HAQM Inspector 常见问题
一般性问题
全部打开什么是 HAQM Inspector?
HAQM Inspector 是一项自动化漏洞管理服务,可近乎实时地持续扫描 HAQM Elastic Compute Cloud(EC2)、AWS Lambda 函数以及 HAQM ECR 中的容器映像以及持续集成和持续交付(CI/CD)工具中的软件漏洞和意外网络暴露。
HAQM Inspector 有哪些主要优势?
HAQM Inspector 允许您一步跨所有账户部署 HAQM Inspector,从而消除了与部署和配置漏洞管理解决方案相关的运营开销。其他优势包括:
- 自动化发现及持续扫描,提供近乎实时漏洞结果
- 通过设置委派管理员(DA)账户,对组织的所有账户进行集中管理、配置和结果查看
- 针对每个结果提供高度情境化且有意义的 HAQM Inspector 风险评分,帮助您设置更准确的响应优先级
- 直观的 HAQM Inspector 控制面板,可近乎实时地显示覆盖率指标,包括账户、HAQM EC2 实例、Lambda 函数以及 HAQM ECR 和 CI/CD 工具中的容器映像。
- 通过无缝扫描 EC2 实例,在基于代理和无代理的扫描(预览版)之间切换,最大限度地提高漏洞评测覆盖范围。
- 集中管理所有受监控资源的软件物料清单(SBOM)导出。
- 与 AWS Security Hub 和 HAQM EventBridge 集成,实现工作流和票证路由的自动化
我如何从 HAQM Inspector Classic 迁移至新 HAQM Inspector?
您只需删除账户中的所有评估模板即可停用 HAQM Inspector Classic。要访问现有评测运行结果,您可以下载这些结果作为报告或使用 HAQM Inspector API 导出这些结果。您可以通过在 AWS 管理控制台中执行几个步骤,或通过使用新 HAQM Inspector API 来激活新的 HAQM Inspector。您可以在 HAQM Inspector Classic 用户指南中找到详细的迁移步骤。
HAQM Inspector 与 HAQM Inspector Classic 有何区别?
HAQM Inspector 已重新架构并重建,以创建一项新的漏洞管理服务。以下是 HAQM Inspector Classic 的重要改进:
- 专为扩展而设计:新 HAQM Inspector 是专为扩展和动态云环境而设计的。一次可以扫描的实例或镜像数量没有限制。
- 支持容器映像和 Lambda 函数:新 HAQM Inspector 还可以扫描位于 HAQM ECR 中、CI/CD 工具内和 Lambda 函数中的容器映像,用于查找软件漏洞。它还可以将容器相关结果推送至 HAQM ECR 控制台。
- 支持多账户管理:新 HAQM Inspector 与 AWS Organizations 集成,允许您为企业委派 HAQM Inspector 管理员账户。委派管理员 (DA) 账户是一个集中账户,合并所有结果并能配置所有成员账户。
- AWS Systems Manager Agent:借助新 HAQM Inspector,您将不再需要在 HAQM EC2 所有实例上安装并维护独立的 HAQM Inspector 代理。新 HAQM Inspector 利用广泛部署的 AWS Systems Manager Agent (SSM Agent),消除了这种需求。
- 自动化持续扫描:新 HAQM Inspector 自动检测所有新启动的 HAQM EC2 实例、Lambda 函数和推送至 HAQM ECR 的有效容器映像,并立即扫描其软件漏洞和意外网络暴露。事件发生时可能会引入新的漏洞,所涉及的资源会被自动重新扫描。启动重新扫描资源的事件包括在 EC2 实例中安装新包、安装补丁,以及何时发布影响该资源的新的常见漏洞和暴露(CVE)。
- HAQM Inspector 风险评分:新 HAQM Inspector 通过将最新的 CVE 信息与时间和环境因素(如网络可访问性和可利用性信息)相关联,计算出 Inspector 风险评分,然后添加上下文,从而帮助确定您的结果的优先级。
- 漏洞评测覆盖范围:新的 HAQM Inspector 通过无缝扫描 EC2 实例以及在基于代理和无代理扫描(预览版)之间切换来增强漏洞评测。
- 软件物料清单(SBOM)导出:新的 HAQM Inspector 集中管理和导出所有受监控资源的 SBOM。
我可以在同一个账户中同时使用 HAQM Inspector 和 HAQM Inspector Classic 吗?
是的,您可以在同一个账户中同时使用这两种服务。
适用于 HAQM Elastic Container Registry(ECR)的 HAQM Inspector 容器映像扫描服务与 HAQM ECR 原生容器映像扫描解决方案有何不同?
| HAQM Inspector 容器映像扫描(ECR 增强型扫描) | HAQM ECR 原生容器映像扫描(ECR 基本扫描) | |
|---|---|---|
| 扫描引擎 |
HAQM Inspector 是 AWS 开发的一项漏洞管理服务,内置对 HAQM ECR 中的容器镜像的支持 |
HAQM ECR 提供托管的 AWS 原生基本扫描解决方案 |
| 资源包覆盖范围 |
识别操作系统(OS)资源包和编程语言(如 Python、Java 和 Ruby)资源包中的漏洞 |
仅识别 OS 资源包中的软件漏洞 |
| 支持增强检测 | 是的,检测涵盖的生态系统包括 Go 工具链、Oracle JDK & JRE、HAQM Corretto、Apache Tomcat、Apache httpd、Wordpress(核心、主题、插件)、Google Puppeteer(Chrome 嵌入)和 Node.js 运行时 | 否 |
| 支持 scratch、distroless 和 Chainguard 映像 | 是的,支持所有 scratch、distroless 和 Chainguard 映像。 | 否 |
| 扫描频率 |
提供连续扫描和推送时扫描 |
仅提供推送时扫描 |
| 漏洞情报 | 提供增强的漏洞情报,例如 CVE 是否可用、软件包版本修复指南中是否已修复、EPSS 分数以及用于利用 CVE 的恶意软件工具包 | 仅提供有关软件漏洞的基本信息 |
| 结果 |
可在 HAQM Inspector 和 ECR 控制台以及 HAQM Inspector 和 HAQM ECR 应用程序编程接口(API)和软件开发工具包(SDK)中查看结果 |
可在 HAQM ECR 控制台和 HAQM ECR API 和 SDK 中查看结果 |
| EOL 检测 | 是的,HAQM Inspector 会为 EOL 软件生成额外的调查发现 | 不,EOL 检测不可用 |
| 漏洞评分 |
提供情境化 Inspector 评分以及美国国家漏洞数据库 (NVD) 和供应商的通用漏洞评分系统 (CVSS) v2 和 v3 评分 |
仅 CVSS v3 和 v2 评分 |
| AWS 服务集成 |
已与 AWS Security Hub、AWS Organizations 和 AWS EventBridge 集成 |
没有与其他 AWS 服务的内置集成 |
HAQM Inspector 如何定价?
如需了解完整的定价详情,请参阅 HAQM Inspector 定价页面。
HAQM Inspector 是否提供免费试用版?
HAQM Inspector 的所有新账户均有资格获得 15 天的免费试用,用于评估服务及估计成本。 试用期间,可免费持续扫描推送到 ECR 的所有合格的 HAQM EC2 实例、AWS Lambda 函数和容器镜像。您也可以在 HAQM Inspector 控制台查看预计的花费。
在哪些区域可以使用 HAQM Inspector?
HAQM Inspector 现已在全球推出。此处列出了各个区域的具体可用性。
入门
全部打开如何开始?
您只需在 AWS 管理控制台中执行几个步骤,即可为您的整个企业或个人账户激活 HAQM Inspector。激活后,HAQM Inspector 自动发现正在运行的 HAQM EC2 实例、Lambda 函数和 HAQM ECR 存储库,并立即开始持续扫描工作负载,以发现软件漏洞和意外网络暴露。如果您是第一次使用 HAQM Inspector,将获得 15 天免费试用。
HAQM Inspector 的调查发现是什么?
HAQM Inspector 结果是潜在的安全漏洞。例如,HAQM Inspector 检测软件漏洞或开放至计算资源的网络路径时,HAQM Inspector 会创建安全结果。
我能使用 AWS Organizations 结构管理 HAQM Inspector 吗?
符合。HAQM Inspector 已与 AWS Organizations 集成。您可以为 HAQM Inspector 配置 DA 账户,该帐户作为 HAQM Inspector 的主管理员账户,可用于对其进行集中管理和配置。DA 账户可以集中查看并管理 AWS 企业的所有账户的结果。
我如何委派 HAQM Inspector 服务的管理员?
AWS Organizations 管理账户可在 HAQM Inspector 控制台中或通过使用 HAQM Inspector API 为 HAQM Inspector 分配 DA 账户。
我是否必须激活特定的扫描类型(即 HAQM EC2 扫描、Lambda 函数扫描或 HAQM ECR 容器映像扫描)?
如果您是第一次启动 HAQM Inspector,则默认会激活所有扫描类型,包括 EC2 扫描、Lambda 扫描和 ECR 容器镜像扫描。但是,您可以在组织的所有账户中停用其中任何一个或所有这些类型。现有用户可以在 HAQM Inspector 控制台中或使用 HAQM Inspector API 激活新功能。
我是否需要代理来使用 HAQM Inspector?
不,无需代理即可进行扫描。对于 HAQM EC2 实例的漏洞扫描,您可以为基于代理的解决方案使用 AWS Systems Manager Agent(SSM Agent)。如果您没有部署或配置 SSM Agent,HAQM Inspector 还提供无代理扫描(预览版)。评测 HAQM EC2 实例的网络可达性、容器映像的漏洞扫描或 Lambda 函数的漏洞扫描时,不需要代理。
如何安装并配置 HAQM Systems Manager Agent?
要成功扫描 HAQM EC2 实例的软件漏洞,HAQM Inspector 要求用 AWS Systems Manager 和 SSM Agent 管理这些实例。请参阅 AWS Systems Manager 用户指南中的 Systems Manager 先决条件,了解如何激活和配置 AWS Systems Manager。有关托管式实例的信息,请参阅 AWS Systems Manager 用户指南中的托管式实例部分。
如何知道哪些 HAQM ECR 存储库配置了扫描? 如何管理应配置哪些存储库进行扫描?
HAQM Inspector 支持配置包含规则,以选择扫描哪些 ECR 存储库。可在 ECR 控制台中的注册设置页面或使用 ECR API 创建并管理包含规则。匹配包含规则的 ECR 存储库配置了扫描。存储库的详细扫描状态在 ECR 和 HAQM Inspector 控制台中可见。
使用 HAQM Inspector
全部打开我如何知道我的资源是否正在被主动扫描?
HAQM Inspector 控制面板中的环境覆盖范围面板显示 HAQM Inspector 正在主动扫描的账户指标、HAQM EC2 实例、Lambda 函数和 ECR 存储库。每个实例和镜像的扫描状态:扫描或未扫描。扫描状态表示近乎实时地持续扫描资源。未扫描状态表示尚未执行初始扫描,操作系统不受支持,或扫描受阻。
多久执行一次自动化重新扫描?
所有扫描都会根据事件自动执行。对于所有工作负载,在发现时,先进行初始扫描,然后进行重新扫描。
- 对于 HAQM EC2 实例:对于基于 SSM 代理的扫描,在实例中安装或卸载新软件资源包时,发布新的 CVE 时,以及更新有漏洞的资源包后,开始重新扫描(以确认是否有其他漏洞)。对于无代理扫描,每 24 小时进行一次扫描。
- 对于 HAQM ECR 容器映像:当影响映像的新 CVE 发布时,开始自动化重新扫描合格的容器映像。容器映像的自动重新扫描基于在 HAQM Inspector 控制台或 API 中为映像推送日期和拉取日期配置的重新扫描持续时间。如果映像的推送日期小于配置的“推送日期重新扫描持续时间”,并且映像已在配置的“拉取日期重新扫描持续时间”内拉取,则将继续监控容器映像,并在发布影响映像的新 CVE 时开始自动重新扫描。映像推送日期的可用重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天、180 天或生命周期。映像拉取日期的重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天或 180 天。
- 对于 Lambda 函数:所有新的 Lambda 函数在发现时都会进行初步评测,并在 Lambda 函数更新或发布新 CVE 时不断重新评测。
用 HAQM Inspector 重新持续扫描容器映像需要多长时间?
位于 HAQM ECR 存储库中被配置持续扫描的容器映像将在 HAQM Inspector 控制台或 API 中配置的持续时间内进行扫描。映像推送日期的可用重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天、180 天或生命周期。映像拉取日期的重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天或 180 天。
- 激活 HAQM Inspector ECR 扫描后,HAQM Inspector 仅选取过去 30 天内推送或拉取的映像进行扫描,但在配置的推送和拉取日期重新扫描持续时间(即 90 天[默认值]、14 天、60 天、30 天、180 天或生命周期)内持续扫描它们。如果映像的推送日期小于配置的“推送日期重新扫描持续时间”,并且映像已在配置的“拉取日期重新扫描持续时间”内拉取,则将继续监控容器映像,并在发布影响映像的新 CVE 时开始自动重新扫描。例如,激活 HAQM Inspector ECR 扫描时,HAQM Inspector 将拉取过去 30 天内推送或拉取的映像进行扫描。但是,激活后,如果您选择 180 天的推送和拉取日期重新扫描持续时间,HAQM Inspector 将继续扫描在过去 180 天内推送的映像或在过去 180 天内至少拉取过一次的映像。如果映像在过去 180 天内没有被推送或拉取过,HAQM Inspector 将停止对其进行监测。
- 激活 HAQM Inspector ECR 扫描后推送到 ECR 的所有映像都将在“推送日期重新扫描持续时间”和“拉取日期重新扫描持续时间”中配置的持续时间内被持续扫描。映像推送日期的可用重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天、180 天或生命周期。映像拉取日期的重新扫描持续时间配置为 90 天(默认值)、14 天、30 天、60 天或 180 天。自动重新扫描持续时间是根据容器映像的上次推送或拉取日期计算得出的。例如,在激活 HAQM Inspector ECR 扫描后,如果您选择 180 天的推送日期和拉取日期重新扫描持续时间配置,HAQM Inspector 将继续扫描在过去 180 天内推送的映像或在过去 180 天内至少拉取过一次的映像。但是,如果映像在过去 180 天内没有被推送或拉取过,HAQM Inspector 将停止对其进行监测。
- 如果映像处于“扫描资格已过期”状态,您可以对其进行拉取,以将其重新置于 HAQM Inspector 监测下。将在从上次拉取日期配置的推送和拉取日期重新扫描持续时间内持续扫描映像。
我能否将我的资源排除在扫描范围之外?
- 对于 HAQM EC2 实例:能,可以通过添加资源标签将 EC2 实例排除在扫描范围之外。您可以使用密钥 ‘InspectorEc2Exclusion’,值为 <optional>。
- 对于位于 HAQM ECR 中的容器映像:能。尽管您可以选择配置哪些 HAQM ECR 存储库进行扫描,但是系统将扫描存储库内的所有镜像。您可以创建包含规则,来选择应该扫描哪些存储库。
- 对于 Lambda 函数:能,可以通过添加资源标签将 Lambda 函数排除在扫描范围之外。对于标准扫描,请使用密钥“InspectorExclusion”和值“LambdaStandardScanning”。要进行代码扫描,请使用密钥“InspectorCodeExclusion”和值“LambdaCodeScanning”。
如何使用 HAQM Inspector 评测我的 Lambda 函数是否存在安全漏洞?
在多账户结构中,您可以通过委派管理员(DA)账户从 HAQM Inspector 控制台或 API 为您在 AWS 组织内的所有账户激活 HAQM Inspector for Lambda 漏洞评估,其他成员账户则可以在中央安全团队尚未为他们激活 HAQM Inspector 时为各自的账户执行此操作。不属于 AWS 组织的账户可以通过 HAQM Inspector 控制台或 API 为其个人账户激活 HAQM Inspector。
如果 Lambda 函数有多个版本,HAQM Inspector 会评测哪个版本?
HAQM Inspector 将仅持续监控和评估 $LATEST 版本。自动重新扫描将仅针对最新版本继续进行,因此只会为最新版本生成新发现。在控制台中,您可以通过从下拉列表中选择版本来查看任何版本的结果。
我能否在不激活 Lambda 标准扫描的情况下激活 Lambda 代码扫描?
不能。您有两种选择:要么单独激活 Lambda 标准扫描,要么同时启用 Lambda 标准扫描和代码扫描。Lambda 标准扫描为作为 Lambda 函数和关联层部署的应用程序中使用的易受攻击的依赖项提供基本的安全保护。Lambda 代码扫描可以在 Lambda 函数中扫描您的自定义专有应用程序代码以查找代码安全漏洞(例如注入缺陷、数据泄漏、弱加密或嵌入式机密),从而进一步提高安全价值。
将 SSM 目录收集频率从默认的 30 分钟更改为 12 小时对 HAQM Inspector 的连续扫描有何影响?
更改 SSM 目录收集频率的原定设置可能会影响扫描的连续性。HAQM Inspector 依靠 SSM Agent 收集应用程序目录来生成结果。如果延长应用程序目录持续时间的原定设置 30 分钟,这将延迟对应用程序目录变更的检测,并延迟新结果。
HAQM Inspector 的风险评分是多少?
HAQM Inspector 风险评分是一个高度情境化的评分,系统通过将通用漏洞和暴露(CVE)信息与网络可达性结果、可利用性数据和社交媒体趋势关联,对每个结果生成该评分。这使您更容易对结果进行优先排序,并专注于最重要的结果和有漏洞的资源。您可以查看如何计算 Inspector 风险评分,以及哪些因素影响了结果详细信息侧面板中 Inspector 评分选项中的评分。
示例:在您的 HAQM EC2 实例中存在已识别的新 CVE, 该 CVE 只能远程使用。如果 HAQM Inspector 持续网络可达性扫描还发现无法通过网络访问该实例,HAQM Inspector 就会发现漏洞的利用性太低。因此,HAQM Inspector 将扫描结果与 CVE 相关联,以向下调整风险评分,更准确地反映 CVE 对该特定实例的影响。
如何确定结果的严重性?
| HAQM Inspector 分数 | 严重性 |
|---|---|
| 0 | 信息性公告 |
| 0.2–3.9 | 低 |
| 4.0–6.9 | 中型 |
| 7.0–8.9 | 高 |
| 9.0–10.0 | 关键 |
如何使用禁止规则?
HAQM Inspector 允许您根据您设定的自定义标准禁止结果。您可以为您的企业认为可接受的结果创建禁止规则。
如何导出结果,包括哪些结果?
您只需在 HAQM Inspector 控制台中执行几个步骤或使用 HAQM Inspector API,即可生成多种格式(CSV 或 JSON)的报告。您可以下载包含所有结果的完整报告,或者根据控制台中设置的视图筛选器生成并下载自定义报告。
我能否在不激活 Lambda 标准扫描的情况下激活 Lambda 代码扫描?
不能。您有两种选择:要么单独激活 Lambda 标准扫描,要么同时启用 Lambda 标准扫描和代码扫描。Lambda 标准扫描为作为 Lambda 函数和关联层部署的应用程序中使用的易受攻击的依赖项提供基本的安全保护。Lambda 代码扫描可以在 Lambda 函数中扫描您的自定义专有应用程序代码以查找代码安全漏洞(例如注入缺陷、数据泄漏、弱加密或嵌入式机密),从而进一步提高安全价值。
如何为我的资源导出 SBOM,其中包含哪些内容?
只需在 HAQM Inspector 控制台中或通过 HAQM Inspector API 执行几个步骤,就能以多种格式(CyclonedX 或 SPDX)为使用 HAQM Inspector 监控的所有资源生成和导出 SBOM。您可以使用 SBOM 下载所有资源的完整报告,也可以根据设置的视图筛选条件有选择地生成和下载一些选定资源的 SBOM。
如何为我的账户启用无代理扫描?
对于使用单个账户的现有 HAQM Inspector 客户,您可以通过访问 HAQM Inspector 控制台内的“账户管理”页面或使用 API 来启用无代理扫描(预览版)。
对于使用 AWS Organizations 的现有 HAQM Inspector 客户,您的委派管理员需要将整个组织完全迁移到无代理解决方案,或者继续专门使用基于 SSM Agent 的解决方案。您可以从控制台中的“EC2 设置”页面或通过 API 更改扫描模式配置。
对于新的 HAQM Inspector 客户,在无代理扫描预览期间,启用 EC2 扫描时将以基于代理的扫描模式扫描实例。如果需要,您可以切换到混合扫描模式。在混合扫描模式下,HAQM Inspector 依靠 SSM Agent 进行应用程序清单收集来执行漏洞评测,并自动对未安装或配置 SSM Agent 的实例进行无代理扫描。
无代理扫描的频率是多少?
对于标记为无代理扫描(预览版)的实例,HAQM Inspector 将每 24 小时自动触发一次扫描。对于标记为基于 SSM Agent 的扫描的实例,连续扫描行为不会发生变化。
当我使用混合扫描模式进行 EC2 扫描时,在哪里可以查看哪些实例正在使用代理扫描,哪些实例正在使用无代理扫描?
您只需访问 HAQM Inspector 控制台中的资源覆盖范围页面或使用 HAQM Inspector 覆盖范围 API,即可在“监控使用”列中查看扫描模式。
多账户设置中的成员账户是否可以修改各自账户的 EC2 扫描扫描模式?
不可以,在多账户设置中,只有委派管理员才能为整个组织设置扫描模式配置。
如何将 HAQM Inspector 集成到我的 CI/CD 工具中以进行容器映像扫描?
应用程序和平台团队可以使用专为各种 CI/CD 工具(例如 Jenkins 和 TeamCity)设计的专用 HAQM Inspector 插件,将 HAQM Inspector 集成到其构建管道中。这些插件可在各个 CI/CD 工具的市场中找到。安装插件后,您可以在管道中添加一个步骤来执行容器映像的评测并执行操作,例如根据评测结果阻止管道。当评测中发现漏洞时,就会生成可操作的安全调查发现。这些调查发现包括漏洞详细信息、修复建议和可利用性详细信息。它们以 JSON 和 CSV 格式返回到 CI/CD 工具,可以通过 HAQM Inspector 插件将其转换为人类可读的控制面板,也可以由团队下载。
我是否需要启用 HAQM Inspector 才能使用 HAQM Inspector CI/CD 集成进行容器映像扫描?
不,只要您有活跃的 AWS 账户,就无需启用 HAQM Inspector 来使用此功能。
我可以通过将 HAQM Inspector 设置为 VPC 端点来扫描我的私有 HAQM EC2 实例吗?
符合。HAQM Inspector 使用 SSM Agent 收集应用程序目录,可以将其设置为 HAQM Virtual Private Cloud (VPC) 端点,避免在互联网上发送信息。
HAQM Inspector 支持哪些操作系统?
您可以在此处找到支持的操作系统(OS)列表。
HAQM Inspector 支持哪些编程语言资源包进行容器映像扫描?
您可以在此处找到支持的编程语言资源包列表。
HAQM Inspector 可以与使用网络地址转换(NAT)的实例配合使用吗?
符合。HAQM Inspector 自动支持使用 NAT 的实例。
我的实例使用代理。HAQM Inspector 能否与这些实例配合使用?
符合。有关更多信息,请参阅如何配置 SSM Agent 以使用代理。
HAQM Inspector 可以与其他 AWS 服务集成来进行日志记录和提供通知吗?
HAQM Inspector 与 HAQM EventBridge 集成提供事件通知,例如新结果、结果状态变更、或禁止规则创建。HAQM Inspector 还与 AWS CloudTrail 集成,用于调用日志记录。
HAQM Inspector 提供“CIS 操作系统安全配置基准测试”扫描吗?
符合。您可以运行 HAQM Inspector,针对整个 AWS 组织中的 HAQM EC2 实例的操作系统级 CIS 配置基准进行按需和有针对性的评测。
HAQM Inspector 可与 AWS 合作伙伴解决方案搭配使用吗?
符合。有关更多信息,请参阅 HAQM Inspector 合作伙伴。
我可以停用 HAQM Inspector 吗?
符合。您可以通过停用 HAQM Inspector 服务来停用所有扫描类型(HAQM EC2 扫描、HAQM ECR 容器镜像扫描和 Lambda 函数扫描),也可以单独为一个账户停用每种扫描类型。
我可以暂停 HAQM Inspector 吗?
不可以。HAQM Inspector 不支持暂停状态。