Amazon Inspector로 Amazon EC2 인스턴스 스캔 - Amazon Inspector
에이전트 기반 스캔에이전트 없는 스캔스캔 모드 관리Amazon Inspector 스캔에서 인스턴스 제외지원되는 운영 체제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector로 Amazon EC2 인스턴스 스캔

Amazon EC2용 Amazon Inspector 에이전트 없는 스캔은 미리 보기로 출시되었습니다. 에이전트 없는 Amazon EC2 스캔 기능 사용에는 AWS 서비스 약관 섹션 2('베타 및 미리 보기')가 적용됩니다.

Amazon Inspector EC2 스캔은 EC2 인스턴스에서 메타데이터를 추출한 다음, 이 메타데이터를 보안 권고에서 수집한 규칙과 비교하여 조사 결과를 생성합니다. Amazon Inspector는 인스턴스에서 패키지 취약성과 네트워크 연결 문제를 스캔합니다. 이러한 문제에 대해 생성되는 결과 유형에 대한 자세한 내용은 Amazon Inspector의 결과 유형 섹션을 참조하세요.

Amazon Inspector는 24시간마다 한 번씩 네트워크 연결성 스캔을 수행하는 반면, 패키지 취약성 스캔은 인스턴스와 관련된 스캔 방법에 따라 다양한 빈도로 수행됩니다.

스캔 방법

패키지 취약성 스캔은 에이전트 기반 또는 에이전트 없음 스캔 방법을 사용하여 수행할 수 있습니다. 이러한 스캔 방법은 Amazon Inspector가 패키지 취약성 스캔을 위해 EC2 인스턴스에서 소프트웨어 인벤토리를 수집하는 방법과 시기를 결정합니다. '에이전트 기반' 방법은 SSM 에이전트를 사용하여 소프트웨어 인벤토리를 수집하는 반면, '에이전트 없음' 방법은 에이전트 대신 Amazon EBS 스냅샷을 사용합니다.

Amazon Inspector에서 사용하는 스캔 방법은 계정의 스캔 모드 설정에 따라 달라집니다. 자세한 내용은 스캔 모드 관리 섹션을 참조하세요.

Amazon EC2 스캔을 활성화하려면 스캔 유형 활성화 섹션을 참조하세요.

에이전트 기반 스캔

에이전트 기반 스캔은 모든 적격 인스턴스에서 SSM 에이전트를 사용하여 연속으로 수행됩니다. 에이전트 기반 스캔의 경우 Amazon Inspector는 SSM 연결 및 이러한 연결을 통해 설치된 플러그인을 사용하여 인스턴스에서 소프트웨어 인벤토리를 수집합니다. Amazon Inspector 에이전트 기반 검사는 운영 체제 패키지에 대한 패키지 취약성 스캔뿐 아니라 Amazon EC2 Linux 인스턴스에 대한 Amazon Inspector 심층 검사를 통해 Linux 기반 인스턴스의 애플리케이션 프로그래밍 언어 패키지에 대한 패키지 취약성 탐지도 가능합니다.

다음 프로세스는 Amazon Inspector에서 SSM을 사용하여 인벤토리를 수집하고 에이전트 기반 스캔을 수행하는 방법을 설명합니다.

  1. Amazon Inspector는 계정에 SSM 연결을 생성하여 인스턴스에서 인벤토리를 수집합니다. 일부 인스턴스 유형(Windows 및 Linux)의 경우 이러한 연결이 개별 인스턴스에 플러그인을 설치하여 인벤토리를 수집합니다.

  2. Amazon Inspector는 SSM을 사용하여 인스턴스에서 패키지 인벤토리를 추출합니다.

  3. Amazon Inspector는 추출된 인벤토리를 평가하고 탐지된 취약성에 대한 조사 결과를 생성합니다.

적격 인스턴스

Amazon Inspector는 다음 조건을 충족하는 경우 에이전트 기반 방법을 사용하여 인스턴스를 스캔합니다.

  • 인스턴스에는 지원되는 OS가 있습니다. 지원되는 OS 목록은 지원되는 운영 체제: Amazon EC2 스캔에이전트 기반 스캔 지원 열을 참조하세요.

  • Amazon Inspector EC2 제외 태그로 인해 스캔에서 인스턴스가 제외되지 않습니다.

  • 인스턴스가 SSM 관리형입니다. 에이전트를 확인하고 구성하는 방법은 SSM 에이전트 구성 섹션을 참조하세요.

에이전트 기반 스캔 동작

에이전트 기반 스캔 방법을 사용할 때 Amazon Inspector는 다음과 같은 경우에 EC2 인스턴스에 대한 새로운 취약성 스캔을 시작합니다.

  • 새 EC2 인스턴스를 시작하는 경우

  • 기존 EC2 인스턴스에 새 소프트웨어를 설치하는 경우(Linux 및 Mac)

  • Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 EC2 인스턴스와 관련이 있는 경우(Linux 및 Mac)

Amazon Inspector는 초기 스캔이 완료되면 EC2 인스턴스의 마지막 스캔 필드를 업데이트합니다. 이후 Amazon Inspector가 SSM 인벤토리를 평가할 때(기본적으로 30분마다) 또는 해당 인스턴스에 영향을 미치는 새 CVE가 Amazon Inspector 데이터베이스에 추가되어 인스턴스를 다시 스캔할 때 마지막 스캔 필드가 업데이트됩니다.

EC2 인스턴스의 취약성을 마지막으로 스캔한 시기는 계정 관리 페이지의 인스턴스 탭에서 또는 ListCoverage 명령을 사용하여 확인할 수 있습니다.

SSM 에이전트 구성

Amazon Inspector에서 에이전트 기반 스캔 방법을 사용하여 Amazon EC2 인스턴스의 소프트웨어 취약성을 탐지하려면 해당 인스턴스가 Amazon EC2 Systems Manager(SSM)의 관리형 인스턴스여야 합니다. SSM 관리형 인스턴스에는 SSM 에이전트가 설치되어 실행 중이며 SSM에는 인스턴스 관리 권한이 있습니다. 이미 SSM을 사용하여 인스턴스를 관리하고 있는 경우 에이전트 기반 스캔을 위해 다른 단계가 필요하지 않습니다.

SSM 에이전트는 일부 Amazon Machine Images(AMI)에서 생성된 EC2 인스턴스에 기본적으로 설치됩니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 SSM 에이전트 정보를 참조하세요. 하지만 설치되어 있더라도 SSM 에이전트를 수동으로 활성화하고 SSM에 인스턴스 관리 권한을 부여해야 할 수 있습니다.

다음 절차에서는 IAM 인스턴스 프로파일을 사용하여 Amazon EC2 인스턴스를 관리형 인스턴스로 구성하는 방법에 대해 설명합니다. 이 절차에는 AWS Systems Manager 사용 설명서의 자세한 정보로 연결되는 링크도 제공됩니다.

AmazonSSMManagedInstanceCore는 인스턴스 프로파일을 연결할 때 권장되는 정책입니다. 이 정책에는 Amazon Inspector EC2 스캔에 필요한 모든 권한이 포함되어 있습니다.

참고

IAM 인스턴스 프로파일을 사용하지 않고 SSM 기본 호스트 관리 구성을 사용하여 모든 EC2 인스턴스의 SSM 관리를 자동화할 수도 있습니다. 자세한 내용은 기본 호스트 관리 구성을 참조하세요.

Amazon EC2 인스턴스에 대해 SSM을 구성하려면

  1. 운영 체제 공급업체에서 아직 설치하지 않은 경우 SSM 에이전트를 설치합니다. 자세한 내용은 SSM 에이전트 작업을 참조하세요.

  2. AWS CLI 를 사용하여 SSM 에이전트가 실행 중인지 확인할 수 있습니다. 자세한 내용은 SSM 에이전트 상태 확인 및 에이전트 시작을 참조하세요.

  3. SSM에 인스턴스 관리 권한을 부여합니다. IAM 인스턴스 프로파일을 생성한 후 이를 인스턴스에 연결하여 권한을 부여할 수 있습니다. Amazon Inspector에서 스캔하는 데 필요한 SSM Distributor, SSM Inventory 및 SSM State Manager에 대한 권한이 포함되어 있는 AmazonSSMManagedInstanceCore 정책을 사용하는 것이 좋습니다. 이러한 권한으로 인스턴스 프로파일을 생성하고 이를 인스턴스에 연결하는 방법에 대한 지침은 Systems Manager에 대한 인스턴스 권한 구성을 참조하세요.

  4. (선택 사항) SSM 에이전트에 대한 자동 업데이트를 활성화합니다. 자세한 내용은 SSM 에이전트 업데이트 자동화를 참조하세요.

  5. (선택 사항) Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 사용하도록 Systems Manager를 구성합니다. 자세한 내용은 Amazon VPC 엔드포인트 생성을 참조하세요.

중요

Amazon Inspector에서 소프트웨어 애플리케이션 인벤토리를 수집하려면 계정에 Systems Manager State Manager 연결이 필요합니다. 해당 연결이 없는 경우 Amazon Inspector에서 자동으로 InspectorInventoryCollection-do-not-delete라는 연결을 생성합니다.

또한 리소스 데이터 동기화도 필요하며, 아직 없는 경우 Amazon Inspector에서 자동으로 InspectorResourceDataSync-do-not-delete라는 동기화를 생성합니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 인벤토리의 리소스 데이터 동기화 구성을 참조하세요. 각 계정에는 리전당 리소스 데이터 동기화 수를 설정할 수 있습니다. 자세한 내용은 SSM 엔드포인트의 최대 리소스 데이터 동기화 수 ( AWS 계정 지역당) 를 참조하십시오. 이 최대값에 도달한 경우 리소스 데이터 동기화를 삭제해야 합니다(리소스 데이터 동기화 관리 참조).

스캔을 위해 생성된 SSM 리소스

Amazon Inspector에서 Amazon EC2 스캔을 실행하려면 계정에 여러 SSM 리소스가 필요합니다. Amazon Inspector EC2 스캔을 처음 활성화하면 다음과 같은 리소스가 생성됩니다.

참고

Amazon Inspector Amazon EC2 스캐닝이 사용자 계정에 대해 활성화되어 있는 동안 이러한 SSM 리소스가 하나라도 삭제되면 Amazon Inspector는 다음 스캔 간격으로 해당 리소스를 다시 생성하려고 시도합니다.

InspectorInventoryCollection-do-not-delete

Amazon Inspector가 Amazon EC2 인스턴스에서 소프트웨어 애플리케이션 인벤토리를 수집할 때 사용하는 Systems Manager State Manager(SSM) 연결입니다. InstanceIds*에서 인벤토리를 수집하기 위한 SSM 연결이 계정에 이미 있는 경우 Amazon Inspector에서 자체적으로 생성하는 대신 해당 SSM 연결이 사용됩니다.

InspectorResourceDataSync-do-not-delete

Amazon Inspector가 Amazon EC2 인스턴스에서 수집된 인벤토리 데이터를 Amazon Inspector가 소유한 Amazon S3 버킷으로 보낼 때 사용하는 리소스 데이터 동기화입니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 인벤토리의 리소스 데이터 동기화 구성을 참조하세요.

InspectorDistributor-do-not-delete

Amazon Inspector에서 Windows 인스턴스를 스캔하는 데 사용하는 SSM 연결입니다. 이 연결은 Amazon Inspector SSM 플러그인을 Windows 인스턴스에 설치합니다. 플러그인 파일이 실수로 삭제된 경우 이 연결을 통해 다음 연결 간격에 다시 설치됩니다.

InvokeInspectorSsmPlugin-do-not-delete

Amazon Inspector에서 Windows 인스턴스를 스캔하는 데 사용하는 SSM 연결입니다. 이 연결을 통해 Amazon Inspector에서 플러그인을 사용하여 스캔을 시작할 수 있으며, 사용자도 이 연결을 통해 Windows 인스턴스 스캔에 대한 사용자 지정 간격을 설정할 수 있습니다. 자세한 설명은 Windows 인스턴스 스캔을 위한 사용자 지정 일정 설정 섹션을 참조하세요.

InspectorLinuxDistributor-do-not-delete

이는 Amazon Inspector가 Amazon EC2 리눅스 심층 검사에 사용하는 SSM 연결입니다. 이 연결은 Amazon Inspector SSM 플러그인을 Linux 인스턴스에 설치합니다.

InvokeInspectorLinuxSsmPlugin-do-not-delete

이는 Amazon Inspector가 아마존 EC2 리눅스 심층 검사를 위해 사용하는 SSM 연결입니다. 이 연결을 통해 Amazon Inspector에서 플러그인을 사용하여 스캔을 시작할 수 있습니다.

참고

Amazon Inspector Amazon EC2 스캐닝 또는 딥 인스펙션을 비활성화하면 모든 SSM 리소스가 해당 Linux 호스트에서 자동으로 제거됩니다.

에이전트 없는 스캔

Amazon Inspector는 계정이 하이브리드 스캔 모드(에이전트 기반 스캔과 에이전트 없는 스캔 모두 포함)인 경우 적격 인스턴스에서 에이전트 없는 스캔 방법을 사용합니다. 에이전트 없는 스캔의 경우 Amazon Inspector는 EBS 스냅샷을 사용하여 인스턴스에서 소프트웨어 인벤토리를 수집합니다. 에이전트 없는 스캔 방법을 사용하여 스캔한 인스턴스는 운영 체제 패키지와 애플리케이션 프로그래밍 언어 패키지 취약성이 모두 스캔됩니다.

참고

Linux 인스턴스에서 애플리케이션 프로그래밍 언어 패키지 취약성을 스캔할 때 에이전트 없는 스캔 방법은 사용 가능한 모든 경로를 검사하는 반면 에이전트 기반 스캔은 기본 경로와 사용자가 Amazon EC2 Linux 인스턴스에 대한 Amazon Inspector 심층 검사의 일부로 지정한 추가 경로만 검사합니다. 이로 인해 에이전트 기반 방법을 사용하여 스캔했는지 아니면 에이전트 없는 스캔 방법을 사용하여 스캔했는지에 따라 동일한 인스턴스의 조사 결과가 달라질 수 있습니다.

다음 프로세스는 Amazon Inspector에서 EBS 스냅샷을 사용하여 인벤토리를 수집하고 에이전트 없는 스캔을 수행하는 방법을 설명합니다.

  1. Amazon Inspector는 인스턴스에 연결된 모든 볼륨의 EBS 스냅샷을 생성합니다. Amazon Inspector에서 스냅샷을 사용하는 동안에는 스냅샷이 계정에 저장되고 InspectorScan 태그 키로 태그가 지정되고 고유한 스캔 ID가 태그 값으로 지정됩니다.

  2. Amazon Inspector는 EBS 다이렉트 API를 사용하여 스냅샷에서 데이터를 검색하고 취약성이 있는지 평가합니다. 탐지된 모든 취약성에 대한 조사 결과가 생성됩니다.

  3. Amazon Inspector는 계정에 생성한 EBS 스냅샷을 삭제합니다.

적격 인스턴스

Amazon Inspector는 다음 조건을 충족하는 경우 에이전트 없는 스캔 방법을 사용하여 인스턴스를 스캔합니다.

  • 인스턴스에는 지원되는 OS가 있습니다. 지원되는 OS 목록은 지원되는 운영 체제: Amazon EC2 스캔에이전트 기반 스캔 지원 열을 참조하세요.

  • Amazon Inspector EC2 제외 태그로 인해 스캔에서 인스턴스가 제외되지 않습니다.

  • 인스턴스의 상태는, 또는 입니다. Unmanaged EC2 instance Stale inventory No inventory

  • 인스턴스는 EBS 기반 인스턴스이며 다음 파일 시스템 형식 중 하나를 사용합니다.

    • ext3

    • ext4

    • xfs

에이전트 없는 스캔 동작

계정이 하이브리드 스캔을 사용하도록 구성된 경우 Amazon Inspector는 24시간마다 적격 인스턴스에 대해 에이전트 없는 스캔을 수행합니다. Amazon Inspector는 새로운 적격 인스턴스를 매시간 탐지하고 스캔하며, 여기에는 SSM 에이전트가 없는 새 인스턴스 또는 상태가 SSM_UNMANAGED로 변경된 기존 인스턴스가 포함됩니다.

Amazon Inspector는 에이전트 없는 스캔 후 인스턴스에서 추출된 스냅샷을 스캔할 때마다 Amazon EC2 인스턴스의 마지막 스캔 필드를 업데이트합니다.

EC2 인스턴스의 취약성을 마지막으로 스캔한 시기는 계정 관리 페이지의 인스턴스 탭에서 또는 ListCoverage 명령을 사용하여 확인할 수 있습니다.

스캔 모드 관리

EC2 스캔 모드는 Amazon Inspector가 계정에서 EC2 스캔을 수행할 때 사용할 스캔 방법을 결정합니다. 일반 설정의 EC2 스캔 설정 페이지에서 계정의 스캔 모드를 볼 수 있습니다. 독립형 계정 또는 Amazon Inspector 위임 관리자는 스캔 모드를 변경할 수 있습니다. Amazon Inspector 위임 관리자 권한으로 스캔 모드를 설정하면 조직의 모든 멤버 계정에 해당 스캔 모드가 설정됩니다. Amazon Inspector에는 다음과 같은 스캔 모드가 있습니다.

에이전트 기반 스캔 - 이 스캔 모드에서는 Amazon Inspector가 패키지 취약성을 검사할 때 에이전트 기반 스캔 방법만 사용합니다. 이 스캔 모드는 계정의 SSM 관리형 인스턴스만 스캔하지만 새로운 CVE 또는 인스턴스 변경에 대한 응답으로 연속 스캔을 제공한다는 이점이 있습니다. 에이전트 기반 스캔은 Amazon Inspector에 적격 인스턴스에 대한 심층 검사도 제공합니다. 새로 활성화된 계정에서는 이 모드가 기본 스캔 모드입니다.

하이브리드 스캔 - 이 스캔 모드에서 Amazon Inspector는 에이전트 기반과 에이전트 없음 스캔 방법을 조합하여 패키지 취약성을 스캔합니다. SSM 에이전트가 설치 및 구성된 적격 EC2 인스턴스의 경우 Amazon Inspector는 에이전트 기반 방법을 사용합니다. SSM 관리형이 아닌 적격 인스턴스의 경우 Amazon Inspector는 EBS 지원 적격 인스턴스에 에이전트 없는 스캔 방법을 사용합니다.

스캔 모드를 변경하는 방법

  1. Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 EC2 스캔 모드를 변경할 지역을 선택합니다.

  3. 측면 탐색 패널의 일반 설정에서 EC2 스캔 설정을 선택합니다.

  4. 스캔 모드에서 편집을 선택합니다.

  5. 스캔 모드를 선택한 다음 변경 사항 저장을 선택합니다.

Amazon Inspector 스캔에서 인스턴스 제외

특정 인스턴스에 태그를 지정하여 Amazon Inspector 스캔에서 제외할 수 있습니다. 인스턴스를 스캔에서 제외하면 조치할 수 없는 알림을 방지하는 데 도움이 됩니다. 제외된 인스턴스에 대해서는 요금이 부과되지 않습니다.

EC2 인스턴스를 스캔에서 제외하려면 다음 키를 사용하여 해당 인스턴스에 태그를 지정하세요.

  • InspectorEc2Exclusion

값은 선택 사항입니다.

태그 추가에 대한 자세한 내용은 Amazon EC2 리소스 태깅을 참조하세요.

또한 볼륨을 암호화하는 데 사용된 AWS KMS 키에 태그를 지정하여 에이전트 없는 스캔에서 암호화된 EBS 볼륨을 제외할 수 있습니다. InspectorEc2Exclusion 자세한 내용은 키 태그 지정을 참조하세요.

지원되는 운영 체제

Amazon Inspector는 지원되는 Mac, Windows, Linux EC2 인스턴스를 스캔하여 운영 체제 패키지의 취약성을 검사합니다. Linux 인스턴스의 경우 Amazon Inspector는 Amazon EC2 Linux 인스턴스에 대한 Amazon Inspector 심층 검사를 사용하여 애플리케이션 프로그래밍 언어 패키지에 대한 결과를 생성할 수 있습니다. Mac 및 Windows 인스턴스의 경우 운영 체제 패키지만 스캔됩니다.

SSM 에이전트 없이 스캔할 수 있는 운영 체제를 비롯하여 지원되는 운영 체제에 대한 자세한 내용은 Amazon EC2 스캔을 지원하는 운영 체제 섹션을 참조하세요.