一般問題
問:什麼是 Amazon Inspector?
Amazon Inspector 是一項自動化漏洞管理服務,可不斷掃描 Amazon Elastic Compute Cloud (EC2) 和 容器工作負載以尋找軟體漏洞和意外網路風險。
問:Amazon Inspector 有哪些主要優勢?
Amazon Inspector 讓您只需按一下,即可跨所有帳戶部署 Amazon Inspector,從而消除與部署和設定漏洞管理解決方案關聯的營運開銷。Amazon Inspector 的其他優勢包括:
- 自動發現和持續掃描,提供近乎即時的漏洞問題清單
- 透過設定委派管理員 (DA) 帳戶集中管理、設定和檢視所有組織帳戶的問題清單
- 每個問題清單的高度情境化和有意義的 Inspector 風險評分,可協助您設定更準確的回應優先級
- 直覺化的 Amazon Inspector 涵蓋指標儀表板,包括帳戶、EC2 執行個體,以及 Amazon Inspector 主動掃描的 Amazon Elastic Container Registry (ECR) 儲存庫
- 與 AWS Security Hub 和 Amazon EventBridge 整合以自動化工作流程和票證路由
問:Amazon Inspector 與 Amazon Inspector Classic 有何差異?
Amazon Inspector 已經過重新架構和重建,以建立新的漏洞管理服務。以下是對 Amazon Inspector Classic 的主要增強:
- 為擴展而建置:全新 Amazon Inspector 專為擴展和動態雲端環境而建置。一次可掃描的執行個體或映像數目沒有限制。
- 支援容器映像:全新 Amazon Inspector 還會掃描駐留在 Amazon ECR 中的容器映像以查找軟體漏洞。與容器相關的問題清單也會推送至 ECR 主控台。
- 支援多帳戶管理:全新 Amazon Inspector 與 AWS Organizations 整合,允許您為您的組織委派 Amazon Inspector 的管理員帳戶。此委派管理員 (DA) 帳戶是一個集中式帳戶,可整合所有問題清單並可設定所有成員帳戶。
- AWS Systems Manager Agent:使用全新 Amazon Inspector,您不再需要在所有 Amazon EC2 執行個體上安裝和維護獨立的 Amazon Inspector 代理。全新 Amazon Inspector 使用廣泛部署的 AWS Systems Manager Agent (SSM Agent),從而消除了這種需求。
- 自動和持續掃描:全新 Amazon Inspector 會自動偵測所有新啟動的 Amazon EC2 執行個體和推送至 Amazon ECR 的合資格容器映像,並立即掃描其是否存在軟體漏洞和意外的網路風險。 發生可能引入新漏洞的事件時,則會自動重新掃描涉及的資源。啟動重新掃描資源的事件包括在 EC2 執行個體中安裝新套件、安裝修補程式,以及發佈影響資源的新常見漏洞和風險 (CVE) 時。
- Inspector 風險評分:全新 Amazon Inspector 透過將最新的 CVE 資訊與時間和環境因素 (例如網路可存取性和可利用性資訊) 相關聯,來計算 Inspector 風險評分,以新增內容來協助確定您的問題清單的優先級。
問:是否可以在同一個帳戶中同時使用 Amazon Inspector 和 Amazon Inspector Classic?
是,您可以在同一個帳戶中同時使用兩者。
問:如何從 Amazon Inspector Classic 遷移至全新 Amazon Inspector?
您只需刪除帳戶中的所有評估範本,即可停用 Amazon Inspector Classic。若要存取現有評估執行的問題清單,您可以將其下載為報告或使用 Amazon Inspector API 將其匯出。您可以在 AWS 管理主控台中按幾下,或使用全新 Amazon Inspector API 來啟用新的 Amazon Inspector。您可以在 Amazon Inspector Classic 使用者指南中找到詳細的遷移步驟。
問:Amazon ECR 的 Amazon Inspector 容器映像掃描服務與以 Amazon ECR Clair 為基礎的解決方案有何差異?
| Amazon Inspector 容器映像掃描 | 以 Amazon ECR Clair 為基礎的解決方案 | |
|---|---|---|
掃描引擎 |
Amazon Inspector 是一項 AWS 開發的漏洞管理服務,內建對駐留在 Amazon ECR 中容器映像的支援 |
Amazon ECR 提供受管開源 Clair 專案作為基本掃描解決方案 |
套件涵蓋範圍 |
識別作業系統 (OS) 套件和程式設計語言 (例如 Python、Java、Ruby 等) 套件中的漏洞 |
僅識別作業系統套件中的軟體漏洞 |
掃描頻率 |
提供持續掃描和推送掃描 |
僅提供推送掃描 |
問題清單 |
問題清單在 Amazon Inspector 和 ECR 主控台,以及在 Amazon Inspector 和 ECR 應用程式介面 (API) 和軟體開發套件 (SDK) 中可用 |
在 ECR 主控台、ECR API 和 SDK 中提供了問題清單 |
漏洞評分 |
提供來自國家漏洞資料庫 (NVD) 和供應商的內容相關 Inspector 分數和常見漏洞評分系統 (CVSS) v2 和 v3 分數 |
僅 CVSS v2 分數 |
AWS 服務整合 |
與 AWS Security Hub、AWS Organizations 和 AWS EventBridge 整合 |
不提供與其他 AWS 服務的內建整合 |
問:Amazon Inspector 的定價為何?
請參閱 Amazon Inspector 定價頁面以取得完整的定價詳情。
問:Amazon Inspector 是否提供免費試用版?
Amazon Inspector 的所有新帳戶都有資格享受 15 天免費試用,來評估服務並估算其成本。 在試用期間,所有符合條件的 Amazon EC2 執行個體和推送至 ECR 的容器映像都會被持續免費掃描。您還可以在 Amazon Inspector 主控台中檢閱估算的支出。
問:哪些區域可以使用 Amazon Inspector?
Amazon Inspector 現已於全球提供。此處列出了依區域的具體可用性。
入門
問:如何開始使用?
您可以在 AWS 管理主控台中按幾下,為整個組織或個人帳戶啟用 Amazon Inspector。啟用後,Amazon Inspector 會自動發現執行中的 Amazon EC2 執行個體和 Amazon ECR 儲存庫,並立即開始持續掃描工作負載,以查找軟體漏洞和意外網路風險。如果您是 Inspector 新使用者,還享有 15 天免費試用。
問:什麼是 Amazon Inspector 問題清單?
Amazon Inspector 問題清單是指潛在的安全漏洞。例如,當 Amazon Inspector 偵測到軟體漏洞,或開啟運算資源的網絡路徑時,則會建立安全問題清單。
問:是否可以使用 AWS Organizations 結構來管理 Amazon Inspector?
是。Amazon Inspector 與 AWS Organizations 整合。您可以為 Amazon Inspector 指派一個 DA 帳戶,充當 Amazon Inspector 的主要管理員帳戶,可以集中管理和設定 Amazon Inspector。DA 帳戶可以集中檢視和管理您的 AWS 組織所有帳戶包含的問題清單。
問:如何為 Amazon Inspector 服務委派管理員?
AWS Organizations 管理帳戶可以在 Amazon Inspector 主控台中或使用 Amazon Inspector API 為 Amazon Inspector 指派一個 DA 帳戶。
問:是否必須啟用特定的掃描類型 (即 Amazon EC2 掃描或 Amazon ECR 容器映像掃描)?
預設會啟用 EC2 執行個體和 ECR 映像掃描。然而,您可以在帳戶上停用 Amazon EC2 執行個體掃描、Amazon ECR 映像掃描或同時停用這兩者。
問:是否需要任何代理才能使用 Amazon Inspector?
這取決於您要掃描的資源。Amazon EC2 執行個體的漏洞掃描需要 AWS Systems Manager Agents (SSM Agents)。Amazon EC2 執行個體的網路可連線性和容器映像的漏洞掃描不需要代理。
問:如何安裝和設定 Amazon Systems Manager Agent?
若要成功掃描 Amazon EC2 執行個體的軟體漏洞,Amazon Inspector 要求這些執行個體由 AWS Systems Manager (SSM) 和 SSM Agent 管理。如需有關啟用和設定 AWS Systems Manager 的說明,請參閱 AWS Systems Manager 使用者指南中的 Systems Manager 先決條件。如需有關受管執行個體的資訊,請參閱 AWS Systems Manager 使用者指南中的受管執行個體部分。
問:是否可以從掃描中排除一些 Amazon EC2 執行個體?
否。一旦為 Amazon EC2 掃描啟用 Amazon Inspector,則會持續掃描在帳戶中安裝和設定了 Amazon SSM Agents 的所有 EC2 執行個體。
問:如何知道為掃描設定了哪些 Amazon ECR 儲存庫? 而且,如何管理應設定哪些儲存庫進行掃描?
Amazon Inspector 支援設定包容性規則,以選取掃描哪些 Amazon ECR 儲存庫。可以在 ECR 主控台內的登錄檔設定頁面下,或使用 ECR API 建立並管理包容性規則。設定可比對包容性規則的 ECR 儲存庫進行掃描。ECR 和 Amazon Inspector 主控台中均提供了儲存庫的詳細掃描狀態。
使用 Amazon Inspector
問:如何知道我的資源是否正在被主動掃描?
Amazon Inspector 儀表板中的環境涵蓋範圍面板顯示 Amazon Inspector 主動掃描的帳戶、Amazon EC2 執行個體和 Amazon ECR 儲存庫的指標。每個執行個體和映像都具有掃描狀態:正在掃描或未掃描。掃描意味著資源正被近乎即時地持續掃描。未掃描狀態可能意味著尚未執行初始掃描、作業系統不受支援,或某些其他原因正在阻止掃描。
問:自動重新掃描多久執行一次?
所有掃描都根據事件自動執行。所有工作負載在發現時首先會掃描,後續會重新掃描。
- 對於 Amazon EC2 執行個體:在執行個體上安裝或解除安裝新的軟體套件、發佈新的 CVE 以及更新易受攻擊的軟體套件後 (以確認沒有其他漏洞),將會啟動重新掃描。
- 對於 ECR 容器映像:當發佈影響映像的新 CVE 時,會針對符合條件的容器映像啟動自動重新掃描。在映像推送後的前 30 天會自動重新掃描容器鏡像。
問:使用 Amazon Inspector 持續重新掃描容器映像需要多長時間?
駐留在 Amazon ECR 儲存庫中且設定為持續掃描的容器映像,在推送至儲存庫後會掃描 30 天。
問:是否可以將我的資源排除在掃描之外?
- 對於 Amazon EC2 執行個體:否。Amazon Inspector 會自動發現帳戶內的所有 EC2 執行個體,並持續掃描所有設定了 Amazon SSM Agent 的執行個體。
- 對於駐留在 Amazon ECR 中的容器映像:是。雖然您可以選取為掃描設定哪些 ECR 儲存庫,但會掃描儲存庫中的所有映像。您可以建立包容性規則來選取應掃描哪些儲存庫。
問:將 SSM 清單收集頻率從預設的 30 分鐘變更為 12 小時對 Amazon Inspector 的持續掃描有何影響?
變更預設的 SSM 清單收集頻率可能會影響掃描的持續性。Amazon Inspector 依靠 SSM Agents 來收集應用程式清單以產生問題清單。如果應用程式清單持續時間從預設的 30 分鐘開始增加,這會延遲對應用程式清單變更的偵測,並且可能會延遲新的問題清單。
問:什麼是 Inspector 風險評分?
Inspector 風險評分是一個高度情境化的評分,透過將常見漏洞和風險 (CVE) 資訊與網路可連線性結果、可利用性資料和社交媒體趨勢相關聯,針對每個問題清單產生該評分。這讓您能夠更輕鬆地確定問題清單的優先級,並專注於最關鍵的問題清單和易受攻擊的資源。您可以在「問題清單詳細資訊」側面板中的「Inspector 評分」標籤中,查看 Inspector 風險評分的計算方式及影響分數的因素。
例如:在您的 Amazon EC2 執行個體上發現了新的 CVE,只能在遠端受到攻擊。如果 Amazon Inspector 持續網路可連線性掃描還發現無法從網際網路連線該執行個體,則它知道該漏洞不太可能受到攻擊。因此,Amazon Inspector 會將掃描結果與 CVE 相關聯,以向下調整風險評分,更準確地反映 CVE 對特定執行個體的影響。
問:如何確定問題清單的嚴重性?
| Inspector 評分 | 嚴重性 |
|---|---|
| 0 | 資訊性 |
| 0.2–3.9 | 低 |
| 4.0–6.9 | 中 |
| 7.0–8.9 | 高 |
| 9.0–10.0 | 嚴重 |
問:隱藏規則的運作方式是什麼?
Amazon Inspector 允許您根據您定義的自訂條件來隱藏問題清單。您可以針對組織認為可接受的問題清單建立隱藏規則。
問:如何匯出我的問題清單,其中包含哪些內容?
您可以在 Amazon Inspector 主控台或透過 Amazon Inspector API,只需按幾下即可產生多種格式 (CSV 或 JSON) 的報告。您可以下載包含所有問題清單的完整報告,或者根據主控台中設定的檢視篩選條件,來產生和下載自訂報告。
問:是否可以透過將 Amazon Inspector 設定為 VPC 端點,來掃描我的私有 Amazon EC2 執行個體?
是。Amazon Inspector 使用 Amazon SSM Agents 來收集應用程式清單,這可將其設定為 Amazon Virtual Private Cloud (Amazon VPC) 端點,以避免透過網際網路傳送任何資訊。
問:Amazon Inspector 支援哪些作業系統?
您可以在此處找到支援的作業系統 (OS) 清單。
問:Amazon Inspector 支援哪些程式設計語言套件進行容器鏡像掃描?
您可以在此處找到支援的程式設計語言套件清單。
問:Amazon Inspector 是否可與使用網路地址轉換 (NAT) 的執行個體搭配使用?
是。Amazon Inspector 自動支援使用 NAT 的執行個體。
問:我的執行個體使用代理。Amazon Inspector 是否可與這些執行個體搭配使用?
是。如需詳細資訊,請參閱如何設定 SSM Agent 以使用代理。
問:Amazon Inspector 可與其他用於日誌和通知的 AWS 服務整合嗎?
Amazon Inspector 可與 Amazon EventBridge 整合以提供事件通知,例如新的問題清單、問題清單狀態變更,或隱藏規則的建立。Amazon Inspector 還可與 AWS CloudTrail 整合以進行呼叫記錄。
問:Amazon Inspector 是否提供「CIS 作業系統安全設定基準」掃描?
否。雖然 Amazon Inspector 目前不支援 CIS 掃描,但將來會新增此功能。但您可以繼續使用 Amazon Inspector Classic 中提供的 CIS 掃描規則套件。
問:Amazon Inspector 是否可與 AWS 合作夥伴解決方案搭配使用?
是。如需詳細資訊,請參閱 Amazon Inspector 合作夥伴。
問:是否可以停用 Amazon Inspector?
是。您可以透過停用 Amazon Inspector 服務,來停用所有掃描類型 (EC2 掃描和 ECR 容器映像掃描),或者,您可以為帳戶單獨停用每種掃描類型。
問:是否可以暫停 Amazon Inspector?
否。Amazon Inspector 不支援暫停狀態。
了解 Amazon Inspector 客戶