Amazon Inspector

問：Amazon Inspector 服務是由哪些項目組成？
Amazon Inspector 包含一個 Amazon 開發的代理器，它安裝在 Amazon EC2 執行個體的作業系統上，以及一個安全評估服務，該服務使用代理器和 AWS 組態中的遙測來評估執行個體是否存在安全風險和漏洞。

問：什麼是評估範本？
評估範本是為了定義評估執行，而在 Amazon Inspector 中建立的組態。這個評估範本包含一個讓 Amazon Inspector 用來評定評估目標的規則套件、評估執行的期間、讓 Amazon Inspector 傳送評估執行狀態和發現項目通知的 Amazon Simple Notification Service (SNS) 主題，以及可指派到評估執行產生之發現項目的 Amazon Inspector 特定屬性 (鍵值/值組)。

問：什麼是評估執行？
評估執行是透過分析評估目標的組態及針對指定規則套件的行為，來探索潛在安全問題的程序。代理器在評估執行期間會監控、收集和分析指定目標內部的行為資料 (遙測)，例如安全通道的使用、執行程序之間的網路流量，以及與 AWS 服務通訊的詳細資訊。代理器接著會分析資料，並以評估執行期間使用的評估範本中所指定的一組安全規則套件來比對此資料。評估執行完成之後會產生一個發現項目清單，列出不同嚴重程度的潛在安全問題。

問：Amazon Inspector 進行評估時，是否會影響任何效能？
Amazon Inspector 和 Amazon Inspector 代理器已經過設計，將評估執行程序期間產生的效能影響降到最低。

問：什麼是評估目標？
評估目標代表 AWS 資源的集合，而這些資源會以整體方式共同合作來協助您完成商業目標。Amazon Inspector 會評估組成評估目標的資源安全狀態。您可以使用 Amazon EC2 標籤建立評估目標，然後定義這些標記的資源，以作為評估範本中所定義之評估執行的評估目標。

問：什麼是發現項目？
發現項目是 Amazon Inspector 評估執行指定目標期間所發現的潛在安全問題。發現項目會顯示在 Amazon Inspector 主控台中或可透過 API 擷取，這些項目包含安全問題的詳細描述以及建議的修正方法。

問：什麼是規則套件？
規則套件是多個安全測試的集合，可設定為評估範本和評估執行的一部分。Amazon Inspector 有許多規則套件，包括常見漏洞和入侵程式 (CVE)、Center for Internet Security (CIS) 作業系統組態基準以及安全最佳實務。請參閱 Amazon Inspector 文件以取得可用規則套件的完整清單。

問：是否可以為評估範本定義自己的規則？
否。評估執行初期只允許預先定義的規則。不過，我們一直在探索可納入 AWS Marketplace 中廠商提供的付費規則集與自行開發的自訂規則。

問：Inspector 可分析哪些應用程式的漏洞？
Amazon Inspector 尋找應用程式的方式是在安裝代理器的作業系統上查詢套件管理員或軟體安裝系統。這表示會對透過套件管理員安裝的軟體進行漏洞評估。對於不是透過這些方法安裝的軟體，Inspector 將無法辨識該軟體的版本和修補程式層級。例如，Inspector 可評估透過 apt、yum 或 Microsoft Installer 安裝的軟體。但 Inspector 不會評估透過 make config/make install 安裝的軟體，或使用 Puppet 或 Ansible 等自動化軟體直接複製到系統的二進位檔案。

問：什麼是評估報告，其中包含哪些內容？
當評估執行順利完成之後，Amazon Inspector 就會針對該次評估執行產生一份評估報告。評估報告是一份文件，其中詳細說明評估執行進行哪些測試及評估的結果。所產生的評估結果是採用標準報告格式，以便與團隊成員共享結果來採取修復動作、讓合規稽核資料更豐富，或存放以供未來參考。

您可以選擇兩種評估報告類型：結果報告或完整報告。結果報告包含評估執行摘要、目標執行個體、測試的規則套件、產生結果的規則，以及每個規則和檢查失敗執行個體清單的詳細資訊。完整報告不僅包含結果報告中的所有資訊，還額外提供評估目標中所有執行個體檢查並通過的規則清單。

問：如果執行評估時有些目標無法使用，會發生什麼情況？
Amazon Inspector 會收集為評估範本設定之所有可用目標的安全漏洞資料，並為可用的目標傳回任何適當的安全問題。如果開始執行之後評估範本沒有可用的目標，系統會回報無法執行評估並傳回以下通知：「目前無法執行評估，因為選取的評估範本目前沒有可用的目標執行個體。」

問：為什麼目標會無法使用？
評估的目標無法使用可能有以下幾個原因，像是：EC2 執行個體故障或無法回應；標記的 (目標) 執行個體未安裝 Amazon Inspector 代理器；安裝的 Amazon Inspector 代理器無法使用或無法傳回安全漏洞資料。

問：Amazon Inspector 的定價為何？
Inspector 定價是基於評估的執行次數以及執行期間評估的代理器或系統數目。我們將這種方式稱為「代理器評估」。隨需計費期間就像所有 AWS 服務一樣是以日曆月為單位。例如：

     1 個代理器進行 1 次評估執行 = 1 個代理器評估
     10 個代理器進行 1 次評估執行 = 10 個代理器評估
     2 個代理器各進行 10 次評估執行 = 20 個代理器評估
     10 個代理器各進行 30 次評估執行 = 300 個代理器評估

如果上述代表您帳戶中特定計費期間的 Amazon Inspector 評估執行活動，則會以總共 331 個代理器評估向您收費。

每個個別代理器評估的價格是以分層定價模式為基礎。隨著特定計費期間中的代理器評估數量增加，為每個代理器評估所需支付的費用會下降。例如，前兩個代理器評估定價的方案是：

     前 250 個代理器評估 = 每個代理器評估為 0.30 USD
     之後的 750 個代理器評估 = 每個代理器評估為 0.25 USD

所以，對於上述範例中特定計費期間總共有 331 個代理器評估而言，收費方式是前 250 個為每個 0.30 USD，之後的 81 個為每個 0.25 USD，或是計費期間總計為 95.25 USD。請參閱 Amazon Inspector 定價頁面以取得完整的定價表。

問：Amazon Inspector 是否提供免費試用版？
是。Amazon Inspector 在使用服務的前 90 天免費提供前 250 個代理器評估。首次使用 Amazon Inspector 服務的所有 AWS 帳戶都符合此資格。

問：Amazon Inspector 支援哪些作業系統？
請參閱 Amazon Inspector 文件以取得目前支援的作業系統清單。

問：哪些區域可以使用 Amazon Inspector？
請參閱 Amazon Inspector 文件以取得目前支援的區域清單。

問：Amazon Inspector 評估支援哪些 Linux 核心版本？
無論使用哪種核心版本，都能使用常見漏洞和入侵程式 (CVE)、Center for Internet Security (CIS) 基準或安全最佳實務規則套件，透過 Linux 作業系統順利執行 EC2 執行個體評估。不過，若要使用執行時間行為分析規則套件執行評估，您的 Linux 執行個體必須具備支援 Amazon Inspector 的核心版本。您可以在這裡取得支援 Amazon Inspector 評估的最新 Linux 核心版本清單。

問：Amazon Inspector 感覺很實用，我該如何入門呢？
只需從 AWS 管理主控台直接註冊使用 Amazon Inspector。您註冊之後，就可以在 Amazon EC2 執行個體上安裝適當的 Amazon Inspector 代理器、建立新的評估範本、選取想要使用的規則套件，以及排程評估執行。完成上述動作之後，系統會為環境中找到的任何問題產生一份發現項目報告。

問：是否必須在我希望評估的所有 EC2 執行個體上安裝 Amazon Inspector 代理器？
是。執行評估時，Amazon Inspector 代理器可監控 EC2 執行個體上安裝之作業系統和應用程式的行為、收集組態和行為資料，並將資料傳遞給 Amazon Inspector 服務。

問：如何安裝 Amazon Inspector 代理器？
目前有幾種代理器安裝方法。簡單的安裝方法，您可以在每個執行個體上手動安裝，或使用 AWS Systems Manager Run Command 文件 (AmazonInspector-ManageAWSAgent) 執行一次性載入。至於較大規模的部署，您可以在設定執行個體時，利用 EC2 使用者資料功能自動化代理器安裝，也可以使用 AWS Lambda 建立代理的自動化安裝。您也可以使用 Amazon Linux AMI 配合 EC2 主控台或 AWS Marketplace 預先安裝的 Amazon Inspector 代理器啟動 EC2 執行個體。

問：如何檢查 Amazon Inspector 代理器是否安裝到我的 EC2 執行個體而且運作狀態良好？
您可以使用 Inspector 主控台提供的「預覽目標」功能和 PreviewAgents API 查詢，查看評估目標中所有 EC2 執行個體的 Amazon Inspector 代理器狀態。代理器狀態包括代理器是否已安裝在 EC2 執行個體上以及代理器的運作狀態是否良好。除目標 EC2 執行個體上的 Inspector 代理器狀態外，還會顯示執行個體 ID、公有主機名稱和公有 IP 地址 (如果已定義) 以及每個執行個體的 EC2 主控台連結。

問：Amazon Inspector 執行時是否可以不標記資源？
否。Amazon Inspector 要求您使用 Amazon EC2 執行個體標籤才能執行評估。

問：Amazon Inspector 是否會存取我帳戶中的其他 AWS 服務？
Amazon Inspector 必須列舉 EC2 執行個體和標籤，以便識別評估目標中指定的執行個體。當您以新客戶的身分或者在新的區域開始使用 Amazon Inspector 時，Amazon Inspector 會透過為您建立的服務連結角色來存取這些服務。Inspector 服務連結角色是由 Amazon Inspector 負責管理，所以您不必擔心會不小心撤銷 Amazon Inspector 要求的許可。至於某些現有客戶，開始使用 Inspector 時所註冊的 IAM 角色，可以用於存取其他 AWS 服務，直到 Inspector 服務連結角色建立好為止。您可以透過 Inspector 主控台的儀表板頁面建立 Inspector 服務連結角色。

問：我的執行個體使用網路位址轉譯 (NAT)。Amazon Inspector 是否可與這些執行個體搭配使用？
是。Amazon Inspector 可支援使用 NAT 的執行個體，您不需執行任何動作。

問：我的執行個體使用代理。Amazon Inspector 是否可與這些執行個體搭配使用？
是。Amazon Inspector 代理器支援代理環境。針對 Linux 執行個體，我們支援 HTTPS 代理，而針對 Windows 執行個體，我們支援 WinHTTP 代理。如需為 Amazon Inspector 代理器設定代理支援的指示，請參閱 Amazon Inspector User Guide。

問：我希望定期自動化基礎設施的評估。是否提供自動化提交評估的方式？
是。Amazon Inspector 提供了完整 API，可自動建立應用程式環境、建立評估、評估政策、建立政策例外狀況以及篩選和擷取結果。

問：是否能安排在特定日期與時間執行安全評估？
是。任何 Amazon CloudWatch Event 都可觸發 Amazon Inspector 評估。您可以使用簡單的固定重複率或更詳細的 Cron 表達式來設定重複發生的排程事件。

問：是否可以根據事件觸發並執行安全評估？
是。您可以使用 Amazon CloudWatch Events 建立事件模式來監控其他 AWS 服務，找出其中哪些操作會觸發評估。例如，您可以建立一個事件來監控新 Amazon EC2 執行個體啟動時的 AWS Auto Scaling，或者監視當程式碼部署成功時，系統發出的各種 AWS CodeDeploy 通知。一旦針對 Amazon Inspector 範本設定了 CloudWatch Events，這些評估事件將做為評估範本的一部分顯示在 Inspector 主控台中，方便您查看該評估所有的自動觸發程式。

問：是否可透過 AWS CloudFormation 設定 Amazon Inspector 評估？
是，您可以使用 AWS CloudFormation 範本建立 Amazon Inspector 資源群組、評估目標和評估範本。如此一來，您就可以在部署 EC2 執行個體後，為其自動設定安全性評估。在您的 CloudFormation 範本中，您也可以透過使用代理安裝命令 (在 AWS::CloudFormation::Init 或 EC2 使用者資料中) 在 EC2 執行個體上引導 Inspector Agent 程序安裝。或者，您可以使用預先安裝 Inspector Agent 的 AMI，在 CloudFormation 範本中建立 EC2 執行個體。

問：我可以在哪裡找到 Amazon Inspector 評估上的指標資訊？
Amazon Inspector 會將評估上的指標資料自動發佈到 Amazon CloudWatch。如果您是 CloudWatch 使用者，您的 Inspector 評估統計資料會自動填入 CloudWatch。目前提供的 Inspector 指標為：評估的執行次數、做為目標的代理器以及產生的結果。如需更多詳細資訊，請參閱 Amazon Inspector 文件中關於發佈到 CloudWatch 的評估指標詳細資訊。

問：Amazon Inspector 可與其他用於日誌和通知的 AWS 服務整合嗎？
Amazon Inspector 可與 Amazon SNS 整合，為各種事件提供通知，像是監控里程碑、故障或過期的例外狀況，並可與 AWS CloudTrail 整合以記錄對 Amazon Inspector 的呼叫。

問：什麼是「CIS 作業系統安全組態基準」規則套件？
CIS 安全基準是根據 Center for Internet Security 所提出，而且是唯一由政府、企業、產業界及學術界在達成共識後開發並接受的最佳實務安全組態指南。Amazon Web Services 是 CIS 安全基準會員公司，在這裡查看取得 Amazon Inspector 認證的會員清單。CIS 基準規則是設計成通過/未通過安全檢查。對於未通過的每項 CIS 檢查，Inspector 會產生顯示 High 嚴重性的發現項目。另外會為每個執行個體產生一個標示 Informational 的發現項目，列出所有已檢查的 CIS 規則以及每個規則是否通過/未通過的結果。

問：什麼是「常見漏洞和入侵程式」規則套件？
常見漏洞和入侵程式 (或稱為 CVE) 規則會檢查眾所已知的資訊安全漏洞和入侵程式。CVE 規則詳細資訊會在「國家漏洞資料庫」(NVD) 中公開提供。我們使用 NVD 的常見漏洞評分系統 (CVSS) 做為嚴重性資訊的主要來源。假使 NVD 未評分某個 CVE 但它出現在 Amazon Linux AMI 安全建議 (ALAS) 中，我們會採用 Amazon Linux 建議的嚴重性。如果這兩者都未提供某個 CVE 的評分，我們就不會將該 CVE 報告為發現項目。我們會每天查看 NVD 和 ALAS 的最新資訊，並根據那些資訊來更新規則套件。

問：什麼是發現項目的嚴重性？
每個 Amazon Inspector 規則都指派了一個嚴重性等級，Amazon 將等級分類為 High、Medium、Low 或 Informational。嚴重性是為了協助您將發現項目的回應排定優先順序。

問：如何判定嚴重性？
規則的嚴重性取決於所發現安全問題可能造成的影響。雖然有些規則套件在本身提供的規則就內含嚴重性等級，但還是會因為規則設定還有所不同。Amazon Inspector 已透過將個別嚴重性對應到通用的 High、Medium、Low 和 Informational 分類，標準化所有可用規則套件中的發現項目嚴重性。對於「高」、「中」、「低」嚴重性的發現項目，其嚴重性越高，表示對問題的安全性影響越大。歸類為「資訊」的發現項目則是通知您不會對安全性產生立即影響的安全性問題。

• 至於 AWS 支援的規則套件，嚴重性由 AWS 安全團隊判定。
  
• CIS 基準規則套件發現項目的嚴重性一律設定在 "High"。
• 對於常見漏洞和入侵程式 (CVE) 規則套件，Amazon Inspector 會將所提供的 CVSS 基本評分與 ALAS 嚴重性等級提供的評分相對照。
          Amazon Inspector 嚴重性        CVSS 基本評分           ALAS 嚴重性 (如果 CVSS 未評分)
          High                                               >= 5                                  Critical 或 Important
          Medium                                         < 5 和 >= 2.1                   Medium
          Low                                               < 2.1 和 >= 0.8                Low
          Informational                                 < 0.8                                  N/A

問：透過 API (DescribeFindings) 描述發現項目時，每個發現項目會有一個 "numericSeverity" 屬性。這個屬性的意義為何？
"numericSeverity" 屬性是代表發現項目嚴重性的數字。以下是嚴重性數值與嚴重性的對應：
            資訊 = 0.0
            低 = 3.0
            中 = 6.0
            高 = 9.0

問：Amazon Inspector 是否可與 AWS 合作夥伴解決方案搭配使用？
是，Amazon Inspector 具備公有 API，可提供給客戶和 AWS 合作夥伴使用。數個合作夥伴已與 Amazon Inspector 整合，可將發現項目納入到電子郵件、票務系統、傳呼平台或更廣泛的安全儀表板。有關支援合作夥伴的詳細資訊，請瀏覽 Amazon Inspector 合作夥伴頁面。

問：Amazon Inspector 是否為 HIPAA 合格服務？
是，Amazon Inspector 是 HIPAA 合格服務，且已新增到 AWS 商業夥伴增補合約 (BAA)。如果擁有與 AWS 共同履行的 BAA，可以在包含受保護醫療資訊 (PHI) 的 EC2 執行個體上執行 Inspector。

問：Amazon Inspector 支援哪些合規和保證計劃？
Inspector 支援 SOC 1、SOC 2、SOC 3、ISO 9001、ISO 27001、 ISO 27017、ISO 27018 和 HIPAA。Inspector 符合 FedRAMP 控制，而且我們正在等待稽核報告完成。如果想要進一步了解合規計劃範圍內的 AWS 服務，請參閱 AWS 服務範圍頁面。