問:什麼是 Amazon Inspector?
Amazon Inspector 是一種自動化的安全性評估服務,可協助您測試 Amazon EC2 上所執行應用程式的安全性狀態。

問:Amazon Inspector 可以用來做什麼?
Amazon Inspector 讓您可以自動化整個開發與部署管道或靜態生產系統的安全漏洞評估。這可讓您在開發和 IT 操作期間定期進行安全測試。Amazon Inspector 是以代理器為基礎、透過 API 驅動,而以服務形式來提供,以便部署、管理和自動化。

Amazon Inspector 入門

建立免費帳戶

問:什麼是評估範本?
評估範本是為了定義評估執行,而在 Amazon Inspector 中建立的組態。這個評估範本包含一個讓 Amazon Inspector 用來評定評估目標的規則套件、評估執行的期間、讓 Amazon Inspector 傳送評估執行狀態和發現項目通知的 Amazon Simple Notification Service (SNS) 主題,以及可指派到評估執行產生之發現項目的 Amazon Inspector 特定屬性 (鍵值/值組)。

問:什麼是評估執行?
評估執行是透過分析評估目標的組態及針對指定規則套件的行為,來探索潛在安全問題的程序。代理器在評估執行期間會監控、收集和分析指定目標內部的行為資料 (遙測),例如安全通道的使用、執行程序之間的網路流量,以及與 AWS 服務通訊的詳細資訊。代理器接著會分析資料,並以評估執行期間使用的評估範本中所指定的一組安全規則套件來比對此資料。評估執行完成之後會產生一個發現項目清單,列出不同嚴重程度的潛在安全問題。

問:什麼是評估目標?
評估目標代表 AWS 資源的集合,而這些資源會以整體方式共同合作來協助您完成商業目標。Amazon Inspector 會評估組成評估目標的資源安全狀態。您可以使用 Amazon EC2 標籤建立評估目標,然後定義這些標記的資源,以作為評估範本中所定義之評估執行的評估目標。

問:什麼是發現項目?
發現項目是 Amazon Inspector 評估執行指定目標期間所發現的潛在安全問題。發現項目會顯示在 Amazon Inspector 主控台中或可透過 API 擷取,這些項目包含安全問題的詳細描述以及建議的修正方法。

問:什麼是規則套件?
規則套件是多個安全測試的集合,可設定為評估範本和評估執行的一部分。Amazon Inspector 有許多規則套件,包括常見漏洞和入侵程式 (CVE)、CIS 作業系統組態基準以及安全最佳實務。請參閱 Amazon Inspector 文件以取得可用規則套件的完整清單。

問:什麼是評估報告,其中包含哪些內容?
當評估執行順利完成之後,Amazon Inspector 就會針對該次評估執行產生一份評估報告。評估報告是一份文件,其中詳細說明評估執行進行哪些測試及評估的結果。所產生的評估結果是採用標準報告格式,以便與團隊成員共享結果來採取修復動作、讓合規稽核資料更豐富,或存放以供未來參考。

您可以選擇兩種評估報告類型:結果報告或完整報告。結果報告包含評估執行摘要、目標執行個體、測試的規則套件、產生結果的規則,以及每個規則和檢查失敗執行個體清單的詳細資訊。完整報告不僅包含結果報告中的所有資訊,還額外提供評估目標中所有執行個體檢查並通過的規則清單。

問:如果執行評估時有些目標無法使用,會發生什麼情況?
Amazon Inspector 會收集為評估範本設定之所有可用目標的安全漏洞資料,並為可用的目標傳回任何適當的安全問題。如果開始執行之後評估範本沒有可用的目標,系統會回報無法執行評估並傳回以下通知:「目前無法執行評估,因為選取的評估範本目前沒有可用的目標執行個體。」

問:為什麼目標會無法使用?
評估的目標無法使用可能有以下幾個原因,像是:EC2 執行個體故障或無法回應;標記的 (目標) 執行個體未安裝 Amazon Inspector 代理器;安裝的 Amazon Inspector 代理器無法使用或無法傳回安全漏洞資料。

問:Amazon Inspector 的定價為何?
Inspector 定價是基於評估的執行次數以及執行期間評估的代理器或系統數目。我們將這種方式稱為「代理器評估」。隨需計費期間就像所有 AWS 服務一樣是以日曆月為單位。例如:

     1 個代理器進行 1 次評估執行 = 1 個代理器評估
     10 個代理器進行 1 次評估執行 = 10 個代理器評估
     2 個代理器各進行 10 次評估執行 = 20 個代理器評估
     10 個代理器各進行 30 次評估執行 = 300 個代理器評估

如果上述代表您帳戶中特定計費期間的 Amazon Inspector 評估執行活動,則會以總共 331 個代理器評估向您收費。

每個個別代理器評估的價格是以分層定價模式為基礎。隨著特定計費期間中的代理器評估數量增加,為每個代理器評估所需支付的費用會下降。例如,前兩個代理器評估定價的方案是:

     前 250 個代理器評估 = 每個代理器評估為 0.30 USD
     之後的 750 個代理器評估 = 每個代理器評估為 0.25 USD

所以,對於上述範例中特定計費期間總共有 331 個代理器評估而言,收費方式是前 250 個為每個 0.30 USD,之後的 81 個為每個 0.25 USD,或是計費期間總計為 95.25 USD。請參閱 Amazon Inspector 定價頁面以取得完整的定價表。

問:Amazon Inspector 是否提供免費試用版?
是。Amazon Inspector 在使用服務的前 90 天免費提供前 250 個代理器評估。首次使用 Amazon Inspector 服務的所有 AWS 帳戶都符合此資格。

問:哪些區域可以使用 Amazon Inspector?
Amazon Inspector 目前在亞太區域 (孟買)、亞太區域 (首爾)、亞太區域 (雪梨)、亞太區域 (東京)、歐洲 (愛爾蘭)、美國東部 (維吉尼亞北部)、美國西部 (加利佛尼亞北部) 和美國西部 (奧勒岡) 提供。

問:Amazon Inspector 支援哪些 Linux 核心版本?
您可以在這裡取得支援 Amazon Inspector 評估的最新 Linux 核心版本清單。

問:Amazon Inspector 服務是由哪些項目組成?
Amazon Inspector 是由安裝在 Amazon EC2 執行個體作業系統和 IAM 服務角色中的 Amazon 開發的代理器組成,設置 Amazon Inspector 服務期間按一下按鍵即可建立。這個服務角色會將許可授予 Amazon Inspector,以列舉做為評估目標的執行個體和標籤。請參閱 Amazon Inspector 文件以取得目前支援的作業系統清單。

問:Amazon Inspector 感覺很實用,我該如何入門呢?
只需從 AWS 管理主控台直接註冊使用 Amazon Inspector。您註冊之後,就可以在 Amazon EC2 執行個體上安裝適當的 Amazon Inspector 代理器、建立新的評估範本、選取想要使用的規則套件,以及排程評估執行。完成上述動作之後,系統會為環境中找到的任何問題產生一份發現項目報告。

問:Amazon Inspector 是否可與 AWS 合作夥伴解決方案搭配使用?
是,Amazon Inspector 具備公有 API,可提供給客戶和 AWS 合作夥伴使用。數個合作夥伴已與 Amazon Inspector 整合,可將發現項目納入到電子郵件、票務系統、傳呼平台或更廣泛的安全儀表板。有關支援合作夥伴的詳細資訊,請瀏覽 Amazon Inspector 合作夥伴頁面

問:我的執行個體使用網路位址轉譯 (NAT)。Amazon Inspector 是否可與這些執行個體搭配使用?
是。Amazon Inspector 可支援使用 NAT 的執行個體,您不需執行任何動作。

問:我的執行個體使用代理。Amazon Inspector 是否可與這些執行個體搭配使用?
是。Amazon Inspector 代理器支援代理環境。針對 Linux 執行個體,我們支援 HTTPS 代理,而針對 Windows 執行個體,我們支援 WinHTTP 代理。如需為 Amazon Inspector 代理器設定代理支援的指示,請參閱 Amazon Inspector User Guide

問:Inspector 可分析哪些應用程式的漏洞?
Amazon Inspector 尋找應用程式的方式是在安裝代理器的作業系統上查詢套件管理員或軟體安裝系統。這表示會對透過套件管理員安裝的軟體進行漏洞評估。對於不是透過這些方法安裝的軟體,Inspector 將無法辨識該軟體的版本和修補程式層級。例如,Inspector 可評估透過 apt、yum 或 Microsoft Installer 安裝的軟體。但 Inspector 不會評估透過 make config/make install 安裝的軟體,或使用 Puppet 或 Ansible 等自動化軟體直接複製到系統的二進位檔案。

問:我可以在哪裡找到 Amazon Inspector 評估上的指標資訊?
Amazon Inspector 會將評估上的指標資料自動發佈到 Amazon CloudWatch。如果您是 CloudWatch 使用者,您的 Inspector 評估統計資料會自動填入 CloudWatch。目前提供的 Inspector 指標為:評估的執行次數、做為目標的代理器以及產生的結果。如需更多詳細資訊,請參閱 Amazon Inspector 文件中關於發佈到 CloudWatch 的評估指標詳細資訊。

問:Amazon Inspector 可與其他用於日誌和通知的 AWS 服務整合嗎?
Amazon Inspector 可與 SNS 整合,為各種事件提供通知,像是監控里程碑、故障或過期的例外狀況,並可與 AWS CloudTrail 整合以記錄對 Amazon Inspector 的呼叫。

問:我希望定期自動化基礎設施的評估。是否提供自動化提交評估的方式?
是。Amazon Inspector 提供了完整 API,可自動建立應用程式環境、建立評估、評估政策、建立政策例外狀況以及篩選和擷取結果。

問:是否能安排在特定日期與時間執行安全評估?
是。Amazon Inspector 提供了一份 AWS Lambda 藍圖,可用來建立重複發生的排程事件。為您想要執行的安全評估建立評估範本之後,請直接從 AWS 管理主控台前往 AWS Lambda。在 AWS Lambda 中,按一下 "Create a Lambda function",然後選取 "inspector-scheduled-run" 藍圖。此藍圖會引導您建立重複排程,以執行評估。

問:Amazon Inspector 執行時是否可以不標記資源?
否。Amazon Inspector 要求您使用 Amazon EC2 執行個體標籤才能執行評估。

問:Amazon Inspector 掃描期間是否有任何效能影響?
Amazon Inspector 和 Amazon Inspector 代理器已經過設計,將評估執行程序期間產生的效能影響降到最低。

問:是否可以為評估範本定義自己的規則?
否。評估執行初期只允許預先定義的規則。不過,我們一直在探索可納入 AWS Marketplace 中廠商提供的付費規則集與自行開發的自訂規則。

問:什麼是發現項目的嚴重性?
每個 Amazon Inspector 規則都指派了一個嚴重性等級,Amazon 將等級分類為 High、Medium、Low 或 Informational。嚴重性是為了協助您將發現項目的回應排定優先順序。

問:什麼是「CIS 作業系統安全組態基準」規則套件?
CIS 安全基準是根據 Center for Internet Security 所提出,而且是唯一由政府、企業、產業界及學術界在達成共識後開發並接受的最佳實務安全組態指南。Amazon Web Services 是 CIS 安全基準會員公司,在這裡查看取得 Amazon Inspector 認證的會員清單。CIS 基準規則是設計成通過/未通過安全檢查。對於未通過的每項 CIS 檢查,Inspector 會產生顯示 High 嚴重性的發現項目。另外會為每個執行個體產生一個標示 Informational 的發現項目,列出所有已檢查的 CIS 規則以及每個規則是否通過/未通過的結果。

問:什麼是「常見漏洞和入侵程式」規則套件?
常見漏洞和入侵程式 (或稱為 CVE) 規則會檢查眾所已知的資訊安全漏洞和入侵程式。CVE 規則詳細資訊會在「國家漏洞資料庫」(NVD) 中公開提供。我們使用 NVD 的常見漏洞評分系統 (CVSS) 做為嚴重性資訊的主要來源。假使 NVD 未評分某個 CVE 但它出現在 Amazon Linux AMI 安全建議 (ALAS) 中,我們會採用 Amazon Linux 建議的嚴重性。如果這兩者都未提供某個 CVE 的評分,我們就不會將該 CVE 報告為發現項目。我們會每天查看 NVD 和 ALAS 的最新資訊,並根據那些資訊來更新規則套件。

問:如何判定嚴重性?
規則的嚴重性取決於所發現安全問題可能造成的影響。雖然有些規則套件在本身提供的規則就內含嚴重性等級,但還是會因為規則設定還有所不同。Amazon Inspector 已透過將個別嚴重性對應到通用的 High、Medium、Low 和 Informational 分類,標準化所有可用規則套件中的發現項目嚴重性。對於「高」、「中」、「低」嚴重性的發現項目,其嚴重性越高,表示對問題的安全性影響越大。歸類為「資訊」的發現項目則是通知您不會對安全性產生立即影響的安全性問題。

  • 至於 AWS 支援的規則套件,嚴重性由 AWS 安全團隊判定。
  • CIS 基準規則套件發現項目的嚴重性一律設定在 "High"。
  • 對於常見漏洞和入侵程式 (CVE) 規則套件,Amazon Inspector 會將所提供的 CVSS 基本評分與 ALAS 嚴重性等級提供的評分相對照。
            Amazon Inspector 嚴重性        CVSS 基本評分           ALAS 嚴重性 (如果 CVSS 未評分)
            High                                               >= 5                                  Critical 或 Important
            Medium                                         < 5 和 >= 2.1                   Medium
            Low                                               < 2.1 和 >= 0.8                Low
            Informational                                 < 0.8                                  N/A

 

問:透過 API (DescribeFindings) 描述發現項目時,每個發現項目會有一個 "numericSeverity" 屬性。這個屬性的意義為何?
"numericSeverity" 屬性是代表發現項目嚴重性的數字。以下是嚴重性數值與嚴重性的對應:
            資訊 = 0.0
            低 = 3.0
            中 = 6.0
            高 = 9.0