一般性问题
问:什么是 Amazon Inspector?
Amazon Inspector 是一项自动化漏洞管理服务,可近乎实时地持续扫描 Amazon Elastic Compute Cloud(EC2)、Amazon Lambda 函数以及 Amazon ECR 中的容器映像以及持续集成和持续交付(CI/CD)工具中的软件漏洞和意外网络暴露。
问:Amazon Inspector 有哪些主要优势?
Amazon Inspector 支持您一步跨所有账户部署 Amazon Inspector,从而消除了与部署和配置漏洞管理解决方案相关的运营开销。其他优势包括:
- 自动化发现和持续扫描,可提供近乎实时漏洞调查发现
- 通过设置委派管理员(DA)账户,对组织的所有账户进行集中管理、配置和查看调查发现
- 针对每个调查发现提供高度情境化且有意义的 Amazon Inspector 风险评分,帮助您设置更准确的响应优先级
- 直观的 Amazon Inspector 控制面板,可近乎实时地显示覆盖率指标,包括账户、Amazon EC2 实例、Lambda 函数以及 Amazon ECR 和 CI/CD 工具中的容器映像。
- 通过无缝扫描 EC2 实例,在基于代理和无代理的扫描(预览版)之间切换,最大限度地提高漏洞评测覆盖范围。
- 集中管理所有监测资源的软件物料清单(SBOM)导出。
- 与 Amazon Security Hub 和 Amazon EventBridge 集成,实现工作流和票证路由的自动化
问:Amazon Inspector 有哪些主要功能?
- 专为扩展而构建:Amazon Inspector 是专为扩展和动态云环境构建的。一次可以扫描的实例或映像数量没有限制。
- 支持容器映像和 Lambda 函数:Amazon Inspector 还可以扫描位于 Amazon ECR 中、CI/CD 工具内和 Lambda 函数中的容器映像是否存在软件漏洞。与容器相关的调查发现将被推送至 Amazon ECR 控制台。
- 支持多账户管理:Amazon Inspector 与 Amazon Organizations 集成,允许您为组织委派 Amazon Inspector 管理员账户。该委派管理员(DA)账户是一个集中账户,将合并所有调查发现,并且可以配置所有成员账户。
- Amazon Systems Manager Agent:Amazon Inspector 利用广泛部署的 Amazon Systems Manager Agent (SSM Agent),消除了这种需求。
- 自动化持续扫描:Amazon Inspector 可自动检测所有新启动的 Amazon EC2 实例、Lambda 函数和推送至 Amazon ECR 的有效容器映像,并立即扫描它们是否存在软件漏洞和意外网络暴露。如果发生可能会引入新的漏洞的事件,系统会自动重新扫描涉及的资源。会启动重新扫描资源的事件包括在 EC2 实例中安装新包、安装补丁,以及发布影响该资源的新的常见漏洞和暴露(CVE)时。
- Amazon Inspector 风险评分:Amazon Inspector 通过将最新的 CVE 信息与时间和环境因素(如网络可访问性和可利用性信息)相关联,计算出 Inspector 风险评分,然后添加上下文,从而帮助确定您的调查发现的优先级。
- 漏洞评测覆盖范围:Amazon Inspector 通过无缝扫描 EC2 实例以及在基于代理和无代理扫描(预览版)之间切换来增强漏洞评测。
- 软件物料清单(SBOM)导出:Amazon Inspector 集中管理和导出所有监测资源的 SBOM。
问:我可以在同一个账户中同时使用 Amazon Inspector 和 Amazon Inspector Classic 吗?
是的,您可以在同一个账户中同时使用这两种服务。
问:适用于 Amazon ECR 的 Amazon Inspector 容器映像扫描服务与基于 Amazon ECR Clair 的解决方案有何不同?
| Amazon Inspector 容器映像扫描 | 基于 Amazon ECR Clair 的解决方案 | |
|---|---|---|
扫描引擎 |
Amazon Inspector 是 Amazon 开发的一项漏洞管理服务,内置对 Amazon ECR 中的容器映像的支持 |
Amazon ECR 提供了一个托管式开源 Clair 项目作为基本的扫描解决方案 |
资源包覆盖范围 |
识别操作系统(OS)资源包和编程语言(如 Python、Java 和 Ruby)资源包中的漏洞 |
仅识别 OS 资源包中的软件漏洞 |
扫描频率 |
提供持续扫描和推送时扫描 |
仅提供推送时扫描 |
| 漏洞情报 | 提供增强的漏洞情报,例如漏洞是否可用于 CVE 并在资源包版本修复指导中修复 |
仅提供有关软件漏洞的基本信息 |
调查发现 |
可在 Amazon Inspector 和 ECR 控制台以及 Amazon Inspector 和 Amazon ECR 应用程序编程接口(API)和软件开发工具包(SDK)中查看调查发现 |
可在 Amazon ECR 控制台和 Amazon ECR API 和 SDK 中查看调查发现 |
漏洞评分 |
提供情境化 Inspector 评分以及美国国家漏洞数据库(NVD)和供应商的通用漏洞评分系统(CVSS)v2 和 v3 评分 |
仅提供 CVSS v2 评分 |
Amazon Web Services 服务集成 |
已与 Amazon Security Hub、Amazon Organizations 和 Amazon EventBridge 集成 |
没有与其他 Amazon Web Services 服务的内置集成 |
问:Amazon Inspector 如何定价?
如需了解完整的定价详情,请参阅 Amazon Inspector 定价页面。
问:Amazon Inspector 是否提供免费试用版?
Amazon Inspector 的所有新账户均有资格获得 15 天的免费试用,用于评估服务及估计成本。试用期间,可免费持续扫描推送到 Amazon ECR 的所有合格的 Amazon EC2 实例、Amazon Lambda 函数和容器映像。您也可以在 Amazon Inspector 控制台查看预计支出。
开始使用
问:如何开始使用?
您只需在 Amazon Web Services 管理控制台中执行几个步骤,即可为您的整个组织或个人账户激活 Amazon Inspector。激活后,Amazon Inspector 会自动发现正在运行的 Amazon EC2 实例、Lambda 函数和 Amazon ECR 存储库,并立即开始持续扫描工作负载中是否存在软件漏洞和意外网络暴露。如果您是第一次使用 Amazon Inspector,将获得 15 天免费试用。
问:Amazon Inspector 调查发现是什么?
Amazon Inspector 调查发现是潜在的安全漏洞。例如,Amazon Inspector 检测软件漏洞或开放至计算资源的网络路径时,Amazon Inspector 会创建安全调查发现。
问:我能使用 Amazon Organizations 结构管理 Amazon Inspector 吗?
可以。Amazon Inspector 已与 Amazon Organizations 集成。您可以为 Amazon Inspector 配置 DA 账户,该账户作为 Amazon Inspector 的主管理员账户,可用于对其进行集中管理和配置。DA 账户可以集中查看并管理 Amazon 组织所有账户的调查发现。
问:我如何委派 Amazon Inspector 服务的管理员?
Amazon Organizations 管理账户可在 Amazon Inspector 控制台中或通过使用 Amazon Inspector API 为 Amazon Inspector 分配 DA 账户。
问:我是否必须激活特定的扫描类型(即 Amazon EC2 扫描、Lambda 函数扫描或 Amazon ECR 容器映像扫描)?
如果您是第一次启动 Amazon Inspector,则默认会激活所有扫描类型,包括 EC2 扫描、Lambda 扫描和 ECR 容器映像扫描。但是,您可以在组织的所有账户中停用其中任何一个或所有这些类型。现有用户可以在 Amazon Inspector 控制台中或使用 Amazon Inspector API 激活新功能。
问:我是否需要代理来使用 Amazon Inspector?
不,无需代理即可进行扫描。对于 Amazon EC2 实例的漏洞扫描,您可以为基于代理的解决方案使用 Amazon Systems Manager Agent(SSM Agent)。如果您没有部署或配置 SSM Agent,Amazon Inspector 还提供无代理扫描(预览版)。评测 Amazon EC2 实例的网络可访问性、容器映像的漏洞扫描或 Lambda 函数的漏洞扫描时,不需要代理。
问:如何安装和配置 Amazon Systems Manager Agent?
为了成功扫描 Amazon EC2 实例的软件漏洞,Amazon Inspector 要求使用 Amazon Systems Manager 和 SSM Agent 来管理这些实例。请参阅 Amazon Systems Manager 用户指南中的 Systems Manager 先决条件,了解如何激活和配置 Amazon Systems Manager。有关托管式实例的信息,请参阅《Amazon Systems Manager 用户指南》中的“托管式实例”部分。
问:如何知道哪些 Amazon ECR 存储库配置了扫描? 如何管理应配置哪些存储库进行扫描?
Amazon Inspector 支持配置包含规则,以选择扫描哪些 ECR 存储库。可在 ECR 控制台中的注册设置页面或使用 ECR API 创建并管理包含规则。匹配包含规则的 ECR 存储库针对扫描进行了配置。存储库的详细扫描状态在 ECR 和 Amazon Inspector 控制台中可见。
使用 Amazon Inspector
问:我如何知道我的资源是否正在被主动扫描?
Amazon Inspector 控制面板中的环境覆盖范围面板显示 Amazon Inspector 正在主动扫描的账户指标、Amazon EC2 实例、Lambda 函数和 ECR 存储库。每个实例和映像的扫描状态:正在扫描或不在扫描。“正在扫描”状态表示资源正被近乎实时地持续扫描。“不在扫描”状态表示尚未执行初始扫描,操作系统不受支持,或扫描受阻。
问:多久执行一次自动化重新扫描?
所有扫描都会根据事件自动执行。对于所有工作负载,在发现时,先进行初始扫描,然后进行重新扫描。
- 对于 Amazon EC2 实例:对于基于 SSM 代理的扫描,在实例中安装或卸载新软件资源包时,发布新的 CVE 时,以及更新有漏洞的资源包后,开始重新扫描(以确认是否有其他漏洞)。对于无代理扫描,每 24 小时进行一次扫描。
- 对于 Amazon ECR 容器映像:当影响映像的新 CVE 发布时,开始自动化重新扫描合格的容器映像。容器映像的自动化重新扫描将在 Amazon Inspector 控制台或 API 中配置的持续时间内继续进行。可用配置为 30 天(默认值)、14 天、60 天、90 天、180 天或生命周期。该持续时间是根据容器映像的上次推送或拉取日期计算的。
- 对于 Lambda 函数:所有新的 Lambda 函数在发现时都会进行初步评测,并在 Lambda 函数更新或发布新 CVE 时不断重新评测。
问:用 Amazon Inspector 重新持续扫描容器映像需要多长时间?
- 激活 Amazon Inspector ECR 扫描后,Amazon Inspector 仅选取过去 30 天内推送或拉取的映像进行扫描,但在配置的持续时间(即 30 天[默认值]、14 天、60 天、90 天、180 天或生命周期)内持续扫描它们。持续重新扫描持续时间是根据容器映像的上次推送或拉取日期计算得出的。例如,激活 Amazon Inspector ECR 扫描时,Amazon Inspector 将选取过去 30 天内推送或拉取的映像进行扫描。但是,激活后,如果您选择 180 天的重新扫描持续时间,Amazon Inspector 将继续扫描在过去 180 天内推送的映像或在过去 180 天内至少拉取过一次的映像。如果映像在过去 180 天内没有被推送或拉取过,Amazon Inspector 将停止对其进行监测。
- 激活 Amazon Inspector ECR 扫描后推送到 ECR 的所有映像都会在配置的持续时间(即 30 天[默认值]、14 天、60 天、90 天、180 天或生命周期)内被持续扫描。自动重新扫描持续时间是根据容器映像的上次推送或拉取日期计算得出的。例如,在激活 Amazon Inspector ECR 扫描后,如果您选择 180 天的重新扫描持续时间,Amazon Inspector 将继续扫描在过去 180 天内推送的映像或在过去 180 天内至少拉取过一次的映像。但是,如果映像在过去 180 天内没有被推送或拉取过,Amazon Inspector 将停止对其进行监测。
- 如果映像处于“扫描资格已过期”状态,您可以对其进行拉取,以将其重新置于 Amazon Inspector 监测下。将在从上次拉取日期配置的重新扫描持续时间内持续扫描映像。
问:我能否将我的资源排除在扫描范围之外?
- 对于 Amazon EC2 实例:能,通过添加资源标签可以将 EC2 实例排除在扫描范围之外。您可以使用密钥“InspectorEc2Exclusion”,值为 <optional>。
- 对于位于 Amazon ECR 中的容器映像:能。尽管您可以选择配置哪些 Amazon ECR 存储库进行扫描,但是系统将扫描存储库内的所有映像。您可以创建包含规则来选择应该扫描哪些存储库。
- 对于 Lambda 函数:能,可以通过添加资源标签将 Lambda 函数排除在扫描范围之外。对于标准扫描,请使用密钥“InspectorExclusion”和值“LambdaStandardScanning”。要进行代码扫描,请使用密钥“InspectorCodeExclusion”和值“LambdaCodeScanning”。
问:如何使用 Amazon Inspector 评测我的 Lambda 函数是否存在安全漏洞?
在多账户结构中,您可以通过委派管理员(DA)账户从 Amazon Inspector 控制台或 API 为您在 Amazon 组织内的所有账户激活 Amazon Inspector for Lambda 漏洞评测,其他成员账户则可以在中央安全团队尚未为他们激活 Amazon Inspector 时为各自的账户执行此操作。不属于 Amazon 组织的账户可以通过 Amazon Inspector 控制台或 API 为其个人账户激活 Amazon Inspector。
问:如果 Lambda 函数有多个版本,Amazon Inspector 会评测哪个版本?
Amazon Inspector 将仅持续监测和评测 $LATEST 版本。自动重新扫描将仅针对最新版本继续进行,因此只会为最新版本生成新的调查发现。在控制台中,您可以通过从下拉列表中选择版本来查看任何版本的调查发现。
问:我能否在不激活 Lambda 标准扫描的情况下激活 Lambda 代码扫描?
不能。您有两种选择:要么单独激活 Lambda 标准扫描,要么同时启用 Lambda 标准扫描和代码扫描。Lambda 标准扫描为作为 Lambda 函数和关联层部署的应用程序中使用的易受攻击的依赖项提供基本的安全保护。Lambda 代码扫描可以在 Lambda 函数中扫描您的自定义专有应用程序代码,以查找代码安全漏洞(例如注入缺陷、数据泄漏、弱加密或嵌入式机密),从而进一步提高安全价值。
问:将 SSM 目录收集频率从默认的 30 分钟更改为 12 小时对 Amazon Inspector 的连续扫描有何影响?
更改 SSM 目录收集频率的原定设置可能会影响扫描的连续性。Amazon Inspector 依靠 SSM Agent 收集应用程序目录来生成调查发现。如果延长应用程序目录持续时间的默认设置(30 分钟),将延迟对应用程序目录变更的检测,并延迟新的调查发现。
问:Amazon Inspector 的风险评分是多少?
Amazon Inspector 风险评分是一个高度情境化的评分,系统通过将通用漏洞和暴露(CVE)信息与网络可访问性结果、可利用性数据和社交媒体趋势关联,对每个调查发现生成该评分。这使您可以更轻松地对调查发现进行优先级排序,并专注于最重要的调查发现和易受攻击的资源。您可以在“调查发现详细信息”侧面板中的“Inspector 评分”选项中查看 Inspector 风险评分的计算方式以及影响评分的因素。
示例:在您的 Amazon EC2 实例中存在已识别的新 CVE,该 CVE 只能远程使用。如果 Amazon Inspector 持续网络可访问性扫描还发现无法通过网络访问该实例,Amazon Inspector 就会发现利用该漏洞的可能性较低。因此,Amazon Inspector 将扫描结果与 CVE 相关联,向下调整风险评分,以更准确地反映 CVE 对该特定实例的影响。
问:如何确定调查发现的严重程度?
| Amazon Inspector 评分 | 严重程度 |
|---|---|
| 0 | 参考性 |
| 0.2–3.9 | 低 |
| 4.0–6.9 | 中等 |
| 7.0–8.9 | 高 |
| 9.0–10.0 | 严重 |
问:如何使用禁止规则?
Amazon Inspector 允许您根据您设定的自定义标准禁止调查发现。您可以为组织认为可接受的调查发现创建禁止规则。
问:如何导出调查发现,包括哪些调查发现?
您只需在 Amazon Inspector 控制台中执行几个步骤或使用 Amazon Inspector API,即可生成多种格式(CSV 或 JSON)的报告。您可以下载包含所有调查发现的完整报告,或者根据控制台中设置的视图筛选器生成并下载自定义报告。
问:我能否在不激活 Lambda 标准扫描的情况下激活 Lambda 代码扫描?
不能。您有两种选择:要么单独激活 Lambda 标准扫描,要么同时启用 Lambda 标准扫描和代码扫描。Lambda 标准扫描为作为 Lambda 函数和关联层部署的应用程序中使用的易受攻击的依赖项提供基本的安全保护。Lambda 代码扫描可以在 Lambda 函数中扫描您的自定义专有应用程序代码,以查找代码安全漏洞(例如注入缺陷、数据泄漏、弱加密或嵌入式机密),从而进一步提高安全价值。
问:如何为我的资源导出 SBOM,其中包含哪些内容?
只需在 Amazon Inspector 控制台中或通过 Amazon Inspector API 执行几个步骤,就能以多种格式(CycloneDx 或 SPDX)为使用 Amazon Inspector 监测的所有资源生成和导出 SBOM。您可以使用 SBOM 下载所有资源的完整报告,也可以根据设置的视图筛选条件有选择地生成和下载一些选定资源的 SBOM。
问:如何为我的账户启用无代理扫描?
对于使用单个账户的现有 Amazon Inspector 客户,您可以通过访问 Amazon Inspector 控制台内的“账户管理”页面或使用 API 来启用无代理扫描(预览版)。
对于使用 Amazon Organizations 的现有 Amazon Inspector 客户,您的委派管理员需要将整个组织完全迁移到无代理解决方案,或者继续专门使用基于 SSM Agent 的解决方案。您可以从控制台中的“EC2 设置”页面或通过 API 更改扫描模式配置。
对于新的 Amazon Inspector 客户,在无代理扫描预览期间,启用 EC2 扫描时将以基于代理的扫描模式扫描实例。如果需要,您可以切换到混合扫描模式。在混合扫描模式下,Amazon Inspector 依靠 SSM Agent 进行应用程序清单收集来执行漏洞评测,并自动对未安装或配置 SSM Agent 的实例进行无代理扫描。
问:无代理扫描的频率是多少?
对于标记为无代理扫描(预览版)的实例,Amazon Inspector 将每 24 小时自动触发一次扫描。对于标记为基于 SSM Agent 的扫描的实例,持续扫描行为不会发生变化。
问:当我使用混合扫描模式进行 EC2 扫描时,在哪里可以查看哪些实例正在使用代理扫描,哪些实例正在使用无代理扫描?
您只需访问 Amazon Inspector 控制台中的资源覆盖范围页面或使用 Amazon Inspector 覆盖范围 API,即可在“监控使用”列中查看扫描模式。
问:多账户设置中的成员账户是否可以修改各自账户的 EC2 扫描扫描模式?
不可以,在多账户设置中,只有委派管理员才能为整个组织设置扫描模式配置。
问:如何将 Amazon Inspector 集成到我的 CI/CD 工具中以进行容器映像扫描?
应用程序和平台团队可以使用专为各种 CI/CD 工具(例如 Jenkins 和 TeamCity)设计的专用 Amazon Inspector 插件,将 Amazon Inspector 集成到其构建管道中。这些插件可在各个 CI/CD 工具的市场中找到。安装插件后,您可以在管道中添加一个步骤来执行容器映像的评测并执行操作,例如根据评测结果阻止管道。当评测中发现漏洞时,就会生成可操作的安全调查发现。这些调查发现包括漏洞详细信息、修复建议和可利用性详细信息。它们以 JSON 和 CSV 格式返回到 CI/CD 工具,可以通过 Amazon Inspector 插件将其转换为人类可读的控制面板,也可以由团队下载。
问:我是否需要启用 Amazon Inspector 才能使用 Amazon Inspector CI/CD 集成进行容器映像扫描?
不,只要您有活跃的 Amazon 账户,就无需启用 Amazon Inspector 来使用此功能。
问:我可以通过将 Amazon Inspector 设置为 VPC 端点来扫描我的私有 Amazon EC2 实例吗?
可以。可以。Amazon Inspector 使用 SSM Agent 收集应用程序目录,可以将其设置为 Amazon Virtual Private Cloud(VPC)端点,避免在互联网上发送信息。
问:Amazon Inspector 支持哪些操作系统?
您可以在此处找到受支持操作系统(OS)的列表。
问:Amazon Inspector 支持使用哪些编程语言资源包进行容器映像扫描?
您可以在此处找到支持的编程语言资源包的列表。
问:Amazon Inspector 可以与使用网络地址转换(NAT)的实例配合使用吗?
可以。Amazon Inspector 自动支持使用 NAT 的实例。
问:我的实例使用代理。Amazon Inspector 会与这些实例配合使用吗?
会。有关更多信息,请参阅如何配置 SSM Agent 以使用代理。
问:Amazon Inspector 可以与其他 Amazon 服务集成来进行日志记录和提供通知吗?
Amazon Inspector 与 Amazon EventBridge 集成提供事件通知,例如新的调查发现、调查发现状态变更或禁止规则创建。Amazon Inspector 还与 Amazon CloudTrail 集成,用于调用日志记录。
问:我可以停用 Amazon Inspector 吗?
可以。您可以通过停用 Amazon Inspector 服务来停用所有扫描类型(Amazon EC2 扫描、Amazon ECR 容器映像扫描和 Lambda 函数扫描),也可以单独为一个账户停用每种扫描类型。
问:我可以暂停 Amazon Inspector 吗?
不可以。Amazon Inspector 不支持暂停状态。
