Amazon Inspector 常見問答集
一般
什麼是 Amazon Inspector?
Amazon Inspector 是一種自動化的安全評估服務,可協助您測試 Amazon EC2 執行個體的網路可存取性,以及在這些執行個體上執行之應用程式的安全狀態。
Amazon Inspector 可以用來做什麼?
Amazon Inspector 讓您可以自動化整個開發與部署管道或靜態生產系統的安全漏洞評估。這可讓您在開發和 IT 操作期間定期進行安全測試。Amazon Inspector 是使用選用代理器的 API 驅動服務,可讓您輕鬆進行部署、管理和自動化。Amazon Inspector 評估以預先定義的規則套件形式提供給您,這些套件對應到常見的安全最佳實務和漏洞定義。
Amazon Inspector 服務是由哪些項目組成?
Amazon Inspector 採用可分析 AWS 網路組態可連接性的技術,包含一個 Amazon 開發的代理器,它安裝在 Amazon EC2 執行個體的作業系統上,以及一個安全評估服務,該服務使用代理器和 AWS 組態中的遙測來評估執行個體是否存在安全風險和漏洞。
什麼是評估範本?
評估範本是為了定義評估執行,而在 Amazon Inspector 中建立的組態。這個評估範本包含一個讓 Amazon Inspector 用來評定評估目標的規則套件、評估執行的期間、讓 Amazon Inspector 傳送評估執行狀態和發現項目通知的 Amazon Simple Notification Service (SNS) 主題,以及可指派到評估執行產生之發現項目的 Amazon Inspector 特定屬性 (鍵值/值組)。
什麼是評估執行?
評估執行是透過指定的規則套件分析評估目標組態、已安裝軟體和行為,來探索潛在安全問題的程序。如果內含網路連接規則套件,則 Inspector 會分析您在 AWS 中的網路組態,以找出 EC2 執行個體的網路可存取性。如果在執行個體上安裝 Inspector 代理器,該代理器會收集和傳送主機軟體和組態資料。接著,Inspector 服務會分析這些資料,並與指定的規則套件比對。評估執行完成之後會產生一個發現項目清單,列出潛在的安全問題。
Amazon Inspector 進行評估時,是否會影響任何效能?
使用網路連接規則套件執行無代理評估,不會對應用程式的效能造成影響。使用 Amazon Inspector Agent 進行評估執行的資料收集階段,會對效能產生些許的影響。
什麼是評估目標?
評估目標是指您要評估的 Amazon EC2 執行個體集合,通常這些執行個體會以整體方式共同合作來協助您完成商業目標。Amazon Inspector 會評估這些 EC2 執行個體的安全狀態。您可以將所有執行個體包含在評估目標內,或是使用 Amazon EC2 標籤指定一小部分的執行個體。
什麼是發現項目?
發現項目是 Amazon Inspector 評估執行指定目標期間所發現的潛在安全問題。發現項目會顯示在 Amazon Inspector 主控台中或可透過 API 擷取,這些項目包含安全問題的詳細描述以及建議的修正方法。
什麼是規則套件?
規則套件是多個安全檢查的集合,可設定為評估範本和評估執行的一部分。Amazon Inspector 有兩種規則套件類型:可檢查 Amazon EC2 執行個體網路可存取性的網路連接規則套件,以及可檢查 Amazon EC2 執行個體漏洞和不安全組態的主機評估規則套件。主機評估規則套件包括常見漏洞和入侵程式 (CVE)、Center for Internet Security (CIS) 作業系統組態基準,以及安全最佳實務。請參閱 Amazon Inspector 文件以取得可用規則套件的完整清單。
是否可以為評估範本定義自己的規則?
否。評估執行目前只允許預先定義的規則。
Inspector 可分析哪些主機軟體套件的漏洞?
Amazon Inspector 尋找應用程式的方式是在安裝代理器的作業系統上查詢套件管理員或軟體安裝系統。這表示會對透過套件管理員安裝的軟體進行漏洞評估。對於不是透過這些方法安裝的軟體,Inspector 將無法辨識該軟體的版本和修補程式層級。例如,Inspector 可評估透過 apt、yum 或 Microsoft Installer 安裝的軟體。但 Inspector 不會評估透過 make config/make install 安裝的軟體,或使用 Puppet 或 Ansible 等自動化軟體直接複製到系統的二進位檔案。
什麼是評估報告,其中包含哪些內容?
當評估執行順利完成之後,Amazon Inspector 就會針對該次評估執行產生一份評估報告。評估報告是一份文件,其中詳細說明評估執行進行哪些測試及評估的結果。所產生的評估結果是採用標準報告格式,以便與團隊成員共享結果來採取修復動作、讓合規稽核資料更豐富,或存放以供未來參考。
您可以選擇兩種評估報告類型:結果報告或完整報告。結果報告包含評估執行摘要、目標執行個體、測試的規則套件、產生結果的規則,以及每個規則和檢查失敗執行個體清單的詳細資訊。完整報告不僅包含結果報告中的所有資訊,還額外提供評估目標中所有執行個體檢查並通過的規則清單。
如果執行評估時有些代理器無法使用,會發生什麼情況?
使用網路連接規則套件的 Amazon Inspector 評估,可以在無代理器的情況下執行任何 Amazon EC2 執行個體的評估。主機評估規則套件需要代理器。Amazon Inspector 會從所有可用的代理器收集漏洞資料,並傳回任何適用的安全發現項目。Inspector 會產生排除項目,以通知您任何未安裝代理器的 EC2 執行個體,或代理器運作狀態不良的執行個體。
為什麼代理器會無法使用?
Amazon Inspector Agent 無法使用可能有以下幾個原因,像是:EC2 執行個體故障或沒有回應;目標執行個體未安裝代理器;安裝的代理器無法使用或無法傳回漏洞資料。
Amazon Inspector 的定價為何?
Amazon Inspector 定價依每個評估所含的 Amazon EC2 執行個體數量而定,以及取決於您選擇的評估規則套件。Inspector 評估可以使用主機評估規則套件和網路連接規則套件的任何組合。主機評估規則套件包括常見漏洞和入侵程式 (CVE)、Center for Internet Security 基準 (CIS)、安全最佳實務,以及執行時間行為分析。如果您的評估同時包含主機規則套件和網路連接規則套件,這兩者會分開計費。隨需計費期間是一個日曆月。請參閱 Amazon Inspector 定價頁面以取得完整的定價詳情。
定價範例:
假設您在一個月內執行下列評估執行。在這個範例中,您的所有評估執行都包含主機評估規則套件和網路連接規則套件。而且,所有的 EC2 執行個體都已安裝 Inspector Agent。
針對 1 個執行個體進行 1 次評估執行
針對 10 個執行個體進行 1 次評估執行
針對 2 個執行個體各進行 10 次評估執行
針對 10 個執行個體各進行 30 次評估執行
如果上述代表您帳戶中特定計費期間的 Amazon Inspector 評估執行活動,則會以總共 331 個主機代理器評估和 331 個網路連接執行個體評估向您收費。
每個個別主機代理器評估和網路連接執行個體評估的價格依分級定價模式而定。舉例來說,隨著特定計費期間的代理器評估數量增加,為每個代理器評估支付的費用會下降。
這段計費期間,Amazon Inspector 會在您的帳戶收取以下費用:
主機評估規則套件 –
前 250 個代理器評估,每個代理器評估為 0.30 USD
後續 81 個代理器評估,每個代理器評估為 0.25 USD
網路連接規則套件
前 250 個執行個體評估,每個執行個體評估為 0.15 USD
後續 81 個執行個體評估,每個執行個體評估為 0.13 USD
將上述費用加起來,Amazon Inspector 會收取主機代理器評估 95.25 USD 和網路連接執行個體評估 48.03 USD,總計 143.28 USD。
Amazon Inspector 是否提供免費試用版?
是。從未執行 Amazon Inspector 評估的帳戶,前 90 天可以免費使用主機規則套件執行 250 個代理評估,以及使用網路連接規則套件執行 250 個執行個體評估。
Amazon Inspector 支援哪些作業系統?
請參閱 Amazon Inspector 文件以取得 Inspector Agent 目前支援的作業系統清單。請注意,無論作業系統為何,網路連接規則套件都可在無代理器的情況下執行任何 Amazon EC2 執行個體的評估。如果已安裝 Inspector Agent,網路連接會產生增強的結果,以及找出 EC2 執行個體可連接的軟體處理程序相關資訊。
哪些區域可以使用 Amazon Inspector?
請參閱 Amazon Inspector 文件以取得目前支援的區域清單。
Amazon Inspector 評估支援哪些 Linux 核心版本?
無論使用哪種核心版本,都能使用網路連接、常見漏洞和入侵程式 (CVE)、Center for Internet Security (CIS) 基準或安全最佳實務規則套件,透過 Linux 作業系統順利執行 EC2 執行個體評估。不過,若要使用執行時間行為分析規則套件執行評估,您的 Linux 執行個體必須具備支援 Amazon Inspector 的核心版本。您可以在這裡取得支援 Amazon Inspector 評估的最新 Linux 核心版本清單。
是否必須在我希望評估的所有 EC2 執行個體上安裝 Amazon Inspector 代理器?
否,使用網路連接規則套件的 Amazon Inspector 評估,可以在無代理器的情況下執行任何 Amazon EC2 執行個體的評估。主機評估規則套件需要代理器。
如何安裝 Amazon Inspector 代理器?
目前有幾種代理器安裝方法。簡單的安裝方法,您可以在每個執行個體上手動安裝,或使用 AWS Systems Manager Run Command 文件 (AmazonInspector-ManageAWSAgent) 執行一次性載入。至於較大規模的部署,您可以在設定執行個體時,利用 EC2 使用者資料功能自動化代理器安裝,也可以使用 AWS Lambda 建立代理的自動化安裝。您也可以使用 Amazon Linux AMI 配合 EC2 主控台或 AWS Marketplace 預先安裝的 Amazon Inspector 代理器啟動 EC2 執行個體。
如何檢查 Amazon Inspector 代理器是否安裝到我的 EC2 執行個體而且運作狀態良好?
您可以使用 Inspector 主控台提供的「預覽目標」功能和 PreviewAgents API 查詢,查看評估目標中所有 EC2 執行個體的 Amazon Inspector 代理器狀態。代理器狀態包括代理器是否已安裝在 EC2 執行個體上以及代理器的運作狀態是否良好。除目標 EC2 執行個體上的 Inspector 代理器狀態外,還會顯示執行個體 ID、公有主機名稱和公有 IP 地址 (如果已定義) 以及每個執行個體的 EC2 主控台連結。
Amazon Inspector 是否會存取我帳戶中的其他 AWS 服務?
Amazon Inspector 必須列舉 EC2 執行個體和標籤,以便識別評估目標中指定的執行個體,以及讀取您的 AWS 網路組態。當您以新客戶的身分或者在新的區域開始使用 Inspector 時,Amazon Inspector 會透過為您建立的服務連結角色來存取這些服務。Inspector 服務連結角色是由 Amazon Inspector 負責管理,所以您不必擔心會不小心撤銷 Amazon Inspector 要求的許可。至於某些現有客戶,開始使用 Inspector 時所註冊的 IAM 角色,可以用於存取其他 AWS 服務,直到 Inspector 服務連結角色建立好為止。您可以透過 Inspector 主控台的儀表板頁面建立 Inspector 服務連結角色。
我的執行個體使用網路位址轉譯 (NAT)。Amazon Inspector 是否可與這些執行個體搭配使用?
是。Amazon Inspector 可支援使用 NAT 的執行個體,您不需執行任何動作。
我的執行個體使用代理。Amazon Inspector 是否可與這些執行個體搭配使用?
是。Amazon Inspector 代理器支援代理環境。針對 Linux 執行個體,我們支援 HTTPS 代理,而針對 Windows 執行個體,我們支援 WinHTTP 代理。如需為 Amazon Inspector 代理器設定代理支援的指示,請參閱 Amazon Inspector User Guide。
我希望定期自動化基礎設施的評估。是否提供自動設定評估的方式?
是。Amazon Inspector 提供了完整 API,可自動建立應用程式環境、建立評估、評估政策、建立政策例外狀況以及篩選和擷取結果。Amazon Inspector 評估也可透過 AWS CloudFormation 範本設定和觸發。
是否能安排在特定日期與時間執行安全評估?
是,您可以在評估範本為評估設定簡單的重複排程。然後,就能使用任何 Amazon CloudWatch Event 觸發 Inspector 評估。您可以透過 CloudWatch Events,使用固定重複率或更詳細的 Cron 表達式來設定自訂排程。
是否可以根據事件觸發並執行安全評估?
是。您可以使用 Amazon CloudWatch Events 建立事件模式來監控其他 AWS 服務,找出其中哪些操作會觸發評估。例如,您可以建立一個事件來監控新 Amazon EC2 執行個體啟動時的 AWS Auto Scaling,或者監視當程式碼部署成功時,系統發出的各種 AWS CodeDeploy 通知。一旦針對 Amazon Inspector 範本設定了 CloudWatch Events,這些評估事件將做為評估範本的一部分顯示在 Inspector 主控台中,方便您查看該評估所有的自動觸發程式。
是否可透過 AWS CloudFormation 設定 Amazon Inspector 評估?
是,您可以使用 AWS CloudFormation 範本建立 Amazon Inspector 資源群組、評估目標和評估範本。如此一來,您就可以在部署 EC2 執行個體後,為其自動設定安全性評估。在您的 CloudFormation 範本中,您也可以透過使用代理安裝命令 (在 AWS::CloudFormation::Init 或 EC2 使用者資料中) 在 EC2 執行個體上引導 Inspector Agent 程序安裝。或者,您可以使用預先安裝 Inspector Agent 的 AMI,在 CloudFormation 範本中建立 EC2 執行個體。
我可以在哪裡找到 Amazon Inspector 評估上的指標資訊?
Amazon Inspector 會將評估上的指標資料自動發佈到 Amazon CloudWatch。如果您是 CloudWatch 使用者,您的 Inspector 評估統計資料會自動填入 CloudWatch。目前提供的 Inspector 指標為:評估的執行次數、做為目標的代理器以及產生的結果。如需更多詳細資訊,請參閱 Amazon Inspector 文件中關於發佈到 CloudWatch 的評估指標詳細資訊。
Amazon Inspector 可與其他用於日誌和通知的 AWS 服務整合嗎?
Amazon Inspector 可與 Amazon SNS 整合,為各種事件提供通知,像是監控里程碑、故障或過期的例外狀況,並可與 AWS CloudTrail 整合以記錄對 Amazon Inspector 的呼叫。
什麼是網路連接規則套件?
網路連接規則套件可識別 Amazon EC2 執行個體上,可從 VPC 外部存取的連接埠和服務。當您使用此規則套件執行評估時,Inspector 會查詢 AWS API 以讀取您帳戶中的網路組態,例如 Amazon Virtual Private Cloud (VPC)、安全群組、網路存取控制清單 (ACL) 和路由表,然後分析這些網路組態,以證明連接埠的可存取性。發現項目可顯示允許存取可連線連接埠的網路組態,協助您視需要輕鬆限制存取權。使用網路連接規則套件的評估無須使用 Amazon Inspector 代理器。對於已安裝 Inspector 代理器的執行個體,會透過找出在可存取連接埠上聆聽的處理程序資訊,增強網路連接的發現項目。
在網路連接規則套件使用 Inspector Agent 有哪些好處?
使用網路連接規則套件的評估無須使用 Amazon Inspector 代理器。對於已安裝 Inspector 代理器的執行個體,會透過找出在可存取連接埠上聆聽的處理程序資訊,增強網路連接的發現項目。
什麼是「CIS 作業系統安全組態基準」規則套件?
CIS 安全基準是根據 Center for Internet Security 所提出,而且是唯一由政府、企業、產業界及學術界在達成共識後開發並接受的最佳實務安全組態指南。Amazon Web Services 是 CIS 安全基準會員公司,在這裡查看取得 Amazon Inspector 認證的會員清單。CIS 基準規則是設計成通過/未通過安全檢查。對於未通過的每項 CIS 檢查,Inspector 會產生顯示 High 嚴重性的發現項目。另外會為每個執行個體產生一個標示 Informational 的發現項目,列出所有已檢查的 CIS 規則以及每個規則是否通過/未通過的結果。
什麼是「常見漏洞和入侵程式」規則套件?
常見漏洞和入侵程式 (或稱為 CVE) 規則會檢查眾所已知的資訊安全漏洞和入侵程式。CVE 規則詳細資訊會在「國家漏洞資料庫」(NVD) 中公開提供。我們使用 NVD 的常見漏洞評分系統 (CVSS) 做為嚴重性資訊的主要來源。假使 NVD 未評分某個 CVE 但它出現在 Amazon Linux AMI 安全建議 (ALAS) 中,我們會採用 Amazon Linux 建議的嚴重性。如果這兩者都未提供某個 CVE 的評分,我們就不會將該 CVE 報告為發現項目。我們會每天查看 NVD 和 ALAS 的最新資訊,並根據那些資訊來更新規則套件。
什麼是發現項目的嚴重性?
每個 Amazon Inspector 規則都指派了一個嚴重性等級,Amazon 將等級分類為 High、Medium、Low 或 Informational。嚴重性是為了協助您將發現項目的回應排定優先順序。
如何判定嚴重性?
規則的嚴重性取決於所發現安全問題可能造成的影響。雖然有些規則套件在本身提供的規則就內含嚴重性等級,但還是會因為規則設定還有所不同。Amazon Inspector 已透過將個別嚴重性對應到通用的 High、Medium、Low 和 Informational 分類,標準化所有可用規則套件中的發現項目嚴重性。對於「高」、「中」、「低」嚴重性的發現項目,其嚴重性越高,表示對問題的安全性影響越大。歸類為「資訊」的發現項目則是通知您不會對安全性產生立即影響的安全性問題。
至於 AWS 支援的規則套件,嚴重性由 AWS 安全團隊判定。
CIS 基準規則套件發現項目的嚴重性一律設定在 "High"。
對於常見漏洞和入侵程式 (CVE) 規則套件,Amazon Inspector 會將所提供的 CVSS 基本評分與 ALAS 嚴重性等級提供的評分相對照。
| Amazon Inspector 嚴重性 | CVSS 基礎評分 | ALAS 嚴重性 (如果 CVSS 未評分) |
|---|---|---|
| 高 | >= 5 | 嚴重或重要 |
| 中 | < 5 且 >= 2.1 | 中 |
| 低 | < 2.1 且 >= 0.8 | 低 |
| 資訊 | < 0.8 | 無 |
透過 API (DescribeFindings) 描述發現項目時,每個發現項目會有一個 "numericSeverity" 屬性。這個屬性的意義為何?
"numericSeverity" 屬性是代表發現項目嚴重性的數字。以下是嚴重性數值與嚴重性的對應:
資訊 = 0.0
低 = 3.0
中 = 6.0
高 = 9.0
Amazon Inspector 是否可與 AWS 合作夥伴解決方案搭配使用?
是,Amazon Inspector 具備公有 API,可提供給客戶和 AWS 合作夥伴使用。數個合作夥伴已與 Amazon Inspector 整合,可將發現項目納入到電子郵件、票務系統、傳呼平台或更廣泛的安全儀表板。有關支援合作夥伴的詳細資訊,請瀏覽 Amazon Inspector 合作夥伴頁面。
Amazon Inspector 是否為 HIPAA 合格服務?
是,Amazon Inspector 是 HIPAA 合格服務,且已新增到 AWS 商業夥伴增補合約 (BAA)。如果擁有與 AWS 共同履行的 BAA,可以在包含受保護醫療資訊 (PHI) 的 EC2 執行個體上執行 Inspector。
Amazon Inspector 支援哪些合規和保證計劃?
Inspector 支援 SOC 1、SOC 2、SOC 3、ISO 9001、ISO 27001、 ISO 27017、ISO 27018 和 HIPAA。Inspector 符合 FedRAMP 控制,而且我們正在等待稽核報告完成。如果想要進一步了解合規計劃範圍內的 AWS 服務,請參閱 AWS 服務範圍頁面。
瞭解 Amazon Inspector 客戶
