоставляет контекстную оценку Inspector и оценки стандарта Common Vulnerability Scoring System (CVSS) версий 2 и 3 по базам данных поставщиков и NVD (National Vulnerability Database) |
Только баллы CVSS версии 3 и версии 2 |
Возможности интеграции сервисов AWS |
Полностью интегрирован с AWS Security Hub, AWS Organizations и AWS EventBridge |
Отсутствует встроенная интеграция с другими сервисами AWS |
Сколько стоит использование Amazon Inspector?
Подробные сведения см. на странице цен на Amazon Inspector.
Существует ли бесплатная пробная версия Amazon Inspector?
Все аккаунты, в которых еще не использовался Amazon Inspector, имеют право получить бесплатный 15-дневный пробный период для оценки возможностей и стоимости этого сервиса. В этот пробный период будут бесплатно постоянно сканироваться все поддерживаемые инстансы Amazon EC2, функции AWS Lambda и образы контейнеров, отправленные в Amazon ECR. Также вы можете узнать остаток пробного периода на консоли Amazon Inspector.
В каких регионах доступен Amazon Inspector?
Amazon Inspector доступен повсеместно. Доступность по конкретным регионам приводится здесь.
Начало работы
Как начать работу с сервисом?
Вы можете активировать Amazon Inspector для всей организации сразу или для отдельных аккаунтов, выполнив всего несколько шагов в Консоли управления AWS. Немедленно после активации Amazon Inspector начинает обнаруживать инстансы Amazon EC2, функции Lambda и репозитории Amazon ECR и выполнять для них постоянное сканирование рабочих нагрузок для поиска программных и сетевых уязвимостей. Если вы еще не работали с Amazon Inspector, вы можете воспользоваться бесплатным 15-дневным пробным периодом.
Какие данные предоставляет Amazon Inspector?
Отчет Amazon Inspector содержит сведения об обнаруженной потенциальной уязвимости. Например, Amazon Inspector создает отчет о безопасности, если обнаруживает программные уязвимости или открытые сетевые пути к вычислительным ресурсам.
Можно ли использовать для управления Amazon Inspector собственную структуру Организаций AWS?
Да. Amazon Inspector имеет встроенную интеграцию с AWS Organizations. Вы можете назначить для Amazon Inspector аккаунт уполномоченного администратора, который будет использоваться как основной административный аккаунт Amazon Inspector, и можете централизовано управлять им и настраивать его. Аккаунт уполномоченного администратора позволяет централизованно просматривать отчеты по всем аккаунтам, входящим в организацию AWS, и управлять ими.
Как правильно делегировать административную роль для сервиса Amazon Inspector?
Управляющий аккаунт AWS Organizations может назначить для Amazon Inspector аккаунт уполномоченного администратора с помощью консоли Amazon Inspector или через API Amazon Inspector.
Нужно ли отдельно активировать конкретные типы сканирования (например, обнаружение Amazon EC2, функций Lambda или образов контейнеров Amazon ECR)?
Если вы начинаете использовать Amazon Inspector впервые, все типы сканирования, включая сканирование для EC2, для функций Lambda и для образов контейнеров, по умолчанию активированы. Однако вы можете отключить любое или все эти действия во всех аккаунтах своей организации. Существующие пользователи могут активировать новые функции на консоли Amazon Inspector или с помощью API для Amazon Inspector.
Нужны ли агенты для использования Amazon Inspector?
Нет, вам не нужен агент, чтобы выполнять сканирование. Для поиска уязвимостей на инстансах Amazon EC2 можно использовать Агент менеджера систем AWS (агент SSM) в качестве решения на основе агентов. Amazon Inspector также поддерживает сканирование без использования агента (доступно в ознакомительном режиме), если агент SSM еще не развернут или не настроен. Для проверки сетевой доступности инстансов Amazon EC2 и образов контейнеров или функций Lambda на наличие уязвимостей агенты не требуются.
Как установить и настроить Агент менеджера систем Amazon?
Чтобы Amazon Inspector мог успешно сканировать инстансы Amazon EC2 на наличие программных уязвимостей, все инстансы должны работать под управлением Менеджера систем AWS и Агента менеджера систем. Инструкции по установке и настройке AWS Systems Manager вы найдете на странице об основных требований для Systems Manager в руководстве пользователя по AWS Systems Manager. Сведения об управляемых инстансах есть в разделе Managed Instances (Управляемые инстансы) руководства пользователя по Менеджеру систем AWS.
Как узнать, для каких репозиториев Amazon ECR настроено сканирование? И как изменить эти настройки?
Amazon Inspector поддерживает настройку правил включения, что позволяет выбрать конкретные репозитории ECR для сканирования. Правила включения можно создавать и администрировать на панели параметров реестра на консоли ECR или с помощью API ECR. Для сканирования отбираются все репозитории ECR, которые соответствуют указанному правилу включения. Подробные сведения о состоянии сканирования репозиториев можно найти в консолях ECR и Amazon Inspector.
Работа с Amazon Inspector
Как узнать, выполняется ли активное сканирование для моих ресурсов?
Панель «Покрытие среды» на панели управления Amazon Inspector предоставляет метрики покрытия для аккаунтов, инстансов EC2, функций Lambda и репозиториев ECR, в которых Amazon Inspector активно выполняет сканирование. Для каждого инстанса и образа здесь указано состояние сканирования: «Сканируется» или «Не сканируется». Состояние «Сканируется» означает, что ресурс постоянно отслеживается почти в режиме реального времени. Состояние «Не сканируется» может обозначать одно из следующего: еще не было выполнено первичное сканирование, не поддерживается используемая ОС или сканирование невозможно по другой причине.
Как часто выполняются автоматические повторные сканирования?
Все сканирования выполняются автоматически по наступлении определенных событий. Все рабочие нагрузки изначально сканируются при обнаружении, а затем регулярно сканируются повторно.
- Для инстансов Amazon EC2: во время сканирования на основе SSM агентов повторное сканирование выполняется при установке или удалении пакета программного обеспечения, при публикации новых сведений о распространенных уязвимостях и при обновлении уязвимого пакета (для проверки возможных дополнительных уязвимостей). При безагентном сканировании оно выполняется каждые 24 часа.
- Для образов контейнеров Amazon ECR: автоматизированное повторное сканирование выполняется для поддерживаемых образов контейнеров при публикации новых сведений о CVE, которые затрагивают этот образ. Автоматическое повторное сканирование образов контейнеров основано на длительности повторного сканирования, заданной как для даты загрузки, так и для даты извлечения образов в консоли Amazon Inspector или API. Если дата загрузки образов меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» и образ было извлечено в течение заданного значения для параметра «Продолжительность повторного сканирования для даты извлечения», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней.
- Для функций Lambda: все новые функции Lambda изначально проверяются при обнаружении, а затем непрерывно повторно проверяются, когда появляется обновление функции Lambda или публикуется новый CVE.
Как долго Amazon Inspector продолжает постоянно повторно сканировать образы контейнеров?
Размещенные в репозиториях Amazon ECR образы контейнеров, для которых настроено постоянное сканирование, проверяются в течение времени, заданного в консоли Amazon Inspector или API. Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней.
- После активации сканирования Amazon Inspector ECR, Amazon Inspector собирает для сканирования только образы, загруженные или извлеченные за последние 30 дней, но непрерывно сканирует их в течение периода повторного сканирования, заданного для даты загрузки и даты извлечения: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или на протяжении всего срока службы. Если дата загрузки образа меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» И образ было извлечено в течение заданного значения для параметра «Продолжительность повторного сканирования для даты извлечения», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Например, при активации сканирования Amazon Inspector ECR Amazon Inspector будет принимать для сканирования образы, отправленные или извлеченные за последние 30 дней. Однако после активации, если вы выберете длительность повторного сканирования 180 дней для конфигураций с датой загрузки и датой извлечения, Amazon Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или извлечены хотя бы один раз за последние 180 дней. Если образ не загружен или извлечен в течение последних 180 дней, Amazon Inspector прекратит его мониторинг.
- Все образы, загруженные в ECR после активации сканирования Amazon Inspector ECR, непрерывно сканируются в течение заданного периода времени в параметрах «Продолжительность повторного сканирования для даты загрузки» и «Продолжительность повторного сканирования для даты извлечения». Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней. Продолжительность автоматического повторного сканирования рассчитывается на основе даты последней загрузки или извлечения образа контейнера. Например, после активации сканирования Amazon Inspector ECR, если вы выберете продолжительность повторного сканирования 180 дней для даты загрузки и даты извлечения, Amazon Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или извлечены по крайней мере один раз за последние 180 дней. Однако если образ не загружен или извлечен в течение последних 180 дней, Amazon Inspector прекратит его мониторинг.
- Если образ находится в состоянии «Срок действия для сканирования истек», вы можете извлечь этот образ, чтобы вернуть его под контроль Amazon Inspector. Образ будет непрерывно сканироваться в течение продолжительности повторного сканирования для даты загрузки и даты извлечения, заданных с даты последнего извлечения.
Можно ли исключать определенные ресурсы из процесса сканирования?
- Для инстансов Amazon EC2: да, инстанс EC2 можно исключить из сканирования, добавив тег ресурса. Можно использовать ключ InspectorEc2Exclusion и значение <optional>.
- Для образов контейнеров, размещенных в Amazon ECR: да. Вы можете выбрать конкретные репозитории Amazon ECR, для которых будет выполняться сканирование, но не можете исключить отдельные образы в репозиториях. Для выбора сканируемых репозиториев нужно настроить правила включения.
- Для функций Lambda: да, функцию Lambda можно исключить из сканирования, добавив тег ресурса. Для стандартного сканирования используйте ключ InspectorExclusion и значение LambdaStandardScanning. Для сканирования кода используйте ключ InspectorCodeExclusion и значение LambdaCodeScanning.
Как использовать Amazon Inspector для оценки моих функций Lambda на наличие уязвимостей безопасности?
В структуре с несколькими аккаунтами вы можете активировать Amazon Inspector для проверки уязвимостей функций Lambda для всех своих аккаунтов внутри AWS Organization с помощью консоли или API для Amazon Inspector через аккаунт уполномоченного администратора (DA). В то же время другие аккаунты-участники могут активировать Amazon Inspector для своего аккаунта, если основная группа по вопросам безопасности еще не активировала его для них. Аккаунты, которые не входят в AWS Organization, могут активировать Amazon Inspector отдельно для своего аккаунта с помощью консоли или API для Amazon Inspector.
Если у функции Lambda несколько версий, какую из них будет оценивать Amazon Inspector?
Amazon Inspector будет непрерывно контролировать и оценивать только последнюю ($LATEST) версию. Автоматические повторные сканированию будут выполняться только для последней версии, и соответственно новые отчеты будут генерироваться только для нее. В консоли вы сможете видеть отчеты для любой версии, выбрав необходимую версию из раскрывающегося списка.
Можно ли активировать сканирование кода Lambda без активации стандартного сканирования Lambda?
Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительную безопасность благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.
Если я изменю частоту сбора списков SSM с 30 минут (значение по умолчанию) на 12 часов, как это повлияет на процесс постоянного сканирования в Amazon Inspector?
Изменение стандартной частоты сбора списков SSM может повлиять на актуальность данных сканирования. Amazon Inspector при создании своих отчетов полагается на список приложений, собранный агентами SSM Agent. Если список приложений будет составляться реже, чем указанный по умолчанию интервал в 30 минут, это замедлит обнаружение изменений в списке приложений, а следовательно и подготовку отчетов сканирования.
Что такое оценка риска Amazon Inspector?
Оценка риска Amazon Inspector составляется на основе подробных данных о контексте каждого отчета, и для ее получения сведения о распространенных уязвимостях сопоставляются с информацией о сетевой доступности, наличии эксплойтов и тенденциях в социальных сетях. Эта оценка поможет вам правильно распределить приоритеты между отчетами, уделяя основное внимание наиболее важным отчетам и самым уязвимым ресурсам. Вы можете посмотреть, как и по каким факторам Inspector выполнял расчет оценки риска, открыв вкладку «Оценка Inspector» на боковой панели «Подробности отчетов».
Предположим, что для вашего инстанса Amazon EC2 обнаружена новая уязвимость, для которой эксплойт возможен только через удаленное подключение. Если Amazon Inspector на основании постоянных сканирований сетевой доступности определит, что этот инстанс недоступен из Интернета, он будет считать риск эксплойта для такой уязвимости минимальной. Таким образом, Amazon Inspector сопоставляет результаты сканирования с данными о распространенных уязвимостях и снижает риск, что более точно отражает реальное влияние конкретной уязвимости на конкретный экземпляр.
Как определяется степень важности полученных данных?
Оценка Amazon Inspector | Серьезность |
---|---|
0 | Информационная |
0,2–3,9 | Низкая |
4,0–6,9 | Средняя |
7,0–8,9 | высокий уровень |
9,0–10,0 | Критическая |
Как работают правила подавления?
Amazon Inspector позволяет подавлять определенные отчеты, определяя для этого пользовательские критерии. Вы можете создать правила подавления для отчетов о таких уязвимостях, которые считаются допустимыми для вашей организации.
Как экспортировать полученные данные и какую информацию они содержат?
Вы можете экспортировать отчеты в нескольких форматах (CSV или JSON), выполнив всего несколько шагов в консоли Amazon Inspector или применив различные API Amazon Inspector. Вы можете скачать отчет со всеми полученными данными или отобрать интересующие, настроив для этого фильтры в консоли.
Можно ли активировать сканирование кода Lambda без активации стандартного сканирования Lambda?
Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительную безопасность благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.
Как экспортировать SBOM для ресурсов и что в него включается?
Можно создавать и экспортировать SBOM для всех ресурсов, отслеживаемых с помощью Amazon Inspector, в нескольких форматах (CycloneDx или SPDX), выполнив несколько шагов в консоли Amazon Inspector или воспользовавшись API Amazon Inspector. Вы можете загрузить полный отчет с SBOM для всех ресурсов или выборочно создать и загрузить SBOM для нескольких выбранных ресурсов на основе установленных фильтров просмотра.
Как включить безагентное сканирование для моего аккаунта?
Текущие клиенты Amazon Inspector, у которых один аккаунт, могут включить безагентное сканирование (ознакомительный режим) на странице управления аккаунтом в консоли Amazon Inspector или с помощью API.
Если вы текущий клиент Amazon Inspector и используете Организации AWS, вашему делегированному администратору необходимо либо полностью перевести организацию на безагентное решение, либо продолжить использовать исключительно решение на основе агента SSM. Конфигурацию режима сканирования можно изменить на странице настроек EC2 в консоли или с помощью API.
Если вы новый клиент Amazon Inspector, на протяжении периода ознакомления с функцией безагентного сканирования инстансы будут проверяться с использованием агента при включении сканирования EC2. При необходимости можно переключиться в гибридный режим сканирования. В гибридном режиме сканирования Amazon Inspector использует агенты SSM, чтобы получать списки приложений для проверки на наличие уязвимостей. Этот сервис автоматически переключается на безагентное сканирование, когда нужно проверить инстансы, для которых не установлены или не настроены агенты SSM.
Какова частота безагентного сканирования?
Amazon Inspector автоматически запускает проверку инстансов, отмеченных для безагентного сканирования, каждые 24 часа (в ознакомительном режиме). Непрерывная проверка инстансов, отмеченных для сканирования с использованием агента SSM, будет выполняться, как и прежде.
Где можно просмотреть данные о том, какие инстансы проверяются с использованием агента, а какие – без него, если я использую гибридный режим сканирования для EC2?
Режим сканирования указан в столбце monitored using (отслеживание с использованием). Перейдите на страницы о покрытии ресурсов в консоли Amazon Inspector или используйте соответствующие API Amazon Inspector.
У меня несколько аккаунтов. Можно ли настроить изменение режима сканирования EC2 для соответствующих аккаунтов-участников?
Нет. Если у вас несколько аккаунтов, конфигурацию режима сканирования для всей организации могут настроить только делегированные администраторы.
Как внедрить Amazon Inspector в инструменты непрерывной интеграции и развертывания для сканирования образов контейнеров?
Группы разработчиков приложений и платформ могут внедрить Amazon Inspector в свои конвейеры сборки с помощью специальных плагинов Amazon Inspector, разработанных для различных инструментов непрерывной интеграции и доставки, таких как Jenkins и TeamCity. Эти плагины доступны на торговой площадке каждого соответствующего инструмента непрерывной интеграции и доставки. После установки плагина можно добавить в конвейер шаг для проверки образа контейнера и принятия мер, таких как блокирование конвейера на основе результатов проверки. Если в ходе проверки будут выявлены уязвимости, сгенерируются данные о действиях, которые помогут обеспечить безопасность. Полученные данные будут включать информацию об уязвимостях, рекомендации по их устранению и сведения о наличии возможностей для их использования. Они направляются в инструмент непрерывной интеграции и доставки в форматах JSON и CSV, которые затем можно отобразить в виде читабельный для человека информационной панели с помощью плагина Amazon Inspector. Кроме того, команды могут их загрузить.
Нужно ли включать Amazon Inspector, чтобы пользоваться функцией этого сервиса, внедренной в инструменты непрерывной интеграции и развертывания, для сканирования образов контейнеров?
Нет. Если у вас есть активный аккаунт AWS, включать Amazon Inspector, чтобы использовать эту функцию, не нужно.
Могу ли я сканировать частные инстансы Amazon EC2, настроив для Amazon Inspector адрес VPC?
Да. Amazon Inspector использует для сборки данных о списке приложений SSM Agent, который можно настроить в формате адресов Amazon Virtual Private Cloud (VPC), чтобы не передавать данные через общедоступный Интернет.
Какие операционные системы поддерживает Amazon Inspector?
Список поддерживаемых операционных систем приводится здесь.
Какие языки программирования поддерживает Amazon Inspector при сканировании образов контейнеров?
Список языков программирования, для которых поддерживаются пакеты, приводится здесь.
Будет ли Amazon Inspector работать с инстансами, на которых используется технология трансляции сетевых адресов (NAT)?
Да. Amazon Inspector имеет встроенную поддержку инстансов, которые используют NAT.
Мои инстансы работают через прокси‑сервер. Будет ли Amazon Inspector работать с такими инстансами?
Да. Дополнительные сведения о том, как настроить SSM Agent для использования прокси-сервера, см. в этой статье.
Можно ли интегрировать Amazon Inspector с другими сервисами AWS для ведения журналов и отправки уведомлений?
Amazon Inspector интегрируется с Amazon EventBridge для предоставления оповещений о таких событиях, как новый отчет, изменение состояния отчета или создание правила подавления. Также Amazon Inspector интегрируется с AWS CloudTrail для ведения журнала вызовов.
Выполняет ли Amazon Inspector сканирования CIS Operating System Security Configuration Benchmarks?
Да. Amazon Inspector можно использовать для целенаправленной оценки и оценки по запросу инстансов Amazon EC2 в вашей организации AWS на основе эталонных тестов конфигурации CIS на уровне ОС.
Работает ли Amazon Inspector с решениями партнеров AWS?
Да. Дополнительные сведения см. на странице о партнерах Amazon Inspector.
Можно ли отключить Amazon Inspector?
Да. Вы можете отключить все типы сканирований (сканирование Amazon EC2, сканирование образов контейнеров Amazon ECR и сканирование функций Lambda), отключив сервис Amazon Inspector, или вручную отключить любой из типов сканирования для конкретного аккаунта.
Можно ли приостановить работу Amazon Inspector?
Нет. Amazon Inspector не поддерживает состояние приостановки.