管理 Image Builder 的安全性發現 - EC2Image Builder
設定安全性掃描管理安全性發現

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 Image Builder 的安全性發現

當您使用 Amazon Inspector 啟用安全掃描時,它會持續掃描您帳戶中的機器映像和執行個體,以防範作業系統和程式設計語言漏洞。如果啟動,安全性掃描會自動執行,而 Image Builder 可以在您建立新映像時,從測試執行個體儲存發現項目的快照。Amazon Inspector 是一項付費服務。

當 Amazon Inspector 發現軟體或網路設定中的弱點時,會採取下列動作:

  • 通知你有一個發現。

  • 評估發現項目的嚴重性。嚴重性等級會將弱點分類,以協助您排定發現項目的優先順序,並包含下列值:

    • 未分類

    • 資訊

    • 嚴重

  • 提供有關發現項目的資訊,以及其他資源的連結以取得更多詳細資訊。

  • 提供補救指引,協助您解決產生發現項目的問題。

設定 Image Builder 檔的安全性掃描 AWS Management Console

如果您已為帳戶啟用 Amazon Inspector,Amazon Inspector 會自動掃描 Image Builder 啟動的EC2執行個體,以建立和測試新映像檔。這些執行個體在建置和測試程序期間的使用壽命很短,而且一旦這些執行個體關閉,它們的發現通常就會過期。為了協助您調查和修復新映像的發現項目,映 Image Builder 可以選擇性地將 Amazon Inspector 在建置程序期間在測試執行個體上識別的任何發現項目儲存為快照。

步驟 1:為您的帳戶啟用 Amazon Inspector 安全掃描

若要從 Image Builder 主控台為您的帳戶啟用 Amazon Inspector 安全掃描,請依照下列步驟執行:

  1. 在開啟映 EC2 Image Builder 主控台https://console.aws.amazon.com/imagebuilder/

  2. 從導覽窗格中選擇 [安全性掃描設定]。這會開啟 [安全性掃描] 對話方塊。

    對話方塊會顯示您帳戶的掃描狀態。如果您的帳戶已經啟用 Amazon Inspector,狀態會顯示為「已啟用」。

  3. 按照說明的步驟 1 和 2 激活 Amazon Inspector 掃描。

    注意

    Amazon Inspector 會收取費用。如需詳細資訊,請參閱 Amazon Inspector 定價

如果您已針對管線啟動掃描,Image Builder 會在您建立新映像檔時,為您的組建執行個體擷取發現項目的快照。如此一來,您就可以在 Image Builder 終止組建執行個體之後存取發現項目。

步驟 2:設定管道以儲存發現漏洞的快照

若要為您的管道設定弱點尋找快照,請執行下列步驟:

  1. 在開啟映 EC2 Image Builder 主控台https://console.aws.amazon.com/imagebuilder/

  2. 從導覽窗格中選擇映像管線

  3. 選取下列其中一種方法來指定配管詳細資訊:

    建立新管線

    1. 在 [映像管線] 頁面中,選擇 [建立映像管線]。這會開啟配管精靈中的「指定配管詳細資訊」頁面。

    更新現有管線

    1. 從 [映像管線] 頁面中,選擇您要更新之管線的管線名稱連結。這會開啟配管詳細資訊頁面。

      注意

      或者,您可以選取要更新之管線名稱旁邊的核取方塊,然後選擇 [檢視詳細資訊]。

    2. 從配管詳細資訊頁面中,從「動作」功能表中選取「編輯配管」。這會帶您前往 「編輯配管」 頁面。

  4. 在管線精靈或編輯管線頁面的 [一般] 區段中,選取 [啟用安全性掃描] 核取方塊。

    注意

    如果您想稍後關閉快照,可以編輯管線以清除該核取方塊。這不會停用您帳戶的 Amazon Inspector 掃描。要停用 Amazon Inspector 掃描,請參閱 Amazon Inspector 查器用戶指南中的停用 Amazon Inspector 查器。

管理 Image Builder 的安全性發現項目 AWS Management Console

安全性發現項目」清單頁面會顯示有關資源發現項目的高階資訊,並以您可以套用的數個不同篩選為基礎的檢視。每個視圖頂部都包括以下選項,可用於更改視圖:

  • 所有安全性發現項目 — 如果您從 Image Builder 主控台的導覽窗格中選擇 [安全性發現項目] 頁面,則此為預設檢視。

  • 依弱點 — 此檢視會顯示您帳戶中具有發現項目之所有影像資源的高階清單。發現項目 ID 會連結至有關發現項目的更詳細資訊。此資訊會顯示在頁面右側開啟的面板上。此面板包含下列資訊:

    • 發現項目的詳細描述。

    • 搜尋結果明細」頁標。此索引標籤包含發現項目概觀、受影響的套件、摘要修正建議、弱點詳細資訊和相關弱點。弱點 ID 連結至國家弱點資料庫中的詳細弱點資訊。

    • 數劃分標籤。此索引標籤包含CVSS和 Amazon Inspector 分數的side-by-side 比較,以便您可以查看 Amazon Inspector 修改分數的位置 (如果適用)。

  • 依映像管線 — 此檢視會顯示帳戶中每個映像管道的發現項目數目。Image Builder 會顯示中等嚴重性和較高發現項目的計數,以及所有發現項目的總計。列表中的所有數據都被鏈接,如下所示:

    • 影像管線名稱」欄會連結至指定影像管線的詳細資訊頁面。

    • 嚴重性層級欄連結會開啟 [所有安全性發現項目] 檢視,並依相關的映像管線名稱和嚴重性層級進行篩選。

    您也可以使用搜尋條件來縮小結果。

  • 依影像 — 此檢視會顯示您帳戶中每個映像組建的發現項目數量。Image Builder 會顯示中等嚴重性和較高發現項目的計數,以及所有發現項目的總計。列表中的所有數據都被鏈接,如下所示:

    • [映像名稱] 欄會連結至指定映像組建的映像詳細資料頁面。如需詳細資訊,請參閱 檢視影像資源詳細資

    • 嚴重性層級欄連結會開啟 [所有安全性發現項目] 檢視,並依關聯的映像組建名稱和嚴重性層級進行篩選。

    您也可以使用搜尋條件來縮小結果。

Image Builder 在預設「所有安全發現項目」檢視的「發現項目清單」區段中顯示下列詳細資

嚴重性

CVE發現項目的嚴重性層級。相關值如下:

  • 未分類

  • 資訊

  • 嚴重

問題清單 ID

Amazon Inspector 在掃描建置執行個體時針對映像偵測到的CVE發現項目的唯一識別碼。ID 會連結至「安全性發現項目 > 依弱點」頁面。

影像 ARN

具有在「發現項目 ID」欄中指定發現項目的映像的 Amazon 資源名稱 (ARN)。

管道

建置在「影像ARN」欄中指定之影像的管線。

Description

發現項目的簡短描述。

Inspector 得分

Amazon Inspector 分配給CVE發現的分數。

補救

連結至有關修正發現項目之建議動作方式的詳細資訊。

出版日期

此弱點首次新增至廠商資料庫的日期和時間。