概览
Amazon Inspector 是一项漏洞管理服务,可持续扫描计算工作负载是否存在软件漏洞和意外的网络暴露。只需在 Amazon Web Services 管理控制台中执行几个步骤,您就可以在组织的所有账户中使用 Amazon Inspector。启动该服务后,它会大规模自动发现 Amazon Elastic Compute Cloud(EC2)实例、驻留在 Amazon Elastic Container Registry(ECR)以及持续集成和持续交付(CI/CD)工具中的容器映像以及 Amazon Lambda 函数,并立即开始评测它们是否存在已知漏洞。
Amazon Inspector 通过将常见漏洞和暴露(CVE)信息与网络访问和可利用性等因素关联起来,计算每个调查发现的高度情境化风险评分。该评分用于确定最关键漏洞的优先级,以提高修复响应效率。所有调查发现都会汇总在 Amazon Inspector 控制台中,并推送到 Amazon Security Hub 和 Amazon EventBridge 以实现工作流程自动化。容器映像中发现的漏洞也会发送到 Amazon ECR 供资源所有者查看和修复。Amazon Inspector 有助于任何规模的安全团队和开发人员在其 Amazon Web Services 环境中实现全面的基础设施工作负载安全性和合规性。
主要功能
Amazon Inspector 是一项全面的漏洞管理服务,涵盖各种资源,例如 Amazon EC2、Lambda 函数和容器工作负载。它可以识别不同类型的漏洞(包括软件漏洞和意外的网络暴露),这些漏洞可能被用来攻击工作负载、将资源重新用于恶意用途或促进数据泄露。
只需在 Amazon Inspector 控制台中执行一个步骤或执行一次 API 调用即可跨多个账户启动 Amazon Inspector。通过 Amazon Inspector,您可以为您的组织分配 Inspector 委派管理员(DA)账户,该账户可以无缝启动和配置所有成员账户,并整合所有调查发现。
启动后,Amazon Inspector 会自动发现 Amazon ECR 中的所有 Amazon EC2 实例、Lambda 函数和容器映像。它会立即启动软件漏洞和意外网络暴露扫描。当发布新的 CVE 或工作负载发生变化(包括在 EC2 实例中安装新软件)时,会不断重新扫描所有工作负载。
Amazon Inspector 使用广泛部署的 Systems Manager Agent(SSM Agent)从 Amazon EC2 实例收集软件清单和配置。收集的应用程序清单和配置用于评测工作负载是否存在漏洞。
Amazon Inspector 可以持续监测您的 Amazon EC2 实例的软件漏洞,无需安装代理或其他软件。Amazon Inspector 可拍摄 EBS 卷的快照,以提取有关系统和实例配置的数据来执行漏洞评测。借助此功能,您可以通过 Amazon Inspector 对未安装或配置 SSM 代理的 EC2 实例(预览版)进行无代理扫描,从而扩大整个 EC2 基础设施的漏洞评测覆盖范围。
Amazon Inspector 支持根据您定义的标准禁止调查发现。您可以创建这些禁止规则来禁止您的组织认定为可接受风险的调查发现。
Amazon Inspector 通过将 CVE 信息与网络可访问性结果和可利用性数据等环境因素相关联,为每个调查发现生成高度情境化的 Amazon Inspector 风险评分。这有助于确定调查发现的优先顺序,并突出最重要的调查发现和易受攻击的资源。可以在“调查发现详细信息”侧面板的“Amazon Inspector 评分”选项卡中查看 Amazon Inspector 评分计算(以及影响评分的因素)。
Amazon Inspector 会自动检测漏洞是否已修补或修复。一旦检测到这种情况,它就会自动将调查发现的状态更改为“已关闭”,无需人工干预。
Amazon Inspector 提供全面、近乎实时的全组织环境覆盖范围概览,使您可以避免覆盖范围中存在空白。它提供有关账户、Amazon EC2 实例、Amazon ECR 存储库以及 Amazon Inspector 主动扫描的容器映像的指标和详细信息。此外,它还会突出显示未主动监测的资源,并就如何纳入这些资源提供指导。
所有调查发现都在 Amazon Inspector 控制台中汇总,路由到 Amazon Security Hub,并通过 Amazon EventBridge 推送实现票证等工作流程的自动化。
Amazon Inspector 根据 Amazon Web Services 安全最佳实践扫描 Lambda 函数内的自定义专有应用程序代码,以查找诸如注入缺陷、数据泄漏、弱加密或缺失加密等代码安全漏洞。在检测到 Lambda 函数或层中的代码漏洞后,Amazon Inspector 会生成可操作的安全调查发现,其中提供了多项详细信息,例如安全检测器名称、受影响的代码片段以及解决漏洞的补救措施建议。Amazon Inspector 使用生成式人工智能和自动化推理,为多类漏洞提供上下文代码补丁,从而减少修复代码漏洞所需的工作量。通过解决基础层的漏洞,您可以帮助提高所有下游 Lambda 函数的安全性。
Amazon Inspector 提供软件物料清单(SBOM)导出的自动化和集中管理。它可以轻松地将所有监测资源的整合 SBOM 导出到预配置的 Amazon S3 存储桶,从而支持行业标准格式。您可以下载 SBOM 工件、执行 Amazon Athena 查询或创建 Amazon QuickSight 控制面板来获取有价值的见解并直观呈现趋势。
Amazon Inspector 与 Jenkins 和 TeamCity 等开发人员工具集成,以进行容器映像评测。它有助于开发人员在这些 CI/CD 工具中评测其容器映像,从而在软件开发生命周期的早期阶段就关注安全性。这些调查发现在 CI/CD 工具的控制面板中提供。通过它们,您可以立即采取自动化操作来响应关键安全问题,例如阻止构建或将映像推送到容器注册表。您的 CI/CD 工具可以托管在 Amazon Web Services、本地或混合云中的任何位置,从而使开发人员以一致方式在所有开发管道中使用单一解决方案。
