Amazon Inspector CIS 扫描(CIS 扫描)可对您的 Amazon EC2 实例操作系统进行基准测试,确保您根据 Center for Internet Security 确定的最佳实践建议对其进行配置。CIS 安全基准
Amazon Inspector 根据实例标签以及您定义的扫描计划对目标 Amazon EC2 实例执行 CIS 扫描。Amazon Inspector 会对每个目标实例执行一系列实例检查。每项检查都会评估您的系统配置是否符合特定的 CIS 基准建议。每项检查都有一个 CIS 检查 ID 和标题,与该平台的 CIS 基准建议对应。CIS 扫描完成后,您可以查看结果来了解该系统的哪些实例检查通过、跳过或失败。
注意
要执行或计划 CIS 扫描,必须有安全的互联网连接。但是,如果要对私有实例运行 CIS 扫描,则必须使用 VPC 端点。
主题
Amazon Inspector CIS 扫描的 Amazon EC2 实例要求
要在您的 Amazon EC2 实例上运行 CIS 扫描,Amazon EC2 实例必须满足以下条件:
-
实例操作系统是 CIS 扫描支持的操作系统之一。有关更多信息,请参阅 Amazon Inspector 支持的操作系统和编程语言。
-
实例是 Amazon EC2 Systems Manager 实例。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的使用 SSM Agent。
-
该实例已安装 Amazon Inspector SSM 插件。Amazon Inspector 会自动在托管实例上安装此插件。
-
该实例具有实例配置文件,该配置文件授予 SSM 管理实例的权限,并授予 Amazon Inspector 对实例运行 CIS 扫描的权限。要授予这些权限,请将 AmazonSSMManagedInstanceCore 和 AmazonInspector2ManagedCisPolicy 策略附加到 IAM 角色。然后将 IAM 角色作为实例配置文件附加到该实例。有关创建和附加实例配置文件的说明,请参阅《Amazon EC2 用户指南》中的使用 IAM 角色。
注意
在 Amazon EC2 实例上运行 CIS 扫描之前,您无需启用 Amazon Inspector 深度检查。如果您禁用 Amazon Inspector 深度检查,Amazon Inspector 会自动安装 SSM Agent,但不会再调用 SSM Agent 来运行深度检查。不过,因此,您的账户中存在 InspectorLinuxDistributor-do-not-delete
关联。
在私有 Amazon EC2 实例上运行 CIS 扫描的 Amazon Virtual Private Cloud 端点要求
您可以通过 Amazon 网络对 Amazon EC2 实例运行 CIS 扫描。但是,如果您想在私有 Amazon EC2 实例上运行 CIS 扫描,则必须创建 Amazon VPC 端点。为 Systems Manager 创建 Amazon VPC 端点时,需要以下端点:
-
amazonaws.com.
region
.ec2messages -
amazonaws.com.
region
.inspector2 -
amazonaws.com.
region
.s3 -
amazonaws.com.
region
.ssm -
amazonaws.com.
region
.ssmmessages
有关更多信息,请参阅《AWS Systems Manager 用户指南》中的为 Systems Manager 创建 VPC 端点。
注意
目前,有些 AWS 区域不支持 amazonaws.com.
端点。region
.inspector2
运行 CIS 扫描
您可以按需运行一次性 CIS 扫描,也可以按计划重复扫描。要运行扫描,请先创建扫描配置。
创建扫描配置时,您可以指定用于查找实例的标签键值对。如果您是组织的 Amazon Inspector 委派管理员,则可以在扫描配置中指定多个账户,Amazon Inspector 将在每个账户中查找带有指定标签的实例。您可以为扫描选择 CIS 基准等级。对于每个基准测试,CIS 都支持等级 1 和等级 2 配置文件,旨在为不同环境可能需要的不同安全等级提供基准。
等级 1 - 建议可在任何系统上配置的基本安全设置。实施这些设置会让服务很少中断或根本不会中断。这些建议的目标是减少系统入口点的数量,从而降低整体网络安全风险。
等级 2 - 为高安全性环境建议更高级的安全设置。实施这些设置需要进行规划和协调,以最大限度地降低业务影响的风险。这些建议的目标是协助您符合监管合规性要求。
等级 2 是等级 1 的延伸。如果选择等级 2,Amazon Inspector 会检查针对等级 1 和等级 2 建议的所有配置。
定义扫描参数后,您可以选择是将其作为一次性扫描来运行(在完成配置后便运行),还是作为重复扫描来运行。重复扫描可以每天、每周或每月运行,时间由您选择。
提示
我们建议选择扫描运行期间不太可能影响系统的日期和时间。
使用 AWS Organizations 管理 Amazon Inspector CIS 扫描的注意事项
当您在组织中运行 CIS 扫描时,Amazon Inspector 委派管理员和成员账户会以不同的方式与 CIS 扫描配置和扫描结果进行交互。
Amazon Inspector 委派管理员如何与 CIS 扫描配置和扫描结果进行交互
当委派管理员为所有账户或特定成员账户创建扫描配置时,该配置归组织所有。组织拥有的扫描配置有一个 ARN,将组织 ID 指定为所有者:
arn:aws:inspector2:
Region
:111122223333
:owner/OrganizationId
/cis-configuration/scanId
委派管理员可以管理组织拥有的扫描配置,即使这些配置是由其他账户创建。
委派管理员可以查看其组织中任何账户的扫描结果。
如果委派管理员创建了扫描配置并指定 SELF
为目标账户,则即使该委派管理员离职,他们依然拥有扫描配置。但是,委派管理员无法以 SELF
为目标来更改扫描配置的目标。
注意
委派管理员无法向组织拥有的 CIS 扫描配置添加标签。
Amazon Inspector 成员账户如何与 CIS 扫描配置和扫描结果进行交互
当成员账户创建 CIS 扫描配置时,该配置归其所有。但是,委派管理员可以查看该配置。如果成员账户离职,则委派管理员将无法查看该配置。
注意
委派管理员无法编辑成员账户创建的扫描配置。
成员账户、以 SELF
为目标的委派管理员,以及独立账户都拥有自己创建的扫描配置。这些扫描配置有一个 ARN,将账户 ID 显示为所有者:
arn:aws:inspector2:
Region
:111122223333
:owner/111122223333
/cis-configuration/scanId
成员账户可以在其账户中查看扫描结果,包括委派管理员计划的 CIS 扫描的扫描结果。
Amazon Inspector 拥有用于 Amazon Inspector CIS 扫描的 Amazon S3 存储桶
开放式漏洞和评估语言(OVAL,Open Vulnerability and Assessment Language)是一项信息安全工作,旨在使评测和报告计算机系统的机器状态实现标准化。下表列出了 Amazon Inspector 拥有的所有用于 CIS 扫描的 Amazon S3 存储桶及 OVAL 定义。Amazon Inspector 会暂存 CIS 扫描所需的 OVAL 定义文件。如有必要,应将 Amazon Inspector 拥有的 Amazon S3 存储桶列入 VPC 的允许名单。
注意
以下 Amazon Inspector 拥有的每个 Amazon S3 存储桶的详细信息都不会发生变化。但是,该表可能会不定期更新,以反映新支持的 AWS 区域。您不能将 Amazon Inspector 拥有的 Amazon S3 存储桶用于其他 Amazon S3 操作或在您自己的 Amazon S3 存储桶中使用。
CIS 存储桶 | AWS 区域 |
---|---|
|
欧洲(斯德哥尔摩) |
|
中东(巴林) |
|
中国(北京) |
|
亚太地区(孟买) |
|
欧洲地区(巴黎) |
|
亚太地区(雅加达) |
|
美国东部(俄亥俄州) |
|
非洲(开普敦) |
|
欧洲地区(爱尔兰) |
|
欧洲地区(法兰克福) |
|
南美洲(圣保罗) |
|
亚太地区(香港) |
|
美国东部(弗吉尼亚州北部) |
|
亚太地区(首尔) |
|
亚太地区(大阪) |
|
欧洲地区(伦敦) |
|
欧洲地区(米兰) |
|
Asia Pacific (Tokyo) |
|
AWS GovCloud(美国东部) |
|
AWS GovCloud(美国西部) |
|
美国西部(俄勒冈州) |
|
美国西部(加利福尼亚北部) |
|
亚太地区(新加坡) |
|
亚太地区(悉尼) |
|
加拿大(中部) |
|
中国(宁夏) |
|
欧洲(苏黎世) |