Amazon Inspector 시작하기 - Amazon Inspector

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector 시작하기

이 자습서에서는 Amazon Inspector에 대한 실습 소개를 제공합니다.

1단계에서는 독립 실행형 계정에 대해 또는 다중 계정 환경에서 Amazon Inspector 위임 관리자로서 Amazon Inspector 스캔을 활성화하는 방법을 다룹니다. AWS Organizations

2단계에서는 콘솔에서 Amazon Inspector 결과를 이해하는 방법을 다룹니다.

참고

이 자습서에서는 현재 상태에서 작업을 완료합니다. AWS 리전다른 리전에서 Amazon Inspector를 설정하려면 해당 리전마다 이러한 단계를 완료해야 합니다.

시작하기 전 준비 사항

Amazon Inspector는 Amazon EC2 인스턴스, Amazon ECR 컨테이너 이미지 AWS Lambda 및 함수를 지속적으로 스캔하여 소프트웨어 취약성 및 의도하지 않은 네트워크 노출을 찾아내는 취약성 관리 서비스입니다.

Amazon Inspector를 활성화하기 전에 다음 사항을 참고하세요.

  • Amazon Inspector는 지역 서비스이며, 데이터는 서비스를 사용하는 AWS 리전 곳에 저장됩니다. Amazon Inspector로 모니터링하려는 각 구성 절차에서 이 자습서에서 AWS 리전 완료하는 모든 구성 절차를 반복해야 합니다.

  • Amazon Inspector는 Amazon EC2 인스턴스, Amazon ECR 컨테이너 이미지 및 함수 스캔을 활성화할 수 있는 유연성을 제공합니다. AWS Lambda 스캔 유형은 Amazon Inspector 콘솔의 계정 관리 페이지에서 또는 Amazon Inspector API를 사용하여 관리할 수 있습니다.

  • Amazon Inspector는 Amazon EC2 Systems Manager(SSM) 에이전트가 설치되어 활성화된 경우에만 EC2 인스턴스에 대해 일반적인 취약성 및 노출(CVE) 데이터를 제공할 수 있습니다. 이 에이전트는 많은 EC2 인스턴스에 사전 설치되어 있지만 수동으로 활성화해야 할 수도 있습니다. SSM 에이전트 상태에 관계없이 모든 EC2 인스턴스를 스캔하여 네트워크 노출 문제를 찾아냅니다. Amazon EC2 스캔 구성에 대한 자세한 내용은 Amazon EC2 인스턴스 스캔 섹션을 참조하세요. Amazon ECR 및 AWS Lambda 함수 스캔에는 에이전트를 사용할 필요가 없습니다.

  • 관리자 권한이 있는 IAM 사용자 ID는 Amazon Inspector를 AWS 계정 활성화할 수 있습니다. 데이터 보호를 위해 자격 증명을 보호하고 AWS IAM Identity Center OR AWS Identity and Access Management (IAM) 를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 각 사용자에게 Amazon Inspector를 관리하는 데 필요한 권한만 부여됩니다. Amazon Inspector를 활성화하는 데 필요한 권한에 대한 자세한 내용은 AWS 관리형 정책: AmazonInspector2FullAccess 섹션을 참조하세요.

  • 어느 리전에서든 Amazon Inspector를 처음으로 활성화하면 AWSServiceRoleForAmazonInspector2 계정에 대해 전역적으로 서비스 연결 역할이 생성됩니다. 이 역할에는 Amazon Inspector를 통해 소프트웨어 패키지 세부 정보를 수집하고 Amazon VPC 구성을 분석하여 취약성 결과를 생성할 수 있는 권한 및 신뢰 정책이 포함됩니다. 자세한 정보는 Amazon Inspector에 서비스 연결 역할 사용을 참조하세요. 서비스 연결 역할에 대한 자세한 내용은 서비스 연결 역할 사용을 참조하세요.

1단계: Amazon Inspector 활성화

Amazon Inspector를 사용하기 위한 첫 번째 단계는 AWS 계정에서 활성화하는 것입니다. Amazon Inspector 스캔 유형을 활성화하면 Amazon Inspector에서 즉시 적합한 모든 리소스를 검색하고 스캔하기 시작합니다.

중앙 집중식 관리자 계정을 통해 조직 내 여러 계정에 대해 Amazon Inspector를 관리하려면 Amazon Inspector에 대한 위임 관리자를 할당해야 합니다. 사용 환경에 맞게 Amazon Inspector를 활성화하는 방법을 알아보려면 다음 옵션 중 하나를 선택합니다.

Standalone account environment
  1. Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.

  2. 시작하기를 선택합니다.

  3. Amazon Inspector 활성화를 선택합니다.

독립 실행형 계정에서 Amazon Inspector를 활성화하면 기본적으로 모든 스캔 유형이 활성화됩니다. 활성화된 스캔 유형은 Amazon Inspector 콘솔의 계정 관리 페이지에서 관리하거나 Amazon Inspector API를 사용하여 관리할 수 있습니다. Amazon Inspector가 활성화되면 적합한 모든 리소스가 자동으로 검색되고 스캔됩니다. 다음 스캔 유형 정보를 검토하여 기본적으로 적합한 리소스를 파악하세요.

Amazon EC2 스캔

EC2 인스턴스에 대한 일반적인 취약성 및 노출 (CVE) 데이터를 제공하려면 Amazon Inspector에서 Systems AWS Manager (SSM) 에이전트를 설치하고 활성화해야 합니다. 이 에이전트는 많은 EC2 인스턴스에 사전 설치되어 있지만 수동으로 활성화해야 할 수도 있습니다. SSM 에이전트 상태에 관계없이 모든 EC2 인스턴스를 스캔하여 네트워크 노출 문제를 찾아냅니다. Amazon EC2 스캔 구성에 대한 자세한 내용은 Amazon Inspector로 Amazon EC2 인스턴스 스캔 섹션을 참조하세요.

Amazon ECR 스캔

Amazon ECR 스캔을 활성화하면 Amazon Inspector는 Amazon ECR에서 제공하는 기본 스캔을 수행하도록 구성된 프라이빗 레지스트리 내의 모든 컨테이너 리포지토리를 연속 스캔 기능을 갖춘 고급 스캔으로 변환합니다. 푸시할 때만 스캔하거나 포함 규칙을 통해 일부 리포지토리를 스캔하도록 이 설정을 선택적으로 구성할 수도 있습니다. 지난 30일 이내에 푸시된 모든 이미지는 전체 기간 스캔으로 예약되며, 이 Amazon ECR 스캔 설정은 언제든지 변경할 수 있습니다. Amazon ECR 스캔 구성에 대한 자세한 내용은 Amazon Inspector로 Amazon ECR 컨테이너 이미지 스캔 섹션을 참조하세요.

AWS Lambda 함수 스캔

AWS Lambda 함수 스캔을 활성화하면 Amazon Inspector는 계정에서 Lambda 함수를 발견하고 즉시 취약성 검사를 시작합니다. Amazon Inspector는 새로운 Lambda 함수와 계층이 배포될 때 스캔을 수행하며, 해당 함수와 계층이 업데이트되거나 새로운 일반 취약성 및 노출(CVE)이 발표될 때 재스캔을 수행합니다. Amazon Inspector는 두 가지 수준의 Lambda 함수 스캔을 제공합니다. Amazon Inspector를 처음 활성화하면 기본적으로 함수의 패키지 종속성을 스캔하는 Lambda 표준 스캔이 활성화됩니다. 또한 Lambda 코드 스캔을 활성화하여 함수의 개발자 코드에서 코드 취약성을 검사할 수도 있습니다. Lambda 함수 스캔 구성에 대한 자세한 내용은 Amazon AWS Lambda Inspector를 사용한 스캔 기능 섹션을 참조하세요.

Multi-account environment
중요

이 단계를 완료하려면 관리하려는 모든 계정과 동일한 조직에 속해 있어야 하며, 조직 내 Amazon Inspector 관리자를 위임할 수 있도록 AWS Organizations 관리 계정에 대한 액세스 권한이 있어야 합니다. 관리자를 위임하려면 추가 권한이 필요할 수 있습니다. 자세한 정보는 위임 관리자를 지정하는 데 필요한 권한을 참조하세요.

참고

여러 리전의 여러 계정에 대해 Amazon Inspector를 프로그래밍 방식으로 활성화하려면 Amazon Inspector에서 개발한 쉘 스크립트를 사용할 수 있습니다. 이 스크립트 사용에 대한 자세한 내용은 inspector2-on을 참조하십시오. enablement-with-cli GitHub

Amazon Inspector 관리자 위임

  1. 관리 계정에 로그인합니다. AWS Organizations

  2. Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.

  3. 위임된 관리자 창에서 조직의 Amazon Inspector 위임 관리자로 지정하려는 12자리 ID를 입력합니다. AWS 계정 그런 다음 삭제를 선택합니다. 그런 다음 확인 창에서 위임을 선택합니다.

    참고

    관리자를 위임하면 계정에 대해 Amazon Inspector가 활성화됩니다.

멤버 계정 추가

위임 관리자는 Organizations 관리 계정과 연결된 모든 멤버에 대한 스캔을 활성화할 수 있습니다. 이 워크플로우는 모든 멤버 계정의 모든 스캔 유형을 활성화합니다. 그러나 멤버가 본인 계정에 대해 Amazon Inspector를 활성화하거나, 위임 관리자가 선택적으로 서비스 스캔을 활성화할 수 있습니다. 자세한 정보는 다중 계정 관리을 참조하세요.

  1. 위임 관리자 계정에 로그인합니다.

  2. Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.

  3. 탐색 창에서 계정 관리를 선택합니다. 계정 테이블에 Organizations 관리 계정과 관련된 모든 멤버 계정이 표시됩니다.

  4. 계정 관리 페이지에서 상단 배너의 모든 계정에 대한 스캔 활성화를 선택하여 EC2 인스턴스, ECR 컨테이너 이미지 및 조직 내 모든 계정에 대한 AWS Lambda 함수 스캔을 활성화할 수 있습니다. 또는 계정 테이블에서 멤버로 추가할 계정을 선택할 수도 있습니다. 그런 다음 활성화 메뉴에서 모든 스캔을 선택합니다.

  5. (선택 사항) 새 멤버 계정에 대해 Inspector 자동 활성화 기능을 켜고 포함할 스캔 유형을 선택하여 조직에 추가된 새 멤버 계정에 대해 해당 스캔을 활성화합니다.

Amazon Inspector는 현재 EC2 인스턴스, ECR 컨테이너 이미지 및 함수에 대한 스캔을 제공합니다. AWS Lambda Amazon Inspector를 활성화하면 적합한 모든 리소스가 자동으로 검색되고 스캔됩니다. 다음 스캔 유형 정보를 검토하여 기본적으로 적합한 리소스를 파악하세요.

Amazon EC2 스캔

EC2 인스턴스에 대한 CVE 취약성 데이터를 제공하려면 Amazon Inspector에서 AWS Systems Manager (SSM) 에이전트를 설치하고 활성화해야 합니다. 이 에이전트는 많은 EC2 인스턴스에 사전 설치되어 있지만 수동으로 활성화해야 할 수도 있습니다. SSM 에이전트 상태에 관계없이 모든 EC2 인스턴스를 스캔하여 네트워크 노출 문제를 찾아냅니다. Amazon EC2 스캔 구성에 대한 자세한 내용은 Amazon Inspector로 Amazon EC2 인스턴스 스캔 섹션을 참조하세요.

Amazon ECR 스캔

Amazon ECR 스캔을 활성화하면 Amazon Inspector는 Amazon ECR에서 제공하는 기본 스캔을 수행하도록 구성된 프라이빗 레지스트리 내의 모든 컨테이너 리포지토리를 연속 스캔 기능을 갖춘 고급 스캔으로 변환합니다. 푸시할 때만 스캔하거나 포함 규칙을 통해 일부 리포지토리를 스캔하도록 이 설정을 선택적으로 구성할 수도 있습니다. 지난 30일 이내에 푸시된 모든 이미지는 전체 기간 스캔으로 예약됩니다. 이 Amazon ECR 스캔 설정은 위임 관리자가 언제든지 변경할 수 있습니다. Amazon ECR 스캔 구성에 대한 자세한 내용은 Amazon Inspector로 Amazon ECR 컨테이너 이미지 스캔 섹션을 참조하세요.

AWS Lambda 함수 스캔

AWS Lambda 함수 스캔을 활성화하면 Amazon Inspector는 계정에서 Lambda 함수를 발견하고 즉시 취약성 검사를 시작합니다. Amazon Inspector는 새로운 Lambda 함수와 계층이 배포될 때 스캔을 수행하며, 해당 함수와 계층이 업데이트되거나 새로운 일반 취약성 및 노출(CVE)이 발표될 때 재스캔을 수행합니다. Lambda 함수 스캔 구성에 대한 자세한 내용은 Amazon AWS Lambda Inspector를 사용한 스캔 기능 섹션을 참조하세요.

2단계: Amazon Inspector 결과 보기

사용 환경에 대한 결과는 Amazon Inspector 콘솔 또는 API를 통해 확인할 수 있습니다. 모든 조사 결과는 Amazon EventBridge 및 AWS Security Hub (활성화된 경우) 에도 푸시됩니다. 또한 컨테이너 이미지 결과는 Amazon ECR로 푸시됩니다.

Amazon Inspector 콘솔은 결과에 대해 여러 가지 보기 형식을 제공합니다. Amazon Inspector 대시보드에서는 환경에 미치는 위험에 대한 전반적인 개요를 확인할 수 있고, 결과 테이블에서는 특정 결과에 대한 세부 정보를 확인할 수 있습니다.

이 단계에서는 결과 테이블과 결과 대시보드를 사용하여 결과에 대한 세부 정보를 살펴봅니다. Amazon Inspector 대시보드에 대한 자세한 내용은 대시보드 이해 섹션을 참조하세요.

Amazon Inspector 콘솔에서 환경에 대한 조사 결과의 세부 정보를 보려면:

  1. Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.

  2. 탐색 창에서 대시보드를 선택합니다. 대시보드의 링크 중 하나를 선택하면 Amazon Inspector 콘솔에서 해당 항목에 대한 자세한 정보가 있는 페이지로 이동할 수 있습니다.

  3. 탐색 창에서 결과를 선택합니다.

  4. 기본적으로 모든 결과 탭이 표시됩니다. 이 탭에는 모든 EC2 인스턴스, ECR 컨테이너 이미지, 사용자 환경에 대한 AWS Lambda 함수 검색 결과가 표시됩니다.

  5. 결과 목록의 제목 열에서 결과 이름을 선택하여 해당 결과에 대한 세부 정보 창을 엽니다. 모든 결과에는 결과 세부 정보 탭이 있습니다. 다음과 같은 방법으로 결과 세부 정보 탭과 상호 작용할 수 있습니다.

    • 취약성에 대한 자세한 내용을 보려면 취약성 세부 정보 섹션의 링크를 따라 이동하여 해당 취약성에 대한 설명서를 엽니다.

    • 리소스를 더 자세히 조사하려면 영향을 받는 리소스 섹션의 리소스 ID 링크를 따라 이동하여 영향을 받는 리소스의 서비스 콘솔을 엽니다.

    또한 패키지 취약성 유형 결과에는 Inspector 점수 및 취약성 인텔리전스 탭이 있으며, 이 탭에서는 해당 결과에 대한 Amazon Inspector 점수 계산 방법을 설명하고 해당 결과와 관련된 일반적인 취약성 및 악용(CVE)에 대한 정보를 제공합니다. 결과 유형에 대한 자세한 내용은 Amazon Inspector의 결과 유형 섹션을 참조하세요.