Amazon Inspector를 사용한 자동 리소스 스캔

Amazon EC2용 Amazon Inspector 에이전트 없는 스캔은 미리 보기로 출시되었습니다. 에이전트 없는 Amazon EC2 스캔 기능 사용에는 AWS 서비스 약관 섹션 2('베타 및 미리 보기')가 적용됩니다.

Amazon Inspector는 특별히 제작된 자체 스캔 엔진을 사용합니다. 이 엔진은 리소스를 모니터링하여 워크로드 손상, 리소스 악용 또는 데이터에 대한 무단 액세스를 초래할 수 있는 소프트웨어 취약성 또는 오픈 네트워크 경로를 찾아냅니다. Amazon Inspector에서 취약성을 탐지하면 결과가 생성됩니다. 결과에는 취약성을 해결하는 데 도움이 되는 탐지와 관련된 세부 정보가 포함되어 있습니다. Amazon Inspector 콘솔 또는 Amazon Inspector API를 사용하여 결과를 검토할 수 있습니다. 자세한 설명은 Amazon Inspector에서 결과 관리 섹션을 참조하세요.

Amazon Inspector가 활성화된 경우 적합한 모든 리소스가 자동으로 검색되고 해당 리소스에 대한 연속 스캔이 시작됩니다. Amazon Inspector는 소프트웨어 취약성과 의도하지 않은 네트워크 노출이 있는지 스캔합니다. 또한 Amazon Inspector는 새 애플리케이션 또는 패치 설치와 같은 이벤트에 대한 응답으로 스캔을 실행합니다.

Amazon Inspector를 처음 활성화하면 계정이 모든 스캔 유형에 자동으로 등록됩니다. 다음 주제에서는 Amazon Inspector에서 제공하는 스캔 유형에 대한 구체적인 내용을 다룹니다. Amazon Inspector는 취약성의 영향을 받는 리소스 유형을 기준으로 스캔 유형을 분류합니다. 다음 주제에서는 Amazon Inspector에서 스캔하는 리소스, 해당 리소스에 대한 새 스캔을 시작하는 대상, 각 리소스 유형에 대한 스캔을 구성하는 방법을 다룹니다.

주제

• Amazon Inspector 스캔 유형 개요
• 스캔 유형 활성화
• Amazon Inspector로 Amazon EC2 인스턴스 스캔
• Amazon Inspector로 Amazon ECR 컨테이너 이미지 스캔
• Amazon AWS Lambda Inspector를 사용한 스캔 기능
• 스캔 유형 비활성화

Amazon Inspector를 처음 활성화하면 계정이 Amazon EC2 스캔, Amazon ECR 스캔, Lambda 표준 스캔 등의 스캔 유형에 자동으로 등록됩니다. Lambda 코드 스캔은 Lambda 함수 스캔의 선택적 계층으로, 언제든지 활성화할 수 있습니다.

Amazon Inspector 스캔 유형 개요

Amazon Inspector는 사용자 AWS 환경의 특정 리소스 유형에 초점을 맞춘 다양한 스캔 유형을 제공합니다.

Amazon EC2 스캔

Amazon EC2 스캔을 활성화하면 Amazon Inspector에서 Amazon EC2 인스턴스를 스캔하여 운영 체제 패키지와 프로그래밍 언어 패키지 취약성, 네트워크 연결성을 검사합니다. Amazon Inspector는 EC2 인스턴스에서 일반적인 취약성 및 노출(CVE)과 네트워크 노출 문제를 스캔합니다. Amazon Inspector는 인스턴스에 설치된 SSM 에이전트를 사용하거나 인스턴스의 Amazon EBS 스냅샷을 통해 스캔을 수행합니다. Amazon EC2 스캔에 대한 자세한 내용은 Amazon Inspector로 Amazon EC2 인스턴스 스캔 섹션을 참조하세요.

Amazon ECR 스캔

Amazon ECR 스캔을 활성화하면 Amazon Inspector는 프라이빗 레지스트리의 모든 기본 스캔 컨테이너 리포지토리를 연속 스캔이 가능한 향상된 스캔으로 변환합니다. 푸시할 때만 스캔하거나 포함 규칙을 통해 일부 리포지토리를 스캔하도록 이 설정을 선택적으로 구성할 수도 있습니다. 지난 30일 이내에 푸시되거나 지난 90일 이내에 가져온 모든 이미지가 처음에 스캔됩니다. Amazon Inspector는 기본적으로 90일 동안 이미지를 계속 모니터링합니다. 이 설정은 언제든지 변경할 수 있습니다. Amazon ECR 스캔에 대한 자세한 내용은 Amazon Inspector로 Amazon ECR 컨테이너 이미지 스캔 섹션을 참조하세요.

Lambda 표준 스캔

Lambda 표준 스캔을 활성화하면 Amazon Inspector는 계정에서 Lambda 함수를 검색하고 즉시 취약성 스캔을 시작합니다. Amazon Inspector는 새로운 Lambda 함수와 계층이 배포될 때 스캔을 수행하며, 해당 함수와 계층이 업데이트되거나 새로운 일반 취약성 및 노출(CVE)이 발표될 때 재스캔을 수행합니다. Lambda 함수 스캔에 대한 자세한 내용은 Amazon AWS Lambda Inspector를 사용한 스캔 기능 섹션을 참조하세요.

Lambda 표준 스캔 + Lambda 코드 스캔

이 옵션은 Lambda 표준 스캔과 Lambda 코드 스캔을 결합한 것입니다. Lambda 코드 스캔이 활성화되면 Amazon Inspector는 계정에서 Lambda 함수와 계층을 검색하고 애플리케이션 패키지 종속성에서 코드 취약성을 스캔합니다. Lambda 코드 스캔은 Lambda 함수의 사용자 지정 애플리케이션 코드를 스캔하여 코드 취약성을 찾아냅니다. 이 두 스캔 유형은 함께 활성화해야 합니다. 자세한 내용은 Amazon Inspector Lambda 코드 스캔 섹션을 참조하세요.