Amazon Inspector의 결과 유형

Amazon Inspector는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon Elastic Container Registry(Amazon ECR) 리포지토리의 컨테이너 이미지 및 AWS Lambda 함수에 대한 결과를 생성합니다. Amazon Inspector는 다음과 같은 유형의 결과를 생성할 수 있습니다.

패키지 취약성

패키지 취약성 결과는 사용자 AWS 환경에서 일반적인 취약성 및 노출(CVE)에 표시된 소프트웨어 패키지를 식별합니다. 공격자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. CVE 시스템은 공개적으로 알려진 정보 보안 취약성 및 노출도에 대한 참조 방법입니다. 자세한 내용은 https://www.cve.org/를 참조하세요.

Linux용 CVE 탐지는 공급업체 보안 권고에 따라 발표된 후 24시간 이내에 Amazon Inspector에 추가됩니다. Windows용 CVE 탐지는 Microsoft에서 발표한 후 48시간 이내에 Amazon Inspector에 추가됩니다. 아마존 인스펙터 취약성 데이터베이스 검색을 사용하여 CVE 탐지가 지원되는지 확인할 수 있습니다.

Amazon Inspector는 EC2 인스턴스, ECR 컨테이너 이미지 및 Lambda 함수에 대한 패키지 취약성 탐지 결과를 생성할 수 있습니다. 패키지 취약성 결과에는 이 결과 유형에만 적용되는 추가 세부 정보가 있는데, 바로 Inspector 점수 및 취약성 인텔리전스입니다.

코드 취약성

코드 취약성 결과는 공격자가 악용할 수 있는 코드 라인을 식별합니다. 코드 취약성에는 주입 결함, 데이터 유출, 취약한 암호화, 코드의 암호화 누락 등이 있습니다.

Amazon Inspector는 애플리케이션 코드의 전반적인 보안 규정 준수를 분석하는 자동 추론 및 기계 학습을 사용하여 Lambda 함수 애플리케이션 코드를 평가합니다. 또한 Amazon CodeGuru와 공동으로 개발한 내부 탐지기를 기반으로 정책 위반 및 취약성을 식별합니다. 가능한 탐지 목록은 CodeGuru 탐지기 라이브러리를 참조하세요.

중요

Amazon Inspector 코드 스캔은 코드 스니펫을 캡처하여 탐지된 취약성을 강조 표시합니다. 이러한 스니펫에는 하드코딩된 보안 인증 또는 기타 민감한 자료가 일반 텍스트로 표시될 수 있습니다.

Amazon Inspector Lambda 코드 스캔이 활성화된 경우 Amazon Inspector는 Lambda 함수에 대한 코드 취약성 결과를 생성할 수 있습니다.

코드 취약성과 관련하여 발견된 코드 스니펫은 CodeGuru 서비스에 저장됩니다. 기본적으로 CodeGuru에서 제어하는 AWS 소유 키가 코드를 암호화하는 데 사용되지만, Amazon Inspector API를 통해 고객이 관리하는 자체 키를 암호화에 사용할 수도 있습니다. 자세한 내용은 결과 코드에 대한 저장 중 암호화 섹션을 참조하세요.

네트워크 연결성

네트워크 연결성 결과는 사용자 환경에 Amazon EC2 인스턴스에 대한 오픈 네트워크 경로가 있음을 나타냅니다. 이러한 결과는 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN 등의 VPC 엣지에서 TCP 및 UDP 포트에 연결할 수 있는 경우에 나타납니다. 이러한 결과는 잘못 관리된 보안 그룹, 액세스 제어 목록 또는 인터넷 게이트웨이와 같이 지나치게 허용적인 네트워크 구성이나 잠재적으로 악의적인 액세스를 허용할 수 있는 네트워크 구성을 강조합니다.

Amazon Inspector는 Amazon EC2 인스턴스에 대한 네트워크 연결성 결과만 생성합니다. Amazon Inspector는 24시간마다 네트워크 연결성 결과에 대한 스캔을 수행합니다.

Amazon Inspector는 네트워크 경로를 스캔할 때 다음 구성을 평가합니다.

• Amazon EC2 인스턴스

• AWS Lambda 함수

• Application Load Balancers

• Direct Connect

• Elastic Load Balancer

• 탄력적 네트워크 인터페이스

• 인터넷 게이트웨이

• 네트워크 액세스 제어 목록

• 라우팅 테이블

• 보안 그룹

• 서브넷

• 가상 프라이빗 클라우드

• 가상 프라이빗 게이트웨이

• VPC 엔드포인트

• 게이트웨이 VPC 엔드포인트

• VPC 피어링 연결

• VPN 연결