Amazon Inspector란 무엇인가? - Amazon Inspector
특징Amazon Inspector 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector란 무엇인가?

Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는 AWS 워크로드를 지속적으로 스캔하는 취약성 관리 서비스입니다. Amazon Inspector는 실행 중인 Amazon EC2 인스턴스, Amazon Elastic Container Registry(Amazon ECR)의 컨테이너 이미지 및 AWS Lambda 함수를 자동으로 검색하고 스캔하여 알려진 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는지 확인합니다.

소프트웨어 취약성 또는 네트워크 구성 문제가 발견되면 Amazon Inspector에서 결과를 생성합니다. 결과는 취약성을 설명하고, 영향을 받는 리소스를 식별하며, 취약성의 심각도를 평가하고, 해결 지침을 제공합니다. Amazon Inspector 콘솔을 사용하여 결과를 분석하거나 다른 AWS 서비스를 통해 결과를 확인하고 처리할 수 있습니다. 자세한 내용은 Amazon Inspector의 결과에 대한 이해 섹션을 참조하세요.

Amazon Inspector의 특징

여러 Amazon Inspector 계정을 중앙에서 관리

AWS 환경에 여러 개의 계정이 있는 경우 AWS Organizations를 사용하여 단일 계정을 통해 환경을 중앙에서 관리할 수 있습니다. 이 방법을 사용하면 특정 계정을 Amazon Inspector의 위임 관리자 계정으로 지정할 수 있습니다.

한 번의 클릭으로 전체 조직에 대해 Amazon Inspector를 활성화할 수 있습니다. 또한 향후 멤버가 조직에 가입할 때마다 서비스를 자동으로 활성화할 수 있습니다. Amazon Inspector 위임 관리자 계정은 조직 멤버에 대한 결과 데이터와 특정 설정을 관리할 수 있습니다. 여기에는 모든 멤버 계정에 대해 집계된 결과 세부 정보 보기, 멤버 계정에 대한 스캔 활성화 또는 비활성화, AWS 조직 내의 스캔한 리소스 검토 등이 포함됩니다.

환경의 취약성과 네트워크 노출 여부를 지속적으로 스캔

Amazon Inspector를 사용하면 평가 스캔을 수동으로 예약하거나 구성할 필요가 없습니다. Amazon Inspector는 적합한 리소스를 자동으로 검색하고 스캔을 시작합니다. Amazon Inspector는 EC2 인스턴스에 새 패키지를 설치하거나, 패치를 설치하거나, 리소스에 영향을 미치는 새로운 일반적인 취약성 및 노출(CVE)이 발표되는 경우 등 새로운 취약성을 유발할 수 있는 변경 사항에 대응하여 리소스를 자동으로 재스캔함으로써 리소스 수명 주기 전반에 걸쳐 환경을 계속 평가합니다. 기존 보안 스캔 소프트웨어와 달리 Amazon Inspector는 플릿 성능에 미치는 영향을 최소화합니다.

취약성 또는 오픈 네트워크 경로가 식별되면 Amazon Inspector에서는 사용자가 조사할 수 있도록 결과를 생성합니다. 결과에는 취약성, 영향을 받는 리소스 및 해결 권장 사항에 대한 포괄적인 세부 정보가 포함됩니다. 결과를 적절하게 수정하면 Amazon Inspector에서 자동으로 수정 사항을 탐지하고 결과를 종결합니다.

Amazon Inspector 위험 점수를 사용하여 정확하게 취약성 평가

Amazon Inspector는 스캔을 통해 환경에 대한 정보를 수집하므로 사용 환경에 맞게 특별히 조정된 심각도 점수를 제공합니다. Amazon Inspector는 취약성에 대한 NVD(National Vulnerability Database) 기본 점수를 구성하는 보안 지표를 검사하여 컴퓨팅 환경에 따라 조정합니다. 예를 들어 네트워크를 통해 취약성이 악용될 소지가 있지만 인터넷으로 연결되는 오픈 네트워크 경로를 인스턴스에서 사용할 수 없는 경우 이 서비스가 Amazon EC2 인스턴스의 Amazon Inspector 결과 점수를 낮출 수 있습니다. 이 점수는 CVSS 형식이며 NVD에서 제공하는 기본 CVSS(Common Vulnerability Scoring System) 점수를 수정한 것입니다.

Amazon Inspector 대시보드를 사용하여 영향력이 큰 결과 식별

Amazon Inspector 대시보드에서는 환경 전반의 결과를 개괄적으로 볼 수 있습니다. 대시보드에서는 결과의 세부 정보에 액세스할 수 있습니다. 대시보드에는 사용 환경의 스캔 적용 범위, 가장 중요한 결과, 가장 많은 결과가 발견된 리소스에 대한 간소화된 정보가 포함되어 있습니다. Amazon Inspector 대시보드의 위험에 기반한 해결 방법 패널에는 가장 많은 수의 인스턴스와 이미지에 영향을 미치는 결과가 표시됩니다. 이 패널에서는 환경에 가장 큰 영향을 미치는 결과를 쉽게 식별하고, 결과 세부 정보를 검토하고, 제안된 솔루션을 검토할 수 있습니다.

사용자 지정 가능한 보기를 사용하여 결과 관리

대시보드 외에도 Amazon Inspector 콘솔에서 결과 보기를 제공합니다. 이 페이지에는 사용 환경에 대한 모든 결과가 나열되고 개별 결과에 대한 세부 정보가 제공됩니다. 범주 또는 취약성 유형별로 그룹화된 결과를 볼 수 있습니다. 각 보기에서는 필터를 사용하여 결과를 추가로 사용자 지정할 수 있습니다. 필터를 사용하여 원치 않는 결과를 보기에서 숨기는 억제 규칙을 생성할 수도 있습니다.

필터와 억제 규칙을 사용하여 모든 검색 결과 또는 사용자 지정된 결과를 보여주는 결과 보고서를 생성할 수 있습니다. 보고서는 CSV 또는 JSON 형식으로 생성할 수 있습니다.

다른 서비스 및 시스템과 함께 결과 모니터링 및 처리

다른 서비스 및 시스템과의 통합을 지원하기 위해 Amazon Inspector는 결과를 Amazon EventBridge에 결과 이벤트로 게시합니다. EventBridge는 결과 데이터를 AWS Lambda 함수 및 Amazon Simple Notification Service(SNS) 주제 등의 대상으로 라우팅할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge를 사용하면 기존 보안 및 규정 준수 워크플로우의 일부로 결과를 거의 실시간으로 모니터링하고 처리할 수 있습니다.

AWS Security Hub를 활성화한 경우 Amazon Inspector는 결과를 Security Hub에도 게시합니다. Security Hub는 AWS 환경 전반의 보안 상태를 종합적으로 파악하고 보안 업계 표준 및 모범 사례와 비교하여 환경을 검사할 수 있도록 지원하는 서비스입니다. Security Hub를 사용하면 AWS의 조직 보안 상태에 대한 광범위한 분석의 일부로 결과를 더 쉽게 모니터링하고 처리할 수 있습니다.

Amazon Inspector 액세스

Amazon Inspector는 대부분의 AWS 리전에서 사용할 수 있습니다. 현재 Amazon Inspector가 사용 가능한 모든 리전 목록은 Amazon Web Services 일반 참조에서 Amazon Inspector 엔드포인트 및 할당량을 참조하세요. AWS 리전에 대해 자세히 알아보려면 Amazon Web Services 일반 참조에서 AWS 리전 관리를 참조하세요. 각 리전에서 다음과 같은 방법으로 Amazon Inspector를 사용할 수 있습니다.

AWS Management Console

AWS Management Console은 AWS 리소스를 생성하고 관리하는 데 사용할 수 있는 웹 기반 사용자 인터페이스입니다. Amazon Inspector 콘솔은 해당 콘솔의 일부로 Amazon Inspector 계정 및 리소스에 대한 액세스를 제공합니다. Amazon Inspector 콘솔에서 Amazon Inspector 작업을 수행할 수 있습니다.

AWS 명령줄 도구

AWS 명령줄 도구를 사용하면 시스템 명령줄에서 명령을 실행하여 Amazon Inspector 작업을 수행할 수 있습니다. 명령줄을 사용하는 것이 콘솔을 사용하는 것보다 더 빠르고 편리할 수 있습니다. 작업을 수행하는 스크립트를 작성할 때도 명령줄 도구가 유용합니다.

AWS에서는 AWS Command Line Interface(AWS CLI) 및 AWS Tools for PowerShell라는 두 가지 명령줄 도구 세트를 제공합니다. AWS CLI 설치 및 사용에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서를 참조하세요. Tools for PowerShell 설치 및 사용에 대한 자세한 내용은 AWS Tools for PowerShell 사용 설명서를 참조하세요.

AWS SDK

AWS는 Java, Go, Python, C++, .NET을 비롯한 다양한 프로그래밍 언어 및 플랫폼용 라이브러리와 샘플 코드로 구성된 SDK를 제공합니다. SDK를 사용하면 Amazon Inspector 및 다른 AWS 서비스에 프로그래밍 방식으로 편리하게 액세스할 수 있습니다. SDK는 또한 요청에 암호화 방식으로 서명, 오류 관리, 요청 재시도 등의 작업을 자동으로 처리합니다. AWS SDK 사용에 대한 자세한 내용은 AWS에서의 구축을 위한 도구를 참조하세요.

Amazon Inspector REST API

Amazon Inspector REST API는 Amazon Inspector 계정 및 리소스에 대한 포괄적인 프로그래밍 방식의 액세스를 제공합니다. 이 API를 사용하면 HTTPS 요청을 Amazon Inspector로 직접 보낼 수 있습니다. 그러나 AWS 명령줄 도구 및 SDK와 달리 이 API를 사용하려면 애플리케이션에서 요청에 서명하기 위한 해시 생성과 같은 특정한 세부 정보를 처리해야 합니다.