開始使用 Amazon Inspector - Amazon Inspector

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開始使用 Amazon Inspector

本教學提供 Amazon Inspector 的實際操作簡介。

步驟 1 涵蓋在多帳戶環境中啟用獨立帳戶的 Amazon Inspector 掃描,或以 Amazon Inspector 委派 AWS Organizations 的管理員身分啟用。

步驟 2 涵蓋了解主控台中的 Amazon Inspector 發現項目。

注意

在本自學課程中,您將完成目前的工作 AWS 區域。若要在其他區域設定 Amazon Inspector,您必須在這些區域中完成這些步驟。

開始之前

Amazon Inspector 是一種弱點管理服務,可持續掃描您的 Amazon EC2 執行個體、Amazon ECR 容器映像,以及軟體弱點和意外網路暴露的 AWS Lambda 功能。

啟動 Amazon Inspector 之前,請注意以下事項:

  • Amazon Inspector 是一項區域服務,而資料會儲存 AWS 區域 在您使用該服務的位置。您在本教學中完成的任何組態程序都必須在您要使用 Amazon Inspector 監控 AWS 區域 的每個設定程序中重複執行。

  • Amazon Inspector 器為您提供啟動 Amazon EC2 執行個體、亞馬遜 ECR 容器映像和 AWS Lambda 功能掃描的靈活性。您可以從 Amazon Inspector 主控台的帳戶管理頁面或使用 Amazon Inspector API 來管理掃描類型。

  • 只有在已安裝並啟動 Amazon EC2 系統管理員 (SSM) 代理程式後,Amazon Inspector 才能為您的 EC2 執行個體提供常見漏洞和入侵 (CVE) 資料。此代理程式已預先安裝在許多 EC2 執行個體上,但您可能需要手動啟用它。無論 SSM 代理程式狀態為何,都會掃描所有 EC2 執行個體是否有網路暴露問題。如需設定 Amazon EC2 掃描的詳細資訊,請參閱掃描 Amazon EC2 實例。Amazon ECR 和 AWS Lambda 功能掃描不需要使用代理程式。

  • 具有管理員許可的 IAM 使用者身分 AWS 帳戶 可以啟用 Amazon Inspector。基於資料保護目的,我們建議您保護您的登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得管理 Amazon Inspector 所需的許可。如需啟用 Amazon Inspector 查器所需許可的相關資訊,請參閱AWS 受管理的策略:AmazonInspector2FullAccess

  • 當您第一次在任何區域啟用 Amazon Inspector 時,它會在全球為您呼叫AWSServiceRoleForAmazonInspector2的帳戶建立服務連結角色。此角色包括許可和信任政策,可讓 Amazon Inspector 收集軟體套件詳細資料並分析 Amazon VPC 組態,以產生漏洞發現的結果。如需詳細資訊,請參閱 使用 Amazon Inspector 的服務連結角色。如需有關服務連結角色的詳細資訊,請參閱使用服務連結角色

第 1 步:激活 Amazon Inspector

使用 Amazon Inspector 的第一步是激活它為您的 AWS 帳戶. 啟用任何 Amazon Inspector 掃描類型後,Amazon Inspector 會立即開始探索並掃描所有符合資格的資源。

如果您想要透過集中式管理員帳戶管理組織內多個帳戶的 Amazon Inspector,則必須為 Amazon Inspector 指派委派管理員。選擇下列其中一個選項,以了解如何為您的環境啟用 Amazon Inspector。

Standalone account environment
  1. https://console.aws.amazon.com/inspector/v2/home 打開 Amazon Inspector 控制台。

  2. 選擇開始使用

  3. 選擇激活 Amazon Inspector.

當您在獨立帳戶中啟用 Amazon Inspector 時,預設會啟用所有掃描類型。您可以從 Amazon Inspector 主控台內的帳戶管理頁面或使用 Amazon Inspector API 來管理已啟動的掃描類型。啟用 Amazon Inspector 之後,它會自動探索並開始掃描所有符合資格的資源。檢閱下列掃描類型資訊,以瞭解哪些資源預設符合資格:

Amazon EC2 掃描

為了提供 EC2 執行個體的常見弱點和入侵 (CVE) 資料,Amazon Inspector 要求安裝並啟用 AWS Systems Manager (SSM) 代理程式。此代理程式已預先安裝在許多 EC2 執行個體上,但您可能需要手動啟用它。無論 SSM 代理程式狀態為何,都會掃描所有 EC2 執行個體是否有網路暴露問題。如需設定 Amazon EC2 掃描的詳細資訊,請參閱用亞馬遜檢查器掃描亞馬遜 EC2 實例

Amazon ECR 掃描

當您啟用 Amazon ECR 掃描時,Amazon Inspector 會將私有登錄中針對 Amazon ECR 提供的預設基本掃描設定的所有容器儲存庫轉換為持續掃描的增強型掃描。您也可以選擇將此設定設定為僅在推送時掃描,或透過包含規則掃描選取的儲存庫。過去 30 天內推送的所有影像都排定為終身掃描,此 Amazon ECR 掃描設定可隨時變更。如需設定 Amazon ECR 掃描的詳細資訊,請參閱使用 Amazon 檢查器掃描亞馬遜 ECR 容器映像

AWS Lambda 功能掃描

當您啟用 AWS Lambda 函數掃描時,Amazon Inspector 會探索您帳戶中的 Lambda 函數,並立即開始掃描它們是否有漏洞。Amazon Inspector 會在部署新的 Lambda 函數和層時進行掃描,並在更新或發佈新的常見弱點和曝光 (CVE) 時重新掃描這些函數和層。Amazon Inspector 提供兩種不同級別的 Lambda 函數掃描。根據預設,當您第一次啟用 Amazon Inspector 時,Lambda 標準掃描會啟動,以掃描函數中的套件相依性。您可以另外啟用 Lambda 程式碼掃描,掃描函數中的開發人員程式碼是否存在程式碼弱點。如需設定 Lambda 函數掃描的詳細資訊,請參閱Amazon Inspector 掃描 AWS Lambda 功能

Multi-account environment
重要

若要完成這些步驟,您必須與要管理的所有帳戶位於同一個組織中,並且可以存取 AWS Organizations 管理帳戶,才能在組織內委派 Amazon Inspector 的管理員。可能需要其他權限才能委派管理員。如需詳細資訊,請參閱 指定委派管理員所需的許可

注意

要以編程方式為多個區域中的多個帳戶啟用 Amazon Inspector,您可以使用 Amazon Inspector 開發的 shell 腳本。如需有關使用此指令碼的詳細資訊,請參閱檢查器 2-enablement-with-cli 上的。 GitHub

委派 Amazon Inspector 員的管理員

  1. 登入 AWS Organizations 管理帳戶。

  2. https://console.aws.amazon.com/inspector/v2/home 打開 Amazon Inspector 控制台。

  3. 在「委派管理員」窗格中,輸入您要指定為組織之 Amazon Inspector 委派管理員的十二位數 ID。 AWS 帳戶 然後選擇「委派」。然後,在確認視窗中,再次選擇「委派」。

    注意

    當您委派管理員時,系統會為您的帳戶啟用 Amazon Inspector。

新增會員帳戶

身為委派管理員,您可以針對與 Organizations 管理帳戶相關聯的任何成員啟動掃描。此工作流程會啟動所有成員帳戶的所有掃描類型。不過,成員也可以為自己的帳戶啟用 Amazon Inspector,或者委派的管理員可以選擇性地啟動服務掃描。如需詳細資訊,請參閱 管理多個 帳戶

  1. 登入委派的系統管理員帳戶。

  2. https://console.aws.amazon.com/inspector/v2/home 打開 Amazon Inspector 控制台。

  3. 在功能窗格中,選擇 [帳戶管理]。「戶」表格會顯示與「Organizations」管理帳戶相關聯的所有成員帳戶。

  4. 在 [帳戶管理] 頁面中,您可以從頂端橫幅選擇 [啟動所有帳戶的掃描],以啟用 EC2 執行個體、ECR 容器映像,以及組織中所有帳戶的 AWS Lambda 功能掃描。或者,您可以在「帳戶」表中選取要新增為成員的帳戶,以選擇這些帳戶。然後從「用」功能表中選取「所有掃描」。

  5. (選擇性) 開啟自動啟用新成員帳戶的 Inspector 功能,然後選取要包含的掃描類型,以針對新增至組織的任何新成員帳戶啟動這些掃描。

Amazon Inspector 器目前提供 EC2 執行個體、ECR 容器映像和 AWS Lambda 功能的掃描。啟用 Amazon Inspector 之後,它會自動開始探索和掃描所有符合資格的資源。檢閱下列掃描類型資訊,以瞭解哪些資源預設符合資格:

Amazon EC2 掃描

為了提供 EC2 執行個體的 CVE 弱點資料,Amazon Inspector 要求安裝並啟用 AWS Systems Manager (SSM) 代理程式。此代理程式已預先安裝在許多 EC2 執行個體上,但您可能需要手動啟用它。無論 SSM 代理程式狀態為何,都會掃描所有 EC2 執行個體是否有網路暴露問題。如需設定 Amazon EC2 掃描的詳細資訊,請參閱用亞馬遜檢查器掃描亞馬遜 EC2 實例

Amazon ECR 掃描

當您啟用 Amazon ECR 掃描時,Amazon Inspector 會將私有登錄中針對 Amazon ECR 提供的預設基本掃描設定的所有容器儲存庫轉換為使用持續掃描的增強型掃描。您也可以選擇將此設定設定為僅在推送時掃描,或透過包含規則掃描選取的儲存庫。過去 30 天內推送的所有影像都會排程進行終身掃描。委派的管理員可以隨時變更此 Amazon ECR 掃描設定。如需設定 Amazon ECR 掃描的詳細資訊,請參閱使用 Amazon 檢查器掃描亞馬遜 ECR 容器映像

AWS Lambda 功能掃描

當您啟用 AWS Lambda 函數掃描時,Amazon Inspector 會探索您帳戶中的 Lambda 函數,並立即開始掃描它們是否有漏洞。Amazon Inspector 會在部署新的 Lambda 函數和層時進行掃描,並在更新或發佈新的常見弱點和曝光 (CVE) 時重新掃描這些函數和層。如需設定 Lambda 函數掃描的詳細資訊,請參閱Amazon Inspector 掃描 AWS Lambda 功能

步驟 2:查看 Amazon Inspector 發現

您可以在 Amazon Inspector 主控台或透過 API 檢視環境的發現結果。所有發現也被推送到 Amazon EventBridge 和 AWS Security Hub (如果激活)。此外,容器映像發現的結果也會推送至 Amazon ECR。

Amazon Inspector 主控台為您的發現項目提供數種不同的檢視格式。Amazon Inspector 儀表板為您提供環境風險的高階概觀,而「發現項目」表則可讓您檢視特定發現項目的詳細資訊。

在此步驟中,您可以使用「現項目」表格與「發現項目」儀表板來探索發現項目的詳細 如需 Amazon Inspector 儀表板的相關資訊,請參閱了解儀表板

若要在 Amazon Inspector 主控台中檢視您環境的發現項目詳細資訊:

  1. https://console.aws.amazon.com/inspector/v2/home 打開 Amazon Inspector 控制台。

  2. 在導覽窗格中,選取 [儀表板]。您可以選取儀表板中的任何連結,以瀏覽 Amazon Inspector 主控台中的某個頁面,其中包含有關該項目的詳細資訊。

  3. 從導覽窗格中,選取「發現項目」。

  4. 預設情況下,您會看到 [所有發現項目] 索引標籤,其中顯示所有 EC2 執行個體、ECR 容器映像、您環境的 AWS Lambda 函數發現項目。

  5. 在「發現項目」清單中,選擇「標題」欄位中的搜尋結果名稱,以開啟該發現項目的明細窗格。所有發現項目都有「搜尋結果詳細資訊 您可以透過下列方式與「尋找項目詳細資料」標籤互動:

    • 如需有關此弱點的詳細資訊,請按照弱點詳細資訊一節中的連結,開啟此資訊安全風險的文件。

    • 若要進一步調查您的資源,請按照 [資源受影響] 區段中的 [資源 ID] 連結,開啟受影響資源的服務主控台。

    P@@ ackage 弱點類型發現項目還具有 In spector 分數和弱點情報索引標籤,說明如何計算該發現項目的 Amazon Inspector 分數,並提供與發現項目相關聯的常見弱點和漏洞攻擊 (CVE) 的資訊。如需尋找類型的詳細資訊,請參閱在 Amazon Inspector 中查找類型