Вопросы и ответы по HAQM Inspector

Вы можете активировать HAQM Inspector для всей организации сразу или для отдельных аккаунтов, выполнив всего несколько шагов в Консоли управления AWS. Немедленно после активации HAQM Inspector начинает обнаруживать инстансы HAQM EC2, функции Lambda и репозитории HAQM ECR и выполнять для них постоянное сканирование рабочих нагрузок для поиска программных и сетевых уязвимостей. Если вы еще не работали с HAQM Inspector, вы можете воспользоваться бесплатным 15-дневным пробным периодом.

Отчет HAQM Inspector содержит сведения об обнаруженной потенциальной уязвимости. Например, HAQM Inspector создает отчет о безопасности, если обнаруживает программные уязвимости или открытые сетевые пути к вычислительным ресурсам.

Да. HAQM Inspector имеет встроенную интеграцию с AWS Organizations. Вы можете назначить для HAQM Inspector аккаунт уполномоченного администратора, который будет использоваться как основной административный аккаунт HAQM Inspector, и можете централизовано управлять им и настраивать его. Аккаунт уполномоченного администратора позволяет централизованно просматривать отчеты по всем аккаунтам, входящим в организацию AWS, и управлять ими.

Управляющий аккаунт AWS Organizations может назначить для HAQM Inspector аккаунт уполномоченного администратора с помощью консоли HAQM Inspector или через API HAQM Inspector.

Если вы начинаете использовать HAQM Inspector впервые, все типы сканирования, включая сканирование для EC2, для функций Lambda и для образов контейнеров, по умолчанию активированы. Однако вы можете отключить любое или все эти действия во всех аккаунтах своей организации. Существующие пользователи могут активировать новые функции на консоли HAQM Inspector или с помощью API для HAQM Inspector.

Нет, вам не нужен агент, чтобы выполнять сканирование. Для поиска уязвимостей на инстансах HAQM EC2 можно использовать Агент менеджера систем AWS (агент SSM) в качестве решения на основе агентов. HAQM Inspector также поддерживает сканирование без использования агента (доступно в ознакомительном режиме), если агент SSM еще не развернут или не настроен. Для проверки сетевой доступности инстансов HAQM EC2 и образов контейнеров или функций Lambda на наличие уязвимостей агенты не требуются. 

Чтобы HAQM Inspector мог успешно сканировать инстансы HAQM EC2 на наличие программных уязвимостей, все инстансы должны работать под управлением Менеджера систем AWS и Агента менеджера систем. Инструкции по установке и настройке AWS Systems Manager вы найдете на странице об основных требований для Systems Manager в руководстве пользователя по AWS Systems Manager. Сведения об управляемых инстансах есть в разделе Managed Instances (Управляемые инстансы) руководства пользователя по Менеджеру систем AWS.

HAQM Inspector поддерживает настройку правил включения, что позволяет выбрать конкретные репозитории ECR для сканирования. Правила включения можно создавать и администрировать на панели параметров реестра на консоли ECR или с помощью API ECR. Для сканирования отбираются все репозитории ECR, которые соответствуют указанному правилу включения. Подробные сведения о состоянии сканирования репозиториев можно найти в консолях ECR и HAQM Inspector.

Панель «Покрытие среды» на панели управления HAQM Inspector предоставляет метрики покрытия для аккаунтов, инстансов EC2, функций Lambda и репозиториев ECR, в которых HAQM Inspector активно выполняет сканирование. Для каждого инстанса и образа здесь указано состояние сканирования: «Сканируется» или «Не сканируется». Состояние «Сканируется» означает, что ресурс постоянно отслеживается почти в режиме реального времени. Состояние «Не сканируется» может обозначать одно из следующего: еще не было выполнено первичное сканирование, не поддерживается используемая ОС или сканирование невозможно по другой причине.

Все сканирования выполняются автоматически по наступлении определенных событий. Все рабочие нагрузки изначально сканируются при обнаружении, а затем регулярно сканируются повторно.

• Для инстансов HAQM EC2: во время сканирования на основе SSM агентов повторное сканирование выполняется при установке или удалении пакета программного обеспечения, при публикации новых сведений о распространенных уязвимостях и при обновлении уязвимого пакета (для проверки возможных дополнительных уязвимостей). При безагентном сканировании оно выполняется каждые 24 часа.
• Для образов контейнеров HAQM ECR: автоматизированное повторное сканирование выполняется для поддерживаемых образов контейнеров при публикации новых сведений о CVE, которые затрагивают этот образ. Автоматическое повторное сканирование образов контейнеров основано на длительности повторного сканирования, заданной как для даты загрузки, так и для даты извлечения образов в консоли HAQM Inspector или API. Если дата загрузки образов меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» и образ было извлечено в течение заданного значения для параметра «Продолжительность повторного сканирования для даты извлечения», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней.
• Для функций Lambda: все новые функции Lambda изначально проверяются при обнаружении, а затем непрерывно повторно проверяются, когда появляется обновление функции Lambda или публикуется новый CVE.

Размещенные в репозиториях HAQM ECR образы контейнеров, для которых настроено постоянное сканирование, проверяются в течение времени, заданного в консоли HAQM Inspector или API. Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней.

• После активации сканирования HAQM Inspector ECR, HAQM Inspector собирает для сканирования только образы, загруженные или извлеченные за последние 30 дней, но непрерывно сканирует их в течение периода повторного сканирования, заданного для даты загрузки и даты извлечения: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или на протяжении всего срока службы. Если дата загрузки образа меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» И образ было извлечено в течение заданного значения для параметра «Продолжительность повторного сканирования для даты извлечения», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Например, при активации сканирования HAQM Inspector ECR HAQM Inspector будет принимать для сканирования образы, отправленные или извлеченные за последние 30 дней. Однако после активации, если вы выберете длительность повторного сканирования 180 дней для конфигураций с датой загрузки и датой извлечения, HAQM Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или извлечены хотя бы один раз за последние 180 дней. Если образ не загружен или извлечен в течение последних 180 дней, HAQM Inspector прекратит его мониторинг.
• Все образы, загруженные в ECR после активации сканирования HAQM Inspector ECR, непрерывно сканируются в течение заданного периода времени в параметрах «Продолжительность повторного сканирования для даты загрузки» и «Продолжительность повторного сканирования для даты извлечения». Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней. Продолжительность автоматического повторного сканирования рассчитывается на основе даты последней загрузки или извлечения образа контейнера. Например, после активации сканирования HAQM Inspector ECR, если вы выберете продолжительность повторного сканирования 180 дней для даты загрузки и даты извлечения, HAQM Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или извлечены по крайней мере один раз за последние 180 дней. Однако если образ не загружен или извлечен в течение последних 180 дней, HAQM Inspector прекратит его мониторинг.
• Если образ находится в состоянии «Срок действия для сканирования истек», вы можете извлечь этот образ, чтобы вернуть его под контроль HAQM Inspector. Образ будет непрерывно сканироваться в течение продолжительности повторного сканирования для даты загрузки и даты извлечения, заданных с даты последнего извлечения.

• Для инстансов HAQM EC2: да, инстанс EC2 можно исключить из сканирования, добавив тег ресурса. Можно использовать ключ InspectorEc2Exclusion и значение <optional>.
• Для образов контейнеров, размещенных в HAQM ECR: да. Вы можете выбрать конкретные репозитории HAQM ECR, для которых будет выполняться сканирование, но не можете исключить отдельные образы в репозиториях. Для выбора сканируемых репозиториев нужно настроить правила включения.
• Для функций Lambda: да, функцию Lambda можно исключить из сканирования, добавив тег ресурса. Для стандартного сканирования используйте ключ InspectorExclusion и значение LambdaStandardScanning. Для сканирования кода используйте ключ InspectorCodeExclusion и значение LambdaCodeScanning.

В структуре с несколькими аккаунтами вы можете активировать HAQM Inspector для проверки уязвимостей функций Lambda для всех своих аккаунтов внутри AWS Organization с помощью консоли или API для HAQM Inspector через аккаунт уполномоченного администратора (DA). В то же время другие аккаунты-участники могут активировать HAQM Inspector для своего аккаунта, если основная группа по вопросам безопасности еще не активировала его для них. Аккаунты, которые не входят в AWS Organization, могут активировать HAQM Inspector отдельно для своего аккаунта с помощью консоли или API для HAQM Inspector.

HAQM Inspector будет непрерывно контролировать и оценивать только последнюю ($LATEST) версию. Автоматические повторные сканированию будут выполняться только для последней версии, и соответственно новые отчеты будут генерироваться только для нее. В консоли вы сможете видеть отчеты для любой версии, выбрав необходимую версию из раскрывающегося списка.

Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительную безопасность благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.

Изменение стандартной частоты сбора списков SSM может повлиять на актуальность данных сканирования. HAQM Inspector при создании своих отчетов полагается на список приложений, собранный агентами SSM Agent. Если список приложений будет составляться реже, чем указанный по умолчанию интервал в 30 минут, это замедлит обнаружение изменений в списке приложений, а следовательно и подготовку отчетов сканирования.

Оценка риска HAQM Inspector составляется на основе подробных данных о контексте каждого отчета, и для ее получения сведения о распространенных уязвимостях сопоставляются с информацией о сетевой доступности, наличии эксплойтов и тенденциях в социальных сетях. Эта оценка поможет вам правильно распределить приоритеты между отчетами, уделяя основное внимание наиболее важным отчетам и самым уязвимым ресурсам. Вы можете посмотреть, как и по каким факторам Inspector выполнял расчет оценки риска, открыв вкладку «Оценка Inspector» на боковой панели «Подробности отчетов».

Предположим, что для вашего инстанса HAQM EC2 обнаружена новая уязвимость, для которой эксплойт возможен только через удаленное подключение. Если HAQM Inspector на основании постоянных сканирований сетевой доступности определит, что этот инстанс недоступен из Интернета, он будет считать риск эксплойта для такой уязвимости минимальной. Таким образом, HAQM Inspector сопоставляет результаты сканирования с данными о распространенных уязвимостях и снижает риск, что более точно отражает реальное влияние конкретной уязвимости на конкретный экземпляр.

HAQM Inspector позволяет подавлять определенные отчеты, определяя для этого пользовательские критерии. Вы можете создать правила подавления для отчетов о таких уязвимостях, которые считаются допустимыми для вашей организации.

Вы можете экспортировать отчеты в нескольких форматах (CSV или JSON), выполнив всего несколько шагов в консоли HAQM Inspector или применив различные API HAQM Inspector. Вы можете скачать отчет со всеми полученными данными или отобрать интересующие, настроив для этого фильтры в консоли.

Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительную безопасность благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.

Можно создавать и экспортировать SBOM для всех ресурсов, отслеживаемых с помощью HAQM Inspector, в нескольких форматах (CycloneDx или SPDX), выполнив несколько шагов в консоли HAQM Inspector или воспользовавшись API HAQM Inspector. Вы можете загрузить полный отчет с SBOM для всех ресурсов или выборочно создать и загрузить SBOM для нескольких выбранных ресурсов на основе установленных фильтров просмотра.

Текущие клиенты HAQM Inspector, у которых один аккаунт, могут включить безагентное сканирование (ознакомительный режим) на странице управления аккаунтом в консоли HAQM Inspector или с помощью API.

Если вы текущий клиент HAQM Inspector и используете Организации AWS, вашему делегированному администратору необходимо либо полностью перевести организацию на безагентное решение, либо продолжить использовать исключительно решение на основе агента SSM. Конфигурацию режима сканирования можно изменить на странице настроек EC2 в консоли или с помощью API.

Если вы новый клиент HAQM Inspector, на протяжении периода ознакомления с функцией безагентного сканирования инстансы будут проверяться с использованием агента при включении сканирования EC2. При необходимости можно переключиться в гибридный режим сканирования. В гибридном режиме сканирования HAQM Inspector использует агенты SSM, чтобы получать списки приложений для проверки на наличие уязвимостей. Этот сервис автоматически переключается на безагентное сканирование, когда нужно проверить инстансы, для которых не установлены или не настроены агенты SSM.

HAQM Inspector автоматически запускает проверку инстансов, отмеченных для безагентного сканирования, каждые 24 часа (в ознакомительном режиме). Непрерывная проверка инстансов, отмеченных для сканирования с использованием агента SSM, будет выполняться, как и прежде. 

Режим сканирования указан в столбце monitored using (отслеживание с использованием). Перейдите на страницы о покрытии ресурсов в консоли HAQM Inspector или используйте соответствующие API HAQM Inspector. 

Нет. Если у вас несколько аккаунтов, конфигурацию режима сканирования для всей организации могут настроить только делегированные администраторы.

Группы разработчиков приложений и платформ могут внедрить HAQM Inspector в свои конвейеры сборки с помощью специальных плагинов HAQM Inspector, разработанных для различных инструментов непрерывной интеграции и доставки, таких как Jenkins и TeamCity. Эти плагины доступны на торговой площадке каждого соответствующего инструмента непрерывной интеграции и доставки. После установки плагина можно добавить в конвейер шаг для проверки образа контейнера и принятия мер, таких как блокирование конвейера на основе результатов проверки. Если в ходе проверки будут выявлены уязвимости, сгенерируются данные о действиях, которые помогут обеспечить безопасность. Полученные данные будут включать информацию об уязвимостях, рекомендации по их устранению и сведения о наличии возможностей для их использования. Они направляются в инструмент непрерывной интеграции и доставки в форматах JSON и CSV, которые затем можно отобразить в виде читабельный для человека информационной панели с помощью плагина HAQM Inspector. Кроме того, команды могут их загрузить.

Нет. Если у вас есть активный аккаунт AWS, включать HAQM Inspector, чтобы использовать эту функцию, не нужно.

Да. HAQM Inspector использует для сборки данных о списке приложений SSM Agent, который можно настроить в формате адресов HAQM Virtual Private Cloud (VPC), чтобы не передавать данные через общедоступный Интернет.

Список поддерживаемых операционных систем приводится здесь.

Список языков программирования, для которых поддерживаются пакеты, приводится здесь.

Да. HAQM Inspector имеет встроенную поддержку инстансов, которые используют NAT.

Да. Дополнительные сведения о том, как настроить SSM Agent для использования прокси-сервера, см. в этой статье.

HAQM Inspector интегрируется с HAQM EventBridge для предоставления оповещений о таких событиях, как новый отчет, изменение состояния отчета или создание правила подавления. Также HAQM Inspector интегрируется с AWS CloudTrail для ведения журнала вызовов.

Да. HAQM Inspector можно использовать для целенаправленной оценки и оценки по запросу инстансов HAQM EC2 в вашей организации AWS на основе эталонных тестов конфигурации CIS на уровне ОС.

Да. Дополнительные сведения см. на странице о партнерах HAQM Inspector.

Да. Вы можете отключить все типы сканирований (сканирование HAQM EC2, сканирование образов контейнеров HAQM ECR и сканирование функций Lambda), отключив сервис HAQM Inspector, или вручную отключить любой из типов сканирования для конкретного аккаунта.

Нет. HAQM Inspector не поддерживает состояние приостановки.