本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Amazon Inspector 中查找類型
Amazon Inspector 產生 Amazon 彈性運算雲端 (Amazon EC2) 執行個體、亞馬遜彈性容器登錄 (亞馬遜 ECR) 儲存庫中的容器映像,以及AWS Lambda功能的調查結果。Amazon Inspector 可以產生下列類型的發現項目。
Package 漏洞
套件弱點發現項目可識別您AWS環境中暴露於常見弱點和暴露 (CVE) 的軟體套件。攻擊者可以利用這些未修補的漏洞破壞數據的機密性,完整性或可用性,或訪問其他系統。CVE 系統是公開已知資訊安全漏洞和暴露的參考方法。如需詳細資訊,請參閱 https://www.cve.org/
供應商安全建議在發行後的 24 小時內,Linux 適用的 CVE 偵測會新增至 Amazon Inspector。適用於 Windows 的 CVE 偵測會在 Microsoft 發佈後 48 小時內新增至 Amazon Inspector。您可以使用Amazon Inspector 漏洞數據庫來查看是否支援 CVE 偵測。
Amazon Inspector 可以針對 EC2 執行個體、ECR 容器映像和 Lambda 函數產生套件漏洞發現項目。Package 弱點發現項目具有此發現項目類型獨有的其他詳細資料,包括 Inspector 評分和弱點情報。
程式碼漏洞
程式碼弱點發現項目可識別攻擊者可利用的程式碼行。程式碼弱點包括插入瑕疵、資料洩漏、弱式密碼編譯或程式碼遺漏加密。
Amazon Inspector 會使用自動推理和機器學習來評估您的 Lambda 函數應用程式程式碼,分析您的應用程式程式碼是否符合 它會根據與 Amazon CodeGuru 合作開發的內部偵測器,識別違反政策和漏洞。如需可能偵測的清單,請參閱偵測CodeGuru 器程式庫。
重要
Amazon Inspector 程式碼掃描可擷取程式碼片段,以突顯偵測到的 這些片段可能會以明文顯示硬式編碼的憑證或其他敏感資料。
如果您已Amazon Inspector Lambda 代碼啟動,Amazon Inspector 可以產生 Lambda 函數的程式碼弱點發現項目。
CodeGuru 服務會儲存偵測到與程式碼弱點相關的程式碼片段。依預設,會使用由 CodeGuru 控制的AWS擁有金鑰來加密您的程式碼,不過,您可以使用自己的客戶受管金鑰透過 Amazon Inspector API 進行加密。如需更多資訊,請參閱 針對發現項目中的程式碼進行靜態加密。
網路連線能力
網路連線能力發現指出您的環境中有開放的 Amazon EC2 執行個體的網路路徑。當您可以從 VPC 邊緣存取 TCP 和 UDP 連接埠時,例如網際網路閘道 (包括應用程式負載平衡器或傳統負載平衡器後面的執行個體)、VPC 對等連線或透過虛擬閘道的 VPN,就會出現這些發現項目。這些發現結果強調了可能過於寬鬆的網路組態,例如管理不當的安全性群組、存取控制清單或網際網路閘道,或可能允許潛在惡意存取的網路組態。
Amazon Inspector 只會產生 Amazon EC2 執行個體的網路連接性發現項目。Amazon Inspector 每隔 24 小時執行一次掃描,以查找網路可達性發現項目。
Amazon Inspector 會在掃描網路路徑時評估下列組態:
