Amazon Inspector 常见问题

一般性问题

Amazon Inspector 是一项自动化漏洞管理服务,可近乎实时地持续扫描 Amazon Elastic Compute Cloud(EC2)、AWS Lambda 函数以及 Amazon ECR 中的容器映像以及持续集成和持续交付(CI/CD)工具中的软件漏洞和意外网络暴露。

Amazon Inspector 允许您一步跨所有账户部署 Amazon Inspector,从而消除了与部署和配置漏洞管理解决方案相关的运营开销。其他优势包括:

  • 自动化发现及持续扫描,提供近乎实时漏洞结果
  • 通过设置委派管理员(DA)账户,对组织的所有账户进行集中管理、配置和结果查看
  • 针对每个结果提供高度情境化且有意义的 Amazon Inspector 风险评分,帮助您设置更准确的响应优先级
  • 直观的 Amazon Inspector 控制面板,可近乎实时地显示覆盖率指标,包括账户、Amazon EC2 实例、Lambda 函数以及 Amazon ECR 和 CI/CD 工具中的容器映像。
  • 通过无缝扫描 EC2 实例,在基于代理和无代理的扫描(预览版)之间切换,最大限度地提高漏洞评测覆盖范围。
  • 集中管理所有受监控资源的软件物料清单(SBOM)导出。 
  • 与 AWS Security Hub 和 Amazon EventBridge 集成,实现工作流和票证路由的自动化

您只需删除账户中的所有评估模板即可停用 Amazon Inspector Classic。要访问现有评测运行结果,您可以下载这些结果作为报告或使用 Amazon Inspector API 导出这些结果。您可以通过在 AWS 管理控制台中执行几个步骤,或通过使用新 Amazon Inspector API 来激活新的 Amazon Inspector。您可以在 Amazon Inspector Classic 用户指南中找到详细的迁移步骤。

Amazon Inspector 已重新架构并重建,以创建一项新的漏洞管理服务。以下是 Amazon Inspector Classic 的重要改进:

  • 专为扩展而设计:新 Amazon Inspector 是专为扩展和动态云环境而设计的。一次可以扫描的实例或镜像数量没有限制。
  • 支持容器映像和 Lambda 函数:新 Amazon Inspector 还可以扫描位于 Amazon ECR 中、CI/CD 工具内和 Lambda 函数中的容器映像,用于查找软件漏洞。它还可以将容器相关结果推送至 Amazon ECR 控制台。
  • 支持多账户管理:新 Amazon Inspector 与 AWS Organizations 集成,允许您为企业委派 Amazon Inspector 管理员账户。委派管理员 (DA) 账户是一个集中账户,合并所有结果并能配置所有成员账户。
  • AWS Systems Manager Agent:借助新 Amazon Inspector,您将不再需要在 Amazon EC2 所有实例上安装并维护独立的 Amazon Inspector 代理。新 Amazon Inspector 利用广泛部署的 AWS Systems Manager Agent (SSM Agent),消除了这种需求。
  • 自动化持续扫描:新 Amazon Inspector 自动检测所有新启动的 Amazon EC2 实例、Lambda 函数和推送至 Amazon ECR 的有效容器映像,并立即扫描其软件漏洞和意外网络暴露。事件发生时可能会引入新的漏洞,所涉及的资源会被自动重新扫描。启动重新扫描资源的事件包括在 EC2 实例中安装新包、安装补丁,以及何时发布影响该资源的新的常见漏洞和暴露(CVE)。
  • Amazon Inspector 风险评分:新 Amazon Inspector 通过将最新的 CVE 信息与时间和环境因素(如网络可访问性和可利用性信息)相关联,计算出 Inspector 风险评分,然后添加上下文,从而帮助确定您的结果的优先级。
  • 漏洞评测覆盖范围:新的 Amazon Inspector 通过无缝扫描 EC2 实例以及在基于代理和无代理扫描(预览版)之间切换来增强漏洞评测。
  • 软件物料清单(SBOM)导出:新的 Amazon Inspector 集中管理和导出所有受监控资源的 SBOM。 

是的,您可以在同一个账户中同时使用这两种服务。

 

  Amazon Inspector 容器镜像扫描 Amazon ECR 基于 Clair 的解决方案

扫描引擎

Amazon Inspector 是 AWS 开发的一项漏洞管理服务,内置对 Amazon ECR 中的容器镜像的支持

Amazon ECR 提供了一个托管式开源 Clair 项目作为基本的扫描解决方案

资源包覆盖范围

识别操作系统(OS)资源包和编程语言(如 Python、Java 和 Ruby)资源包中的漏洞

仅识别 OS 资源包中的软件漏洞

扫描频率

提供连续扫描和推送时扫描

仅提供推送时扫描

漏洞情报

提供增强的漏洞情报,例如漏洞是否可用于 CVE 并在资源包版本修复指导中修复

仅提供有关软件漏洞的基本信息

结果

可在 Amazon Inspector 和 ECR 控制台以及 Amazon Inspector 和 Amazon ECR 应用程序编程接口(API)和软件开发工具包(SDK)中查看结果

可在 Amazon ECR 控制台和 Amazon ECR API 和 SDK 中查看结果

漏洞评分

提供情境化 Inspector 评分以及美国国家漏洞数据库 (NVD) 和供应商的通用漏洞评分系统 (CVSS) v2 和 v3 评分

仅 CVSS v2 评分

AWS 服务集成

已与 AWS Security Hub、AWS Organizations 和 AWS EventBridge 集成

没有与其他 AWS 服务的内置集成

如需了解完整的定价详情,请参阅 Amazon Inspector 定价页面

Amazon Inspector 的所有新账户均有资格获得 15 天的免费试用,用于评估服务及估计成本。 试用期间,可免费持续扫描推送到 ECR 的所有合格的 Amazon EC2 实例、AWS Lambda 函数和容器镜像。您也可以在 Amazon Inspector 控制台查看预计的花费。

Amazon Inspector 现已在全球推出。此处列出了各个区域的具体可用性。

入门

您只需在 AWS 管理控制台中执行几个步骤,即可为您的整个企业或个人账户激活 Amazon Inspector。激活后,Amazon Inspector 自动发现正在运行的 Amazon EC2 实例、Lambda 函数和 Amazon ECR 存储库,并立即开始持续扫描工作负载,以发现软件漏洞和意外网络暴露。如果您是第一次使用 Amazon Inspector,将获得 15 天免费试用

Amazon Inspector 结果是潜在的安全漏洞。例如,Amazon Inspector 检测软件漏洞或开放至计算资源的网络路径时,Amazon Inspector 会创建安全结果。

符合。Amazon Inspector 已与 AWS Organizations 集成。您可以为 Amazon Inspector 配置 DA 账户,该帐户作为 Amazon Inspector 的主管理员账户,可用于对其进行集中管理和配置。DA 账户可以集中查看并管理 AWS 企业的所有账户的结果。

AWS Organizations 管理账户可在 Amazon Inspector 控制台中或通过使用 Amazon Inspector API 为 Amazon Inspector 分配 DA 账户。

如果您是第一次启动 Amazon Inspector,则默认会激活所有扫描类型,包括 EC2 扫描、Lambda 扫描和 ECR 容器镜像扫描。但是,您可以在组织的所有账户中停用其中任何一个或所有这些类型。现有用户可以在 Amazon Inspector 控制台中或使用 Amazon Inspector API 激活新功能。

不,无需代理即可进行扫描。对于 Amazon EC2 实例的漏洞扫描,您可以为基于代理的解决方案使用 AWS Systems Manager Agent(SSM Agent)。如果您没有部署或配置 SSM Agent,Amazon Inspector 还提供无代理扫描(预览版)。评测 Amazon EC2 实例的网络可达性、容器映像的漏洞扫描或 Lambda 函数的漏洞扫描时,不需要代理。 

要成功扫描 Amazon EC2 实例的软件漏洞,Amazon Inspector 要求用 AWS Systems ManagerSSM Agent 管理这些实例。请参阅 AWS Systems Manager 用户指南中的 Systems Manager 先决条件,了解如何激活和配置 AWS Systems Manager。有关托管式实例的信息,请参阅 AWS Systems Manager 用户指南中的托管式实例部分。

Amazon Inspector 支持配置包含规则,以选择扫描哪些 ECR 存储库。可在 ECR 控制台中的注册设置页面或使用 ECR API 创建并管理包含规则。匹配包含规则的 ECR 存储库配置了扫描。存储库的详细扫描状态在 ECR 和 Amazon Inspector 控制台中可见。

使用 Amazon Inspector

Amazon Inspector 控制面板中的环境覆盖范围面板显示 Amazon Inspector 正在主动扫描的账户指标、Amazon EC2 实例、Lambda 函数和 ECR 存储库。每个实例和镜像的扫描状态:扫描或未扫描。扫描状态表示近乎实时地持续扫描资源。未扫描状态表示尚未执行初始扫描,操作系统不受支持,或扫描受阻。

所有扫描都会根据事件自动执行。对于所有工作负载,在发现时,先进行初始扫描,然后进行重新扫描。

  • 对于 Amazon EC2 实例:对于基于 SSM 代理的扫描,在实例中安装或卸载新软件资源包时,发布新的 CVE 时,以及更新有漏洞的资源包后,开始重新扫描(以确认是否有其他漏洞)。对于无代理扫描,每 24 小时进行一次扫描。
  • 对于 Amazon ECR 容器映像:当影响映像的新 CVE 发布时,开始自动化重新扫描合格的容器映像。容器映像的自动重新扫描基于在 Amazon Inspector 控制台或 API 中为映像推送日期和拉取日期配置的重新扫描持续时间。如果映像的推送日期小于配置的“推送日期重新扫描持续时间”,并且映像已在配置的“拉取日期重新扫描持续时间”内拉取,则将继续监控容器映像,并在发布影响映像的新 CVE 时开始自动重新扫描。映像推送日期的可用重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天、180 天或生命周期。映像拉取日期的重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天或 180 天。
  • 对于 Lambda 函数:所有新的 Lambda 函数在发现时都会进行初步评测,并在 Lambda 函数更新或发布新 CVE 时不断重新评测。

位于 Amazon ECR 存储库中被配置持续扫描的容器映像将在 Amazon Inspector 控制台或 API 中配置的持续时间内进行扫描。映像推送日期的可用重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天、180 天或生命周期。映像拉取日期的重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天或 180 天。

 

  • 激活 Amazon Inspector ECR 扫描后,Amazon Inspector 仅选取过去 30 天内推送或拉取的映像进行扫描,但在配置的推送和拉取日期重新扫描持续时间(即 90 天[默认值]、14 天、60 天、30 天、180 天或生命周期)内持续扫描它们。如果映像的推送日期小于配置的“推送日期重新扫描持续时间”,并且映像已在配置的“拉取日期重新扫描持续时间”内拉取,则将继续监控容器映像,并在发布影响映像的新 CVE 时开始自动重新扫描。例如,激活 Amazon Inspector ECR 扫描时,Amazon Inspector 将拉取过去 30 天内推送或拉取的映像进行扫描。但是,激活后,如果您选择 180 天的推送和拉取日期重新扫描持续时间,Amazon Inspector 将继续扫描在过去 180 天内推送的映像或在过去 180 天内至少拉取过一次的映像。如果映像在过去 180 天内没有被推送或拉取过,Amazon Inspector 将停止对其进行监测。
  • 激活 Amazon Inspector ECR 扫描后推送到 ECR 的所有映像都将在“推送日期重新扫描持续时间”和“拉取日期重新扫描持续时间”中配置的持续时间内被持续扫描。映像推送日期的可用重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天、180 天或生命周期。映像拉取日期的重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天或 180 天。自动重新扫描持续时间是根据容器映像的上次推送或拉取日期计算得出的。例如,在激活 Amazon Inspector ECR 扫描后,如果您选择 180 天的推送日期和拉取日期重新扫描持续时间配置,Amazon Inspector 将继续扫描在过去 180 天内推送的映像或在过去 180 天内至少拉取过一次的映像。但是,如果映像在过去 180 天内没有被推送或拉取过,Amazon Inspector 将停止对其进行监测。
  • 如果映像处于“扫描资格已过期”状态,您可以对其进行拉取,以将其重新置于 Amazon Inspector 监测下。将在从上次拉取日期配置的推送和拉取日期重新扫描持续时间内持续扫描映像。
  • 对于 Amazon EC2 实例:能,可以通过添加资源标签将 EC2 实例排除在扫描范围之外。您可以使用密钥 ‘InspectorEc2Exclusion’,值为 <optional>。
  • 对于位于 Amazon ECR 中的容器映像:能。尽管您可以选择配置哪些 Amazon ECR 存储库进行扫描,但是系统将扫描存储库内的所有镜像。您可以创建包含规则,来选择应该扫描哪些存储库。
  • 对于 Lambda 函数:能,可以通过添加资源标签将 Lambda 函数排除在扫描范围之外。对于标准扫描,请使用密钥“InspectorExclusion”和值“LambdaStandardScanning”。要进行代码扫描,请使用密钥“InspectorCodeExclusion”和值“LambdaCodeScanning”。

在多账户结构中,您可以通过委派管理员(DA)账户从 Amazon Inspector 控制台或 API 为您在 AWS 组织内的所有账户激活 Amazon Inspector for Lambda 漏洞评估,其他成员账户则可以在中央安全团队尚未为他们激活 Amazon Inspector 时为各自的账户执行此操作。不属于 AWS 组织的账户可以通过 Amazon Inspector 控制台或 API 为其个人账户激活 Amazon Inspector。

Amazon Inspector 将仅持续监控和评估 $LATEST 版本。自动重新扫描将仅针对最新版本继续进行,因此只会为最新版本生成新发现。在控制台中,您可以通过从下拉列表中选择版本来查看任何版本的结果。

不能。您有两种选择:要么单独激活 Lambda 标准扫描,要么同时启用 Lambda 标准扫描和代码扫描。Lambda 标准扫描为作为 Lambda 函数和关联层部署的应用程序中使用的易受攻击的依赖项提供基本的安全保护。Lambda 代码扫描可以在 Lambda 函数中扫描您的自定义专有应用程序代码以查找代码安全漏洞(例如注入缺陷、数据泄漏、弱加密或嵌入式机密),从而进一步提高安全价值。

更改 SSM 目录收集频率的原定设置可能会影响扫描的连续性。Amazon Inspector 依靠 SSM Agent 收集应用程序目录来生成结果。如果延长应用程序目录持续时间的原定设置 30 分钟,这将延迟对应用程序目录变更的检测,并延迟新结果。

Amazon Inspector 风险评分是一个高度情境化的评分,系统通过将通用漏洞和暴露(CVE)信息与网络可达性结果、可利用性数据和社交媒体趋势关联,对每个结果生成该评分。这使您更容易对结果进行优先排序,并专注于最重要的结果和有漏洞的资源。您可以查看如何计算 Inspector 风险评分,以及哪些因素影响了结果详细信息侧面板中 Inspector 评分选项中的评分。

示例:在您的 Amazon EC2 实例中存在已识别的新 CVE, 该 CVE 只能远程使用。如果 Amazon Inspector 持续网络可达性扫描还发现无法通过网络访问该实例,Amazon Inspector 就会发现漏洞的利用性太低。因此,Amazon Inspector 将扫描结果与 CVE 相关联,以向下调整风险评分,更准确地反映 CVE 对该特定实例的影响。

Amazon Inspector 分数 严重性
0 信息性公告
0.2–3.9
4.0–6.9 中型
7.0–8.9
9.0–10.0 关键

Amazon Inspector 允许您根据您设定的自定义标准禁止结果。您可以为您的企业认为可接受的结果创建禁止规则。

您只需在 Amazon Inspector 控制台中执行几个步骤或使用 Amazon Inspector API,即可生成多种格式(CSV 或 JSON)的报告。您可以下载包含所有结果的完整报告,或者根据控制台中设置的视图筛选器生成并下载自定义报告。

不能。您有两种选择:要么单独激活 Lambda 标准扫描,要么同时启用 Lambda 标准扫描和代码扫描。Lambda 标准扫描为作为 Lambda 函数和关联层部署的应用程序中使用的易受攻击的依赖项提供基本的安全保护。Lambda 代码扫描可以在 Lambda 函数中扫描您的自定义专有应用程序代码以查找代码安全漏洞(例如注入缺陷、数据泄漏、弱加密或嵌入式机密),从而进一步提高安全价值。

只需在 Amazon Inspector 控制台中或通过 Amazon Inspector API 执行几个步骤,就能以多种格式(CyclonedX 或 SPDX)为使用 Amazon Inspector 监控的所有资源生成和导出 SBOM。您可以使用 SBOM 下载所有资源的完整报告,也可以根据设置的视图筛选条件有选择地生成和下载一些选定资源的 SBOM。

对于使用单个账户的现有 Amazon Inspector 客户,您可以通过访问 Amazon Inspector 控制台内的“账户管理”页面或使用 API 来启用无代理扫描(预览版)。

对于使用 AWS Organizations 的现有 Amazon Inspector 客户,您的委派管理员需要将整个组织完全迁移到无代理解决方案,或者继续专门使用基于 SSM Agent 的解决方案。您可以从控制台中的“EC2 设置”页面或通过 API 更改扫描模式配置。

对于新的 Amazon Inspector 客户,在无代理扫描预览期间,启用 EC2 扫描时将以基于代理的扫描模式扫描实例。如果需要,您可以切换到混合扫描模式。在混合扫描模式下,Amazon Inspector 依靠 SSM Agent 进行应用程序清单收集来执行漏洞评测,并自动对未安装或配置 SSM Agent 的实例进行无代理扫描。

对于标记为无代理扫描(预览版)的实例,Amazon Inspector 将每 24 小时自动触发一次扫描。对于标记为基于 SSM Agent 的扫描的实例,连续扫描行为不会发生变化。 

您只需访问 Amazon Inspector 控制台中的资源覆盖范围页面或使用 Amazon Inspector 覆盖范围 API,即可在“监控使用”列中查看扫描模式。 

不可以,在多账户设置中,只有委派管理员才能为整个组织设置扫描模式配置。

应用程序和平台团队可以使用专为各种 CI/CD 工具(例如 Jenkins 和 TeamCity)设计的专用 Amazon Inspector 插件,将 Amazon Inspector 集成到其构建管道中。这些插件可在各个 CI/CD 工具的市场中找到。安装插件后,您可以在管道中添加一个步骤来执行容器映像的评测并执行操作,例如根据评测结果阻止管道。当评测中发现漏洞时,就会生成可操作的安全调查发现。这些调查发现包括漏洞详细信息、修复建议和可利用性详细信息。它们以 JSON 和 CSV 格式返回到 CI/CD 工具,可以通过 Amazon Inspector 插件将其转换为人类可读的控制面板,也可以由团队下载。

不,只要您有活跃的 AWS 账户,就无需启用 Amazon Inspector 来使用此功能。

符合。Amazon Inspector 使用 SSM Agent 收集应用程序目录,可以将其设置为 Amazon Virtual Private Cloud (VPC) 端点,避免在互联网上发送信息。

您可以在此处找到支持的操作系统(OS)列表。

您可以在此处找到支持的编程语言资源包列表。

符合。Amazon Inspector 自动支持使用 NAT 的实例。

符合。有关更多信息,请参阅如何配置 SSM Agent 以使用代理

Amazon Inspector 与 Amazon EventBridge 集成提供事件通知,例如新结果、结果状态变更、或禁止规则创建。Amazon Inspector 还与 AWS CloudTrail 集成,用于调用日志记录。

符合。您可以运行 Amazon Inspector,针对整个 AWS 组织中的 Amazon EC2 实例的操作系统级 CIS 配置基准进行按需和有针对性的评测。

符合。有关更多信息,请参阅 Amazon Inspector 合作伙伴

符合。您可以通过停用 Amazon Inspector 服务来停用所有扫描类型(Amazon EC2 扫描、Amazon ECR 容器镜像扫描和 Lambda 函数扫描),也可以单独为一个账户停用每种扫描类型。

不可以。Amazon Inspector 不支持暂停状态。