취약성 관리 프로그램에서 Amazon Inspector 사용

Amazon Inspector는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon Elastic Container Registry(Amazon ECR) 컨테이너 이미지 및 AWS Lambda 함수에서 소프트웨어 취약성 및 의도하지 않은 네트워크 노출을 지속적으로 스캔하는 취약성 관리 서비스입니다. Amazon Inspector를 사용하여 AWS 환경 전반의 소프트웨어 취약성에 대한 가시성을 확보하고 우선 순위를 지정할 수 있습니다.

Amazon Inspector는 리소스의 수명 주기 전반에 걸쳐 환경을 지속적으로 평가합니다. 새로운 취약성을 일으킬 수 있는 변경 사항에 따라 리소스를 자동으로 다시 스캔합니다. 예를 들어 EC2 인스턴스에 새 패키지를 설치할 때, 패치를 설치할 때 또는 리소스에 영향을 미치는 새로운 공통 취약성 및 노출(CVE)이 게시될 때 다시 스캔됩니다. Amazon Inspector가 취약성 또는 열린 네트워크 경로를 식별하면 조사할 수 있는 결과가 생성됩니다. 조사 결과는 다음을 포함하여 취약성에 대한 포괄적인 정보를 제공합니다.

• Amazon Inspector 위험 점수

• CVSS(Common Vulnerability Scoring System) 점수

• 영향을 받는 리소스

• Amazon, Recorded Future및의 CVE에 대한 취약성 인텔리전스 데이터 Cybersecurity and Infrastructure Security Agency (CISA)

• 문제 해결 권장 사항

Amazon Inspector 설정에 대한 지침은 Amazon Inspector 시작하기를 참조하세요. 이 자습서의 Amazon Inspector 활성화 단계에서는 독립형 계정 환경과 다중 계정 환경이라는 두 가지 구성 옵션을 제공합니다. 조직의 멤버인 여러을 모니터링하려면 다중 계정 환경 옵션을 사용하는 AWS 계정 것이 좋습니다 AWS Organizations.

다중 계정 환경에 대해 Amazon Inspector를 설정할 때 조직의 계정을 Amazon Inspector 위임된 관리자로 지정합니다. 위임된 관리자는 조직 구성원에 대한 조사 결과 및 일부 설정을 관리할 수 있습니다. 예를 들어 위임된 관리자는 모든 멤버 계정에 대한 집계된 조사 결과의 세부 정보를 보고, 멤버 계정에 대한 스캔을 활성화 또는 비활성화하고, 스캔한 리소스를 검토할 수 있습니다. AWS SRA는 Security Tooling 계정을 생성하여 Amazon Inspector 위임된 관리자로 사용할 것을 권장합니다.