一般問題

問:什麼是 Amazon Inspector?

Amazon Inspector 是一項自動化漏洞管理服務,可不斷掃描 Amazon Elastic Compute Cloud (EC2) 和 容器工作負載以尋找軟體漏洞和意外網路風險。

問:Amazon Inspector 有哪些主要優勢?

Amazon Inspector 讓您只需按一下,即可跨所有帳戶部署 Amazon Inspector,從而消除與部署和設定漏洞管理解決方案關聯的營運開銷。Amazon Inspector 的其他優勢包括:

  • 自動發現和持續掃描,提供近乎即時的漏洞問題清單
  • 透過設定委派管理員 (DA) 帳戶集中管理、設定和檢視所有組織帳戶的問題清單
  • 每個問題清單的高度情境化和有意義的 Inspector 風險評分,可協助您設定更準確的回應優先級
  • 直覺化的 Amazon Inspector 涵蓋指標儀表板,包括帳戶、EC2 執行個體,以及 Amazon Inspector 主動掃描的 Amazon Elastic Container Registry (ECR) 儲存庫
  • 與 AWS Security Hub 和 Amazon EventBridge 整合以自動化工作流程和票證路由

問:Amazon Inspector 與 Amazon Inspector Classic 有何差異?

Amazon Inspector 已經過重新架構和重建,以建立新的漏洞管理服務。以下是對 Amazon Inspector Classic 的主要增強:

  • 為擴展而建置:全新 Amazon Inspector 專為擴展和動態雲端環境而建置。一次可掃描的執行個體或映像數目沒有限制。
  • 支援容器映像:全新 Amazon Inspector 還會掃描駐留在 Amazon ECR 中的容器映像以查找軟體漏洞。與容器相關的問題清單也會推送至 ECR 主控台。
  • 支援多帳戶管理:全新 Amazon Inspector 與 AWS Organizations 整合,允許您為您的組織委派 Amazon Inspector 的管理員帳戶。此委派管理員 (DA) 帳戶是一個集中式帳戶,可整合所有問題清單並可設定所有成員帳戶。
  • AWS Systems Manager Agent:使用全新 Amazon Inspector,您不再需要在所有 Amazon EC2 執行個體上安裝和維護獨立的 Amazon Inspector 代理。全新 Amazon Inspector 使用廣泛部署的 AWS Systems Manager Agent (SSM Agent),從而消除了這種需求。
  • 自動和持續掃描:全新 Amazon Inspector 會自動偵測所有新啟動的 Amazon EC2 執行個體和推送至 Amazon ECR 的合資格容器映像,並立即掃描其是否存在軟體漏洞和意外的網路風險。 發生可能引入新漏洞的事件時,則會自動重新掃描涉及的資源。啟動重新掃描資源的事件包括在 EC2 執行個體中安裝新套件、安裝修補程式,以及發佈影響資源的新常見漏洞和風險 (CVE) 時。
  • Inspector 風險評分:全新 Amazon Inspector 透過將最新的 CVE 資訊與時間和環境因素 (例如網路可存取性和可利用性資訊) 相關聯,來計算 Inspector 風險評分,以新增內容來協助確定您的問題清單的優先級。

問:是否可以在同一個帳戶中同時使用 Amazon Inspector 和 Amazon Inspector Classic?

是,您可以在同一個帳戶中同時使用兩者。

問:如何從 Amazon Inspector Classic 遷移至全新 Amazon Inspector?

您只需刪除帳戶中的所有評估範本,即可停用 Amazon Inspector Classic。若要存取現有評估執行的問題清單,您可以將其下載為報告或使用 Amazon Inspector API 將其匯出。您可以在 AWS 管理主控台中按幾下,或使用全新 Amazon Inspector API 來啟用新的 Amazon Inspector。您可以在 Amazon Inspector Classic 使用者指南中找到詳細的遷移步驟。

問:Amazon ECR 的 Amazon Inspector 容器映像掃描服務與以 Amazon ECR Clair 為基礎的解決方案有何差異?

  Amazon Inspector 容器映像掃描 以 Amazon ECR Clair 為基礎的解決方案

掃描引擎

Amazon Inspector 是一項 AWS 開發的漏洞管理服務,內建對駐留在 Amazon ECR 中容器映像的支援

Amazon ECR 提供受管開源 Clair 專案作為基本掃描解決方案

套件涵蓋範圍

識別作業系統 (OS) 套件和程式設計語言 (例如 Python、Java、Ruby 等) 套件中的漏洞

僅識別作業系統套件中的軟體漏洞

掃描頻率

提供持續掃描和推送掃描

僅提供推送掃描

問題清單

問題清單在 Amazon Inspector 和 ECR 主控台,以及在 Amazon Inspector 和 ECR 應用程式介面 (API) 和軟體開發套件 (SDK) 中可用

在 ECR 主控台、ECR API 和 SDK 中提供了問題清單

漏洞評分

提供來自國家漏洞資料庫 (NVD) 和供應商的內容相關 Inspector 分數和常見漏洞評分系統 (CVSS) v2 和 v3 分數

僅 CVSS v2 分數

AWS 服務整合

與 AWS Security Hub、AWS Organizations 和 AWS EventBridge 整合

不提供與其他 AWS 服務的內建整合

 

問:Amazon Inspector 的定價為何?

請參閱 Amazon Inspector 定價頁面以取得完整的定價詳情。

問:Amazon Inspector 是否提供免費試用版?

Amazon Inspector 的所有新帳戶都有資格享受 15 天免費試用,來評估服務並估算其成本。 在試用期間,所有符合條件的 Amazon EC2 執行個體和推送至 ECR 的容器映像都會被持續免費掃描。您還可以在 Amazon Inspector 主控台中檢閱估算的支出。

問:哪些區域可以使用 Amazon Inspector?

Amazon Inspector 現已於全球提供。此處列出了依區域的具體可用性。

入門

問:如何開始使用?

您可以在 AWS 管理主控台中按幾下,為整個組織或個人帳戶啟用 Amazon Inspector。啟用後,Amazon Inspector 會自動發現執行中的 Amazon EC2 執行個體和 Amazon ECR 儲存庫,並立即開始持續掃描工作負載,以查找軟體漏洞和意外網路風險。如果您是 Inspector 新使用者,還享有 15 天免費試用

問:什麼是 Amazon Inspector 問題清單?

Amazon Inspector 問題清單是指潛在的安全漏洞。例如,當 Amazon Inspector 偵測到軟體漏洞,或開啟運算資源的網​​絡路徑時,則會建立安全問題清單。

問:是否可以使用 AWS Organizations 結構來管理 Amazon Inspector?

是。Amazon Inspector 與 AWS Organizations 整合。您可以為 Amazon Inspector 指派一個 DA 帳戶,充當 Amazon Inspector 的主要管理員帳戶,可以集中管理和設定 Amazon Inspector。DA 帳戶可以集中檢視和管理您的 AWS 組織所有帳戶包含的問題清單。

問:如何為 Amazon Inspector 服務委派管理員?

AWS Organizations 管理帳戶可以在 Amazon Inspector 主控台中或使用 Amazon Inspector API 為 Amazon Inspector 指派一個 DA 帳戶。

問:是否必須啟用特定的掃描類型 (即 Amazon EC2 掃描或 Amazon ECR 容器映像掃描)?

預設會啟用 EC2 執行個體和 ECR 映像掃描。然而,您可以在帳戶上停用 Amazon EC2 執行個體掃描、Amazon ECR 映像掃描或同時停用這兩者。

問:是否需要任何代理才能使用 Amazon Inspector?

這取決於您要掃描的資源。Amazon EC2 執行個體的漏洞掃描需要 AWS Systems Manager Agents (SSM Agents)。Amazon EC2 執行個體的網路可連線性和容器映像的漏洞掃描不需要代理。

問:如何安裝和設定 Amazon Systems Manager Agent?

若要成功掃描 Amazon EC2 執行個體的軟體漏洞,Amazon Inspector 要求這些執行個體由 AWS Systems Manager (SSM) 和 SSM Agent 管理。如需有關啟用和設定 AWS Systems Manager 的說明,請參閱 AWS Systems Manager 使用者指南中的 Systems Manager 先決條件。如需有關受管執行個體的資訊,請參閱 AWS Systems Manager 使用者指南中的受管執行個體部分。

問:是否可以從掃描中排除一些 Amazon EC2 執行個體?

否。一旦為 Amazon EC2 掃描啟用 Amazon Inspector,則會持續掃描在帳戶中安裝和設定了 Amazon SSM Agents 的所有 EC2 執行個體。

問:如何知道為掃描設定了哪些 Amazon ECR 儲存庫? 而且,如何管理應設定哪些儲存庫進行掃描?

Amazon Inspector 支援設定包容性規則,以選取掃描哪些 Amazon ECR 儲存庫。可以在 ECR 主控台內的登錄檔設定頁面下,或使用 ECR API 建立並管理包容性規則。設定可比對包容性規則的 ECR 儲存庫進行掃描。ECR 和 Amazon Inspector 主控台中均提供了儲存庫的詳細掃描狀態。

使用 Amazon Inspector

問:如何知道我的資源是否正在被主動掃描?

Amazon Inspector 儀表板中的環境涵蓋範圍面板顯示 Amazon Inspector 主動掃描的帳戶、Amazon EC2 執行個體和 Amazon ECR 儲存庫的指標。每個執行個體和映像都具有掃描狀態:正在掃描或未掃描。掃描意味著資源正被近乎即時地持續掃描。未掃描狀態可能意味著尚未執行初始掃描、作業系統不受支援,或某些其他原因正在阻止掃描。

問:自動重新掃描多久執行一次?

所有掃描都根據事件自動執行。所有工作負載在發現時首先會掃描,後續會重新掃描。

  • 對於 Amazon EC2 執行個體:在執行個體上安裝或解除安裝新的軟體套件、發佈新的 CVE 以及更新易受攻擊的軟體套件後 (以確認沒有其他漏洞),將會啟動重新掃描。
  • 對於 ECR 容器映像:當發佈影響映像的新 CVE 時,會針對符合條件的容器映像啟動自動重新掃描。在映像推送後的前 30 天會自動重新掃描容器鏡像。

問:使用 Amazon Inspector 持續重新掃描容器映像需要多長時間?

駐留在 Amazon ECR 儲存庫中且設定為持續掃描的容器映像,在推送至儲存庫後會掃描 30 天。

問:是否可以將我的資源排除在掃描之外?

  • 對於 Amazon EC2 執行個體:否。Amazon Inspector 會自動發現帳戶內的所有 EC2 執行個體,並持續掃描所有設定了 Amazon SSM Agent 的執行個體。
  • 對於駐留在 Amazon ECR 中的容器映像:是。雖然您可以選取為掃描設定哪些 ECR 儲存庫,但會掃描儲存庫中的所有映像。您可以建立包容性規則來選取應掃描哪些儲存庫。

問:將 SSM 清單收集頻率從預設的 30 分鐘變更為 12 小時對 Amazon Inspector 的持續掃描有何影響?

變更預設的 SSM 清單收集頻率可能會影響掃描的持續性。Amazon Inspector 依靠 SSM Agents 來收集應用程式清單以產生問題清單。如果應用程式清單持續時間從預設的 30 分鐘開始增加,這會延遲對應用程式清單變更的偵測,並且可能會延遲新的問題清單。

問:什麼是 Inspector 風險評分?

Inspector 風險評分是一個高度情境化的評分,透過將常見漏洞和風險 (CVE) 資訊與網路可連線性結果、可利用性資料和社交媒體趨勢相關聯,針對每個問題清單產生該評分。這讓您能夠更輕鬆地確定問題清單的優先級,並專注於最關鍵的問題清單和易受攻擊的資源。您可以在「問題清單詳細資訊」側面板中的「Inspector 評分」標籤中,查看 Inspector 風險評分的計算方式及影響分數的因素。

例如:在您的 Amazon EC2 執行個體上發現了新的 CVE,只能在遠端受到攻擊。如果 Amazon Inspector 持續網路可連線性掃描還發現無法從網際網路連線該執行個體,則它知道該漏洞不太可能受到攻擊。因此,Amazon Inspector 會將掃描結果與 CVE 相關聯,以向下調整風險評分,更準確地反映 CVE 對特定執行個體的影響。

問:如何確定問題清單的嚴重性?

Inspector 評分 嚴重性
0 資訊性
0.2–3.9
4.0–6.9
7.0–8.9
9.0–10.0 嚴重

問:隱藏規則的運作方式是什麼?

Amazon Inspector 允許您根據您定義的自訂條件來隱藏問題清單。您可以針對組織認為可接受的問題清單建立隱藏規則。

問:如何匯出我的問題清單,其中包含哪些內容?

您可以在 Amazon Inspector 主控台或透過 Amazon Inspector API,只需按幾下即可產生多種格式 (CSV 或 JSON) 的報告。您可以下載包含所有問題清單的完整報告,或者根據主控台中設定的檢視篩選條件,來產生和下載自訂報告。

問:是否可以透過將 Amazon Inspector 設定為 VPC 端點,來掃描我的私有 Amazon EC2 執行個體?

是。Amazon Inspector 使用 Amazon SSM Agents 來收集應用程式清單,這可將其設定為 Amazon Virtual Private Cloud (Amazon VPC) 端點,以避免透過網際網路傳送任何資訊。

問:Amazon Inspector 支援哪些作業系統?

您可以在此處找到支援的作業系統 (OS) 清單。

問:Amazon Inspector 支援哪些程式設計語言套件進行容器鏡像掃描?

您可以在此處找到支援的程式設計語言套件清單。

問:Amazon Inspector 是否可與使用網路地址轉換 (NAT) 的執行個體搭配使用?

是。Amazon Inspector 自動支援使用 NAT 的執行個體。

問:我的執行個體使用代理。Amazon Inspector 是否可與這些執行個體搭配使用?

是。如需詳細資訊,請參閱如何設定 SSM Agent 以使用代理

問:Amazon Inspector 可與其他用於日誌和通知的 AWS 服務整合嗎?

Amazon Inspector 可與 Amazon EventBridge 整合以提供事件通知,例如新的問題清單、問題清單狀態變更,或隱藏規則的建立。Amazon Inspector 還可與 AWS CloudTrail 整合以進行呼叫記錄。

問:Amazon Inspector 是否提供「CIS 作業系統安全設定基準」掃描?

否。雖然 Amazon Inspector 目前不支援 CIS 掃描,但將來會新增此功能。但您可以繼續使用 Amazon Inspector Classic 中提供的 CIS 掃描規則套件。

問:Amazon Inspector 是否可與 AWS 合作夥伴解決方案搭配使用?

是。如需詳細資訊,請參閱 Amazon Inspector 合作夥伴

問:是否可以停用 Amazon Inspector?

是。您可以透過停用 Amazon Inspector 服務,來停用所有掃描類型 (EC2 掃描和 ECR 容器映像掃描),或者,您可以為帳戶單獨停用每種掃描類型。

問:是否可以暫停 Amazon Inspector?

否。Amazon Inspector 不支援暫停狀態。

了解 Amazon Inspector 客戶

瀏覽客戶頁面
準備好開始建立?
Amazon Inspector 入門
還有其他問題嗎?
聯絡我們