Linux 기반 Amazon 인스턴스에 대한 Amazon Inspector 심층 검사 EC2 - Amazon Inspector
심층 검사 액세스 또는 비활성화Linux용 Amazon Inspector SSM 플러그인 정보Amazon Inspector 심층 검사를 위한 사용자 지정 경로Amazon Inspector 심층 검사를 위한 사용자 지정 일정지원되는 프로그래밍 언어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Linux 기반 Amazon 인스턴스에 대한 Amazon Inspector 심층 검사 EC2

Amazon Inspector는 Amazon EC2 스캔 범위를 확장하여 심층 검사를 포함합니다. Amazon Inspector는 심층 검사를 통해 Linux 기반 Amazon EC2 인스턴스의 애플리케이션 프로그래밍 언어 패키지에 대한 패키지 취약성을 감지합니다. Amazon Inspector는 프로그래밍 언어 패키지 라이브러리의 기본 경로를 스캔합니다. 하지만 Amazon Inspector가 기본적으로 스캔하는 경로 외에도 사용자 지정 경로를 구성할 수 있습니다.

참고

기본 호스트 관리 구성 설정에서 심층 검사를 사용할 수 있습니다. 하지만 인스턴스 프로파일을 생성하고 ssm:PutInventoryssm:GetParameter 권한을 연결해야 합니다.

Amazon Inspector는 Linux 기반 Amazon EC2 인스턴스에 대한 심층 검사 스캔을 수행하기 위해 Amazon Inspector SSM 플러그인으로 수집된 데이터를 사용합니다. Amazon Inspector SSM 플러그인을 관리하고 Linux에 대한 심층 검사를 수행하기 위해 Amazon Inspector는 InvokeInspectorLinuxSsmPlugin-do-not-delete 계정에 SSM 연결을 자동으로 생성합니다. Amazon Inspector는 Linux 기반 Amazon EC2 인스턴스에서 6시간마다 업데이트된 애플리케이션 인벤토리를 수집합니다.

참고

에 대한 심층 검사는 지원되지 않습니다.Windows 또는 Mac 인스턴스.

이 섹션에서는 Amazon Inspector가 스캔할 사용자 지정 경로를 설정하는 방법을 포함하여 Amazon EC2 인스턴스에 대한 Amazon Inspector 심층 검사를 관리하는 방법을 설명합니다.

심층 검사 액세스 또는 비활성화

참고

2023년 4월 17일 이후에 Amazon Inspector를 활성화하는 계정의 경우 Amazon EC2 스캔의 일부로 심층 검사가 자동으로 활성화됩니다.

심층 검사를 관리하려면

  1. 자격 증명을 사용하여 로그인한 다음 https://console.aws.amazon.com/inspector/v2/home에서 Amazon Inspector 콘솔을 엽니다.

  2. 탐색 창에서 일반 설정 을 선택한 다음 Amazon EC2 스캔 설정을 선택합니다.

  3. Amazon EC2 인스턴스 에 대한 심층 검사에서 조직 또는 자체 계정 에 대한 사용자 지정 경로를 설정할 수 있습니다.

GetEc2DeepInspectionConfiguration 가 있는 단일 계정에 대해 프로그래밍 방식으로 활성화 상태를 확인할 수 있습니다API. 를 사용하여 여러 계정에 대해 프로그래밍 방식으로 활성화 상태를 확인할 수 있습니다. BatchGetMemberEc2DeepInspectionStatus API.

2023년 4월 17일 이전에 Amazon Inspector를 활성화한 경우 콘솔 배너 또는 UpdateEc2DeepInspectionConfiguration API. Amazon Inspector 에서 조직의 위임된 관리자인 경우 BatchUpdateMemberEc2DeepInspectionStatus API 를 사용하여 자신과 멤버 계정에 대한 심층 검사를 활성화합니다.

를 통해 심층 검사를 비활성화할 수 있습니다. UpdateEc2DeepInspectionConfiguration API. 조직의 멤버 계정으로는 심층 검사를 비활성화할 수 없습니다. 대신 를 사용하여 위임된 관리자가 멤버 계정을 비활성화해야 합니다. BatchUpdateMemberEc2DeepInspectionStatus API.

Linux용 Amazon Inspector SSM 플러그인 정보

Amazon Inspector는 Amazon Inspector SSM 플러그인을 사용하여 Linux 인스턴스에 대한 심층 검사를 수행합니다. Amazon Inspector SSM 플러그인은 /opt/aws/inspector/bin 디렉터리의 Linux 인스턴스에 자동으로 설치됩니다. 실행 파일의 이름은 inspectorssmplugin입니다.

Amazon Inspector는 Systems Manager Distributor를 사용하여 인스턴스에 플러그인을 배포합니다. 심층 검사 스캔을 수행하려면 Systems Manager Distributor 및 Amazon Inspector가 Amazon EC2 인스턴스 운영 체제를 지원해야 합니다. Systems Manager Distributor가 지원하는 운영 체제에 대한 자세한 내용은 AWS Systems Manager 사용 설명서지원되는 패키지 플랫폼 및 아키텍처를 참조하세요.

Amazon Inspector는 Amazon Inspector SSM 플러그인의 심층 검사를 위해 수집된 데이터를 관리하기 위해 다음 파일 디렉터리를 생성합니다.

  • /opt/aws/inspector/var/input

  • /opt/aws/inspector/var/output - 이 디렉터리의 packages.txt 파일은 심층 검사가 발견한 패키지에 대한 전체 경로를 저장합니다. Amazon Inspector가 인스턴스에서 동일한 패키지를 여러 번 감지하면 packages.txt 파일에 패키지가 발견된 각 위치가 나열됩니다.

Amazon Inspector는 플러그인에 대한 로그를 /var/log/amazon/inspector 디렉터리에 저장합니다.

Amazon Inspector SSM 플러그인 제거

inspectorssmplugin 파일이 실수로 삭제된 경우 SSM 연결InspectorLinuxDistributor-do-not-delete은 다음 스캔 간격으로 inspectorssmplugin 파일을 다시 설치하려고 시도합니다.

Amazon EC2 스캔을 비활성화하면 플러그인이 모든 Linux 호스트에서 자동으로 제거됩니다.

Amazon Inspector 심층 검사를 위한 사용자 지정 경로

Linux Amazon 인스턴스에 대한 심층 검사 중에 Amazon Inspector가 스캔하도록 사용자 지정 경로를 설정할 수 있습니다. EC2 사용자 지정 경로를 설정하면 Amazon Inspector는 해당 디렉터리의 패키지와 해당 디렉터리의 모든 하위 디렉터리를 스캔합니다.

모든 계정은 최대 5개의 사용자 지정 경로를 정의할 수 있습니다. 조직의 위임된 관리자는 10개의 사용자 지정 경로를 정의할 수 있습니다.

Amazon Inspector는 다음 기본 경로 외에도 모든 사용자 지정 경로를 스캔합니다. Amazon Inspector는 모든 계정을 검색합니다.

  • /usr/lib

  • /usr/lib64

  • /usr/local/lib

  • /usr/local/lib64

참고

사용자 지정 경로는 로컬 경로여야 합니다. Amazon Inspector는 Network File System 마운트 또는 Amazon S3 파일 시스템 마운트와 같은 매핑된 네트워크 경로를 스캔하지 않습니다.

사용자 지정 경로 형식 지정

사용자 지정 경로는 256자를 초과할 수 없습니다. 다음은 사용자 지정 경로가 어떻게 보일 수 있는지 보여주는 검사입니다.

예제 경로

/home/usr1/project01

참고

인스턴스당 패키지 제한은 5,000입니다. 최대 패키지 인벤토리 수집 시간은 15분입니다. Amazon Inspector는 이러한 제한을 피하기 위해 사용자 지정 경로를 선택하는 것이 좋습니다.

Amazon Inspector 콘솔 및 Amazon Inspector를 사용하여 사용자 지정 경로 설정 API

다음 절차에서는 Amazon Inspector 콘솔과 Amazon Inspector 를 사용하여 Amazon Inspector 심층 검사를 위한 사용자 지정 경로를 설정하는 방법을 설명합니다API. 사용자 지정 경로를 설정한 후 Amazon Inspector는 다음 심층 검사에 경로를 포함합니다.

Console

  1. 위임된 관리자 AWS Management Console 로 에 로그인하고 https://console.aws.amazon.com/inspector/v2/home에서 Amazon Inspector 콘솔을 엽니다.

  2. AWS 리전 선택기를 사용하여 Lambda 표준 스캔을 활성화할 리전을 선택합니다.

  3. 탐색 창에서 일반 설정 을 선택한 다음 EC2 스캔 설정 을 선택합니다.

  4. 자체 계정의 사용자 지정 경로에서 편집을 선택합니다.

  5. 경로 텍스트 상자에 사용자 지정 경로를 입력합니다.

  6. 저장(Save)을 선택합니다.

API

를 실행합니다. UpdateEc2DeepInspectionConfiguration 명령. packagePaths의 경우 스캔할 경로 배열을 지정합니다.

Amazon Inspector 심층 검사를 위한 사용자 지정 일정

기본적으로 Amazon Inspector는 6시간마다 Amazon EC2 인스턴스에서 애플리케이션 인벤토리를 수집합니다. 그러나 다음 명령을 실행하여 Amazon Inspector가 이 작업을 수행하는 빈도를 제어할 수 있습니다.

예제 명령 1: 연결 ID 및 현재 간격을 보기 위한 연결 나열

다음 명령은 연결 의 연결 ID를 보여줍니다InvokeInspectorLinuxSsmPlugin-do-not-delete.

aws ssm list-associations \
--association-filter-list "key=AssociationName,value=InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--region your-Region

예제 명령 2: 새 간격을 포함하도록 연결 업데이트

다음 명령은 연결 에 대한 연결 ID를 사용합니다InvokeInspectorLinuxSsmPlugin-do-not-delete. 의 속도를 6시간schedule-expression에서 12시간과 같은 새 간격으로 설정할 수 있습니다.

aws ssm update-association \
--association-id "your-association-ID" \
--association-name "InvokeInspectorLinuxSsmPlugin-do-not-delete" \
--schedule-expression "rate(6 hours)" \
--region your-Region
참고

사용 사례에 따라 의 속도를 6시간schedule-expression에서 30분과 같은 간격으로 설정하면 일일 ssm 인벤토리 제한 을 초과할 수 있습니다. 이로 인해 결과가 지연되고 일부 오류 상태가 있는 Amazon EC2 인스턴스가 발생할 수 있습니다.

지원되는 프로그래밍 언어

Linux 인스턴스의 경우 Amazon Inspector 심층 검사는 애플리케이션 프로그래밍 언어 패키지 및 운영 체제 패키지에 대한 결과를 생성할 수 있습니다.

Mac 및 Windows 인스턴스의 경우 Amazon Inspector 심층 검사는 운영 체제 패키지에 대한 조사 결과만 생성할 수 있습니다.

지원되는 프로그래밍 언어에 대한 자세한 내용은 지원되는 프로그래밍 언어: Amazon EC2 심층 검사 를 참조하세요.