Общие вопросы

Вопрос. Что такое Amazon Inspector?

Amazon Inspector предоставляет собой автоматизированный сервис для управления уязвимостями, который постоянно проверяет рабочие нагрузки в контейнерах и сервисе EC2 (Amazon Elastic Compute Cloud) на наличие программных и сетевых уязвимостей.

Вопрос. Каковы главные преимущества Amazon Inspector?

Amazon Inspector избавляет от операционных затрат, связанных с развертыванием и настройкой решений для управления уязвимостями, поскольку Amazon Inspector можно развернуть одним щелчком мыши сразу в нескольких аккаунтах. Вот несколько дополнительных преимуществ Amazon Inspector.

  • Автоматизированное развертывание и постоянное сканирование, позволяющее получать отчеты почти в реальном времени
  • Централизованные средства для администрирования, настройки и просмотра отчетов по всем аккаунтам вашей организации благодаря использованию аккаунта уполномоченного администратора
  • Оценки риска в Inspector с высокими уровнями учета контекста и значимости для всех отчетов помогут вам лучше распределить приоритеты команд реагирования
  • Интуитивно удобная панель управления Amazon Inspector предоставляет метрики покрытия для аккаунтов, инстансов EC2 и репозиториев Amazon Elastic Container Registry (ECR), в которых Amazon Inspector активно выполняет сканирование
  • Интеграция с AWS Security Hub и Amazon EventBridge для автоматизации рабочих процессов и перенаправления задач

Вопрос. Чем отличается Amazon Inspector от Amazon Inspector Classic?

Amazon Inspector полностью реконструирован и спроектирован заново. По сути это новый сервис для управления уязвимостями. Вот лишь несколько основных улучшений по сравнению с Amazon Inspector Classic.

  • Учитывает масштабируемость. новый Amazon Inspector создан с прицелом на масштаб и динамичность облачной среды. Здесь нет ограничений на количество одновременно сканируемых инстансов или образов.
  • Поддержка образов контейнеров. новый Amazon Inspector умеет сканировать образы контейнеров Amazon ECR на наличие программных и сетевых уязвимостей. Отчеты по контейнерам также публикуются в консоли ECR.
  • Поддержка управления несколькими аккаунтами. Новый Amazon Inspector интегрируется с AWS Organizations, что позволяет предоставить Amazon Inspector аккаунт с правами уполномоченного администратора в вашей организации. Аккаунт уполномоченного администратора становится централизованным средством для объединения всех отчетов и настройки всех аккаунтов участников.
  • AWS Systems Manager Agent. В новом Amazon Inspector уже не нужно устанавливать и поддерживать отдельный Amazon Inspector на каждом инстансе Amazon EC2. Новый Amazon Inspector использует вместо него уже повсеместно развернутый AWS Systems Manager Agent (SSM Agent).
  • Постоянное и автоматизированное сканирование. Новый Amazon Inspector автоматически обнаруживает все новые инстансы Amazon EC2 и поддерживаемые образы контейнеров в Amazon ECR, немедленно запуская для них сканирование на наличие программных и сетевых уязвимостей. При возникновении события, которое может приводить к новым уязвимостям, все затронутые ресурсы автоматически сканируются снова. Таким событием, которое требует повторного сканирования ресурса, может быть установка нового пакета в инстансе EC2, установка исправления и публикация новых сведений о распространенных уязвимостях, которые могут затронуть этот ресурс.
  • Оценка риска в Inspector. Новый Amazon Inspector вычисляет оценку риска Inspector, сопоставляя наиболее актуальную информацию о распространенных уязвимостях с факторами времени и среды для ресурсов, например с информацией о доступности и наличии эксплойтов, чтобы предоставить сведения о контексте для распределения отчетов по приоритетам.

Вопрос. Можно ли одновременно использовать Amazon Inspector и Amazon Inspector Classic в одном аккаунте?

Да, можно использовать оба решения одновременно в одном аккаунте.

Вопрос. Как перейти от использования Amazon Inspector Classic к новому Amazon Inspector?

Вы можете просто отключить Amazon Inspector Classic, удалив все шаблоны оценок в аккаунте. Чтобы получить отчеты по уже выполненным оценкам, их можно скачать в виде отчетов или экспортировать через API Amazon Inspector. Новый Amazon Inspector можно легко включить всего парой щелчков мыши на Консоли управления AWS или через API нового Amazon Inspector. Подробное описание процесса миграции приводится в Руководстве пользователя по Amazon Inspector Classic.

Вопрос. Чем отличается сервис сканирования образов контейнеров Amazon ECR в Amazon Inspector от решения Amazon ECR на основе Clair?

  Сканирование образов контейнеров в Amazon Inspector Решение Amazon ECR на основе Clair

Ядро сканирования

Amazon Inspector разработан в AWS как сервис управления уязвимостями с полной поддержкой образов контейнеров, размещенных в Amazon ECR

Amazon ECR предоставляет в качестве базового решения для сканирования управляемый проект Clair с открытым кодом

Поддерживаемые пакеты

Определяет уязвимости в пакетах для обеих операционных систем (ОС) и многих языков программирования (Python, Java, Ruby и так далее)

Обнаруживает программные уязвимости только в пакетах для ОС

Частота сканирования

Поддерживает как постоянное сканирование, так и сканирование при отправке

Поддерживает только сканирование при отправке

Отчеты

Отчеты предоставляются в консолях Amazon Inspector и ECR, а также через API и Пакеты средств разработки ПО (SDK) для Amazon Inspector и ECR

Отчеты доступны в консоли ECR, через API и SDK для ECR

Оценка уязвимостей

Предоставляет контекстную оценку Inspector и оценки стандарта Common Vulnerability Scoring System (CVSS) версий 2 и 3 по базам данных поставщиков и NVD (National Vulnerability Database)

Поддерживает только оценки по стандарту CVSS версии 2

Возможности интеграции сервисов AWS

Полностью интегрирован с AWS Security Hub, AWS Organizations и AWS EventBridge

Отсутствует встроенная интеграция с другими сервисами AWS

 

Вопрос. Сколько стоит использование Amazon Inspector?

Подробные сведения о ценах см. на странице цен на Amazon Inspector.

Вопрос. Существует ли бесплатная пробная версия Amazon Inspector?

Все аккаунты, в которых еще не использовался Amazon Inspector, имеют право получить бесплатный 15-дневный пробный период для оценки возможностей и стоимости этой службы. В этот пробный период будут постоянно бесплатно сканироваться все поддерживаемые образы контейнеров и инстансы Amazon EC2, отправленные в ECR. Также вы можете узнать остаток пробного периода на консоли Amazon Inspector.

Вопрос. В каких регионах доступен Amazon Inspector?

Amazon Inspector доступен повсеместно. Особые условия доступности по регионамсобраны здесь.

Начало работы

Вопрос. Как начать работу с сервисом?

Вы можете включить Amazon Inspector для всей организации сразу или для отдельных аккаунтов, выполнив всего несколько щелчков мышью на Консоли управления AWS. Немедленно после включения Amazon Inspector начинает обнаруживать инстансы Amazon EC2 и репозитории Amazon ECR и выполнять для них постоянное сканирование рабочих нагрузок для поиска программных и сетевых уязвимостей. Если вы еще не работали с Inspector, вы можете воспользоваться бесплатным 15-дневным пробным периодом.

Вопрос. Какие отчеты предоставляет Amazon Inspector?

Отчет Amazon Inspector содержит сведения об обнаруженной потенциальной уязвимости. Например, Amazon Inspector создает отчет о безопасности, если обнаруживает программные уязвимости или открытые сетевые пути к вычислительным ресурсам.

Вопрос. Можно ли использовать для управления Amazon Inspector собственную структуру AWS Organizations?

Да. Amazon Inspector имеет встроенную интеграцию с AWS Organizations. Вы можете назначить для Amazon Inspector аккаунт уполномоченного администратора, который будет использоваться как основной административный аккаунт Amazon Inspector для централизованного управления и мониторинга в Amazon Inspector. Аккаунт уполномоченного администратора позволяет централизованно просматривать отчеты по всем аккаунтам, входящим в организацию AWS, и управлять ими.

Вопрос. Как правильно делегировать административную роль для сервиса Amazon Inspector?

Управляющий аккаунт AWS Organizations может назначить для Amazon Inspector аккаунт уполномоченного администратора с помощью консоли Amazon Inspector или через API Amazon Inspector.

Вопрос. Нужно ли отдельно включать конкретные типы сканирования (например, для Amazon EC2 или для образов контейнеров Amazon ECR)?

Сканирование по умолчанию включено как для инстансов EC2, так и для образов ECR. Но вы имеете возможность отключить для любого аккаунта сканирование инстансов Amazon EC2 и (или) сканирование образов Amazon ECR.

Вопрос. Нужны ли агенты для использования Amazon Inspector?

Ответ будет разным в зависимости от того, какие ресурсы вы сканируете. Для сканирования инстансов Amazon EC2 требуются агенты AWS Systems Manager Agent (SSM Agent). Для сканирования образов контейнеров и проверки сетевой доступности для инстансов Amazon EC2 агенты не требуются.

Вопрос. Как правильно установить и настроить Amazon Systems Manager Agent?

Чтобы успешно сканировать инстансы Amazon EC2 на наличие программных уязвимостей, Amazon Inspector требует наличие на каждом инстансе AWS Systems Manager (SSM) и агентаSSM Agent. Инструкции по установке и настройке AWS Systems Manager вы найдете на странице Systems Manager prerequisites в руководстве пользователя по AWS Systems Manager. Сведения об управляемых инстансах есть в разделе «Managed Instances» руководства пользователя по AWS Systems Manager.

Вопрос. Есть ли возможность исключить из сканирования некоторые инстансы Amazon EC2?

Нет. Сразу после включения сканирования Amazon EC2 в Amazon Inspector все доступные в аккаунте инстансы EC2, на которых установлены и настроены агенты Amazon SSM Agents, будут постоянно сканироваться.

Вопрос. Как узнать, для каких репозиториев Amazon ECR настроено сканирование? И как изменить эти настройки?

Amazon Inspector поддерживает настройку правил включения, что позволяет выбрать конкретные репозитории Amazon ECR для сканирования. Правила включения можно создавать и администрировать на панели параметров реестра на консоли ECR или с помощью API ECR. Для сканирования отбираются все репозитории ECR, которые соответствуют указанному правилу включения. Подробные сведения о состоянии сканирования репозиториев можно найти в консолях ECR и Amazon Inspector.

Работа с Amazon Inspector

Вопрос. Как узнать, выполняется ли активное сканирование для моих ресурсов?

Панель «Покрытие среды» на панели управления Amazon Inspector предоставляет метрики покрытия для аккаунтов, инстансов EC2 и репозиториев Amazon Elastic Container Registry (ECR), в которых Amazon Inspector активно выполняет сканирование. Для каждого инстанса и образа здесь указано состояние сканирования: «Сканируется» или «Не сканируется». Состояние «Сканируется» означает, что ресурс постоянно отслеживается почти в режиме реального времени. Состояние «Не сканируется» может обозначать одно из следующего: еще не было выполнено первичное сканирование, не поддерживается используемая ОС или сканирование невозможно по другой причине.

Вопрос. Как часто выполняются автоматические повторные сканирования?

Все сканирования выполняются автоматически по наступлении определенных событий. Все рабочие нагрузки изначально сканируются при обнаружении, а затем регулярно сканируются повторно.

  • Для инстансов Amazon EC2: повторное сканирование выполняется при установке или удалении пакета программного обеспечения, при публикации новых сведений о распространенных уязвимостях и при обновлении уязвимого пакета (для проверки возможных дополнительных уязвимостей).
  • Для образов контейнеров ECR: автоматизированное повторное сканирование выполняется для поддерживаемых образов контейнеров при публикации новых сведений о распространенных уязвимостях, которые затрагивают этот образ. Автоматизированные повторные сканирования образов контейнеров выполняются в первые 30 дней после отправки этих образов.

Вопрос. Как долго продолжается постоянное повторное сканирование образов контейнеров в Amazon Inspector?

Размещенные в репозиториях Amazon ECR образы контейнеров, для которых настроено постоянное сканирование, повторно сканируются в течение 30 дней с момента их отправки в репозиторий.

Вопрос. Можно ли исключить определенные ресурсы из процесса сканирования?

  • Для инстансов Amazon EC2: нет, Amazon Inspector автоматически обнаруживает все инстансы EC2 в аккаунте и постоянно сканирует все инстансы, на которых настроен Amazon SSM Agent.
  • Для образов контейнеров, размещенных в Amazon ECR: да. Вы можете выбрать конкретные репозитории ECR, для которых будет выполняться сканирование, но не можете исключить отдельные образы в репозиториях. Для выбора сканируемых репозиториев нужно настроить правила включения.

Вопрос. Если я изменю частоту сбора списков SSM с 30 минут (значение по умолчанию) на 12 часов, как это повлияет на процесс постоянного сканирования в Amazon Inspector?

Изменение стандартной частоты сбора списков SSM может повлиять на актуальность данных сканирования. Amazon Inspector при создании своих отчетов полагается на список приложений, собранный агентами SSM Agent. Если список приложений будет составляться реже, чем указанный по умолчанию интервал в 30 минут, это замедлит обнаружение изменений в списке приложений, а следовательно и подготовку отчетов сканирования.

Вопрос. Что такое оценка риска Inspector?

Оценка риска Inspector составляется на основе подробных данных о контексте каждого отчета, и для ее получения сведения о распространенных уязвимостях сопоставляются с информацией о сетевой доступности, наличии эксплойтов и тенденциях в социальных сетях. Эта оценка поможет вам правильно распределить приоритеты между отчетами, уделяя основное внимание наиболее важным отчетам и самым уязвимым ресурсам. Вы можете посмотреть, как и по каким факторам Inspector выполнял расчет оценки риска, открыв вкладку «Оценка Inspector» на боковой панели «Подробности отчетов».

Предположим, что для вашего инстанса Amazon EC2 обнаружена новая уязвимость, для которой эксплойт возможен только через удаленное подключение. Если Amazon Inspector на основании постоянных сканирований сетевой доступности определит, что этот инстанс недоступен из Интернета, он будет считать риск эксплойта для такой уязвимости минимальной. Таким образом, Amazon Inspector сопоставляет результаты сканирования с данными о распространенных уязвимостях и снижает риск, что более точно отражает реальное влияние конкретной уязвимости на конкретный экземпляр.

Вопрос. Как определяется степень серьезности для отчета?

Оценка Inspector Серьезность
0 Информационная
0,2–3,9 Низкая
4,0–6,9 Средняя
7,0–8,9 Высокая
9,0–10,0 Критическая

Вопрос. Как работают правила подавления?

Amazon Inspector позволяет подавлять определенные отчеты, определяя для этого пользовательские критерии. Вы можете создать правила подавления для отчетов о таких уязвимостях, которые считаются допустимыми для вашей организации.

Вопрос. Как экспортировать отчеты, и какую информацию я при этом получу?

Вы можете экспортировать отчеты в нескольких форматах (CSV или JSON), выполнив всего несколько щелчков мышью на консоли Amazon Inspector или применив API Amazon Inspector. Вы можете скачать полный список отчетов или отобрать наиболее интересные, настроив для этого фильтры на консоли.

Вопрос. Могу ли я сканировать частные инстансы Amazon EC2, настроив для Amazon Inspector адрес VPC?

Да. Amazon Inspector использует для сборки данных о списке приложений Amazon SSM Agent, который можно настроить в формате адресов Amazon Virtual Private Cloud (Amazon VPC), чтобы не передавать данные через общедоступный Интернет.

Вопрос. Какие операционные системы поддерживает Amazon Inspector?

Список поддерживаемых операционных систем приводится здесь.

Вопрос. Какие языки программирования поддерживает Amazon Inspector при сканировании образов контейнеров?

Список языков программирования, для которых поддерживаются пакеты, приводится здесь.

Вопрос. Будет ли Amazon Inspector работать с инстансами, на которых используется технология NAT (Network Address Translation)?

Да. Amazon Inspector имеет встроенную поддержку инстансов, которые используют NAT.

Вопрос. Я использую для своих инстансов прокси-сервер. Будет ли Amazon Inspector работать с такими инстансами?

Да. Дополнительные сведения о том, как настроить SSM Agent для использования прокси-сервера, см. в этой статье.

Вопрос. Можно ли интегрировать Amazon Inspector с другими сервисами AWS для ведения журналов и отправки уведомлений?

Amazon Inspector интегрируется с Amazon EventBridge для предоставления оповещений о таких событиях, как новый отчет, изменение состояния отчета или создание правила подавления. Также Amazon Inspector интегрируется в AWS CloudTrail для ведения журнала вызовов.

Вопрос. Выполняет ли Amazon Inspector сканирования «CIS Operating System Security Configuration Benchmarks»?

Нет. В настоящее время Amazon Inspector не поддерживает сканирования CIS, но мы добавим эту возможность в будущем. Пока вы можете использовать пакеты правил сканирований CIS в старой версии Amazon Inspector Classic.

Вопрос. Работает ли Amazon Inspector с решениями, предоставляемыми партнерами AWS?

Да. Дополнительные сведения см. на странице Amazon Inspector partners.

Вопрос. Можно ли совсем отключить Amazon Inspector?

Да. Вы можете отключить все типы сканирований (сканирование EC2 и сканирование образов контейнеров ECR), отключив сервис Amazon Inspector, или вручную отключить любой из типов сканирования для конкретного аккаунта.

Вопрос. Можно ли приостановить работу Amazon Inspector?

Нет. Amazon Inspector не поддерживает состояние приостановки.

Сведения о клиентах, использующих Amazon Inspector

Перейти на страницу клиентов
Готовы приступить к разработке?
Начать работу с Amazon Inspector
Есть вопросы?
Свяжитесь с нами