在漏洞管理計畫中使用 Amazon Inspector

Amazon Inspector 是一種漏洞管理服務，可持續掃描您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Elastic Container Registry (Amazon ECR) 容器映像，以及 AWS Lambda 軟體漏洞和意外網路暴露的函數。您可以使用 Amazon Inspector 來取得整個 AWS 環境的軟體漏洞的可見性，並排定解決優先順序。

Amazon Inspector 會在資源的整個生命週期中持續評估您的環境。它會自動重新掃描資源，以回應可能引入新漏洞的變更。例如，當您在 EC2 執行個體上安裝新套件、安裝修補程式，或發佈影響資源的新常見漏洞和暴露 (CVE) 時，它會重新掃描。當 Amazon Inspector 識別漏洞或開放式網路路徑時，會產生您可以調查的問題清單。調查結果提供有關漏洞的完整資訊，包括下列項目：

• Amazon Inspector 風險分數

• 常見漏洞評分系統 (CVSS) 分數

• 受影響的資源

• 來自 Amazon、 Recorded Future和 的 CVE 漏洞情報資料 Cybersecurity and Infrastructure Security Agency (CISA)

• 修復建議

如需設定 Amazon Inspector 的說明，請參閱 Amazon Inspector 入門。本教學中的啟用 Amazon Inspector 步驟提供兩種組態選項：獨立帳戶環境和多帳戶環境。如果您想要監控屬於組織成員的多個 AWS 帳戶 ，建議您使用多帳戶環境選項 AWS Organizations。

當您為多帳戶環境設定 Amazon Inspector 時，您可以將組織中的帳戶指定為 Amazon Inspector 委派管理員。委派管理員可以管理組織成員的調查結果和一些設定。例如，委派管理員可以檢視所有成員帳戶彙總調查結果的詳細資訊、啟用或停用成員帳戶的掃描，以及檢閱掃描的資源。 AWS SRA 建議您建立安全工具帳戶，並將其用作 Amazon Inspector 委派管理員。