아마존 인스펙터 컨트롤

이러한 컨트롤은 Amazon Inspector 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 AWS 리전사용할 수 있는 것은 아닙니다. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[Inspector.1] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 EC2

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::::Account

AWS Config 규칙: inspector-ec2-scan-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Amazon Inspector EC2 스캔이 활성화되어 있는지 여부를 확인합니다. Amazon Inspector EC2 스캔이 활성화되지 않은 경우 제어가 실패합니다.

참고

다중 계정 환경에서 이 컨트롤은 위임된 Amazon Inspector 관리자 계정만 평가합니다. 위임된 관리자만 조직의 구성원 계정에 대한 EC2 스캔 기능을 활성화하거나 비활성화할 수 있습니다. Amazon Inspector 멤버 계정은 해당 계정에서 이 구성을 수정할 수 없습니다.

Amazon Inspector EC2 스캐닝은 Amazon Elastic Compute Cloud EC2 (Amazon) 인스턴스에서 메타데이터를 추출한 다음, 이 메타데이터를 보안 권고에서 수집한 규칙과 비교하여 결과를 산출합니다. Amazon Inspector는 인스턴스에서 패키지 취약성 및 네트워크 연결성 문제를 검사합니다. SSM에이전트 없이 스캔할 수 있는 운영 체제를 비롯하여 지원되는 운영 체제에 대한 자세한 내용은 지원되는 운영 체제: Amazon EC2 스캔을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Amazon Inspector EC2 스캔을 활성화하려면 Amazon Inspector 사용 설명서의 스캔 활성화를 참조하십시오.

[Inspector.2] 아마존 인스펙터 스캐닝이 활성화되어야 합니다 ECR

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::::Account

AWS Config 규칙: inspector-ecr-scan-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Amazon Inspector ECR 스캔이 활성화되어 있는지 여부를 확인합니다. Amazon Inspector ECR 스캔이 활성화되지 않은 경우 제어가 실패합니다.

참고

다중 계정 환경에서 이 컨트롤은 위임된 Amazon Inspector 관리자 계정만 평가합니다. 위임된 관리자만 조직의 구성원 계정에 대한 ECR 스캔 기능을 활성화하거나 비활성화할 수 있습니다. Amazon Inspector 멤버 계정은 해당 계정에서 이 구성을 수정할 수 없습니다.

Amazon Inspector는 Amazon Elastic 컨테이너 레지스트리 (AmazonECR) 에 저장된 컨테이너 이미지를 스캔하여 소프트웨어 취약성이 있는지 검사하여 패키지 취약성 결과를 생성합니다. 아마존용 Amazon Inspector 스캔을 활성화하면 Amazon ECR Inspector를 프라이빗 레지스트리의 기본 스캔 서비스로 설정합니다. 이는 Amazon에서 무료로 제공하는 기본 스캔을 Amazon ECR Inspector를 통해 제공 및 청구되는 고급 스캔으로 대체합니다. 향상된 검사를 통해 레지스트리 수준에서 운영 체제 및 프로그래밍 언어 패키지 모두에 대한 취약성 스캔의 이점을 얻을 수 있습니다. Amazon ECR 콘솔에서 이미지의 각 레이어에 대해 이미지 수준에서 향상된 스캔을 사용하여 발견한 결과를 검토할 수 있습니다. 또한 Amazon을 비롯한 AWS Security Hub 기본 스캔 결과에 사용할 수 없는 다른 서비스에서도 이러한 결과를 검토하고 사용할 수 EventBridge 있습니다.

이제 Security Hub가 와 통합되었습니다

Amazon Inspector ECR 스캔을 활성화하려면 Amazon Inspector 사용 설명서의 스캔 활성화를 참조하십시오.

[Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::::Account

AWS Config 규칙: inspector-lambda-code-scan-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Amazon Inspector Lambda 코드 스캔이 활성화되었는지 여부를 확인합니다. Amazon Inspector Lambda 코드 스캔이 활성화되지 않은 경우 제어가 실패합니다.

참고

다중 계정 환경에서 이 컨트롤은 위임된 Amazon Inspector 관리자 계정만 평가합니다. 위임된 관리자만 조직의 구성원 계정에 대해 Lambda 코드 스캔 기능을 활성화하거나 비활성화할 수 있습니다. Amazon Inspector 멤버 계정은 해당 계정에서 이 구성을 수정할 수 없습니다.

Amazon Inspector Lambda 코드 스캔은 보안 모범 사례를 기반으로 AWS Lambda 함수 내의 사용자 지정 애플리케이션 코드를 스캔하여 코드 취약성을 찾아냅니다. AWS Lambda 코드 스캔으로 코드에서 주입 결함, 데이터 유출, 취약한 암호화 또는 누락된 암호화를 탐지할 수 있습니다. 이 기능은 특정 용도로만 사용할 수 있습니다. AWS 리전 Lambda 표준 스캔과 함께 Lambda 코드 스캔을 활성화할 수 있습니다 (참조). [Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

이제 Security Hub가 와 통합되었습니다

Amazon Inspector Lambda 코드 스캔을 활성화하려면 Amazon Inspector 사용 설명서의 스캔 활성화를 참조하십시오.

[Inspector.4] Amazon Inspector Lambda 표준 스캔이 활성화되어야 합니다.

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::::Account

AWS Config 규칙: inspector-lambda-standard-scan-enabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Amazon Inspector Lambda 표준 스캔이 활성화되어 있는지 여부를 확인합니다. Amazon Inspector Lambda 표준 스캔이 활성화되지 않은 경우 제어가 실패합니다.

참고

다중 계정 환경에서 이 컨트롤은 위임된 Amazon Inspector 관리자 계정만 평가합니다. 위임된 관리자만 조직의 구성원 계정에 대해 Lambda 표준 스캔 기능을 활성화하거나 비활성화할 수 있습니다. Amazon Inspector 멤버 계정은 해당 계정에서 이 구성을 수정할 수 없습니다.

Amazon Inspector Lambda 표준 스캔은 함수 코드 및 계층에 추가한 애플리케이션 패키지 종속성에서 소프트웨어 취약성을 식별합니다. AWS Lambda Amazon Inspector가 Lambda 함수 애플리케이션 패키지 종속성의 취약성을 탐지하면 Amazon Inspector에서 자세한 유형 검색 결과를 생성합니다. Package Vulnerability Lambda 표준 스캔과 함께 Lambda 코드 스캔을 활성화할 수 있습니다 (참조). [Inspector.3] Amazon Inspector Lambda 코드 스캔이 활성화되어야 합니다.

이제 Security Hub가 와 통합되었습니다

Amazon Inspector Lambda 표준 스캔을 활성화하려면 Amazon Inspector 사용 설명서의 스캔 활성화를 참조하십시오.