本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理 Image Builder 映像的安全调查发现
当您使用 Amazon Inspector 激活安全扫描时,它会持续扫描您账户中的计算机映像和正在运行的实例,以查找操作系统和编程语言的漏洞。如果激活,则安全扫描将自动进行,Image Builder 可以在您创建新映像时保存测试实例中的调查发现快照。Amazon Inspector 是一项付费服务。
当 Amazon Inspector 发现您的软件或网络设置中存在的漏洞时,它会采取以下措施:
-
通知您有调查发现。
-
评估结果的严重性。严重性评级对漏洞进行分类,以帮助您确定调查发现的优先级,并包括以下值:
-
未分类
-
信息性
-
低
-
中
-
高
-
重大
-
-
提供有关调查发现的信息,并提供指向其他资源的链接以获取更多详细信息。
-
提供补救指导,帮助您解决导致调查发现的问题。
在中为 Image Builder 图像配置安全扫描 Amazon Web Services Management Console
如果您已为自己的账户激活了 Amazon Inspector,Amazon Inspector 会自动扫描 Image Builder 启动的EC2实例以构建和测试新映像。在构建和测试过程中,这些实例的生命周期很短,它们的调查发现通常会在这些实例关闭后立即过期。为了帮助您调查和修复新映像的调查发现,Image Builder 可以选择将 Amazon Inspector 在构建过程中在测试实例上识别的任何调查发现保存为快照。
第 1 步:为您的账户激活 Amazon Inspector 安全扫描
要从 Image Builder 控制台为您的账户激活 Amazon Inspector 安全扫描,请按照以下步骤操作:
-
打开 EC2 Image Builder 控制台,网址为https://console.aws.amazon.com/imagebuilder/
。 -
从导航窗格中,选择安全扫描设置。这将打开安全扫描对话框。
该对话框显示您账户的扫描状态。如果已为您的账户激活 Amazon Inspector,则状态将显示为已启用。
-
按照说明中的步骤 1 和步骤 2 激活 Amazon Inspector 扫描。
注意
Amazon Inspector 会产生费用。有关更多信息,请参阅 Amazon Inspector 定价
。
如果您已激活对管道的扫描,Image Builder 会在您创建新映像时为您的构建实例拍摄调查发现的快照。这样,您就可以在 Image Builder 终止构建实例后访问调查发现。
第 2 步:将管道配置为保存漏洞调查发现的快照
要为管道配置漏洞调查发现快照,请执行以下步骤:
-
打开 EC2 Image Builder 控制台,网址为https://console.aws.amazon.com/imagebuilder/
。 -
在导航窗格中,选择映像管道。
-
选择以下方法之一以指定管道详细信息:
创建新管道
-
在映像管道页面中,选择创建映像管道。这将在管道向导中打开指定管道详细信息页面。
更新现有管道
-
在映像管道页面中,选择要更新的管道的管道名称链接。这将打开管道的详细页面。
注意
或者,也可以选中要更新的管道之名称旁的复选框,然后选择查看详细信息。
-
在管道详细信息页面上,从操作菜单中选择编辑管道。这会使您转至编辑管道页面。
-
-
在管道向导的常规部分或 编辑管道页面中,选中启用安全扫描复选框。
注意
如果您想稍后关闭快照,则可以编辑管道以清除该复选框。这不会停用 Amazon Inspector 对您账户的扫描。要停用 Amazon Inspector 扫描,请参阅 Amazon Inspector 用户指南中的t停用 Amazon Inspector。
在中管理 Image Builder 图像的安全发现 Amazon Web Services Management Console
安全调查发现列表页面显示有关您的资源调查发现的高级信息,其视图基于您可以应用的几个不同的筛选条件。每个视图的顶部都包含以下用于更改视图的选项:
-
所有安全调查发现 – 如果您从 Image Builder 控制台的导航窗格中选择安全调查发现页面,则这是默认视图。
-
按漏洞 — 此视图显示您账户中所有有调查发现的映像资源的高级列表。调查发现 ID 链接到有关该调查发现的更多详细信息。此信息显示在页面右侧打开的面板上。面板包含以下信息:
-
调查发现的详细说明。
-
调查发现详情标签页。此标签页包括调查发现概述、受影响的软件包、补救建议摘要、漏洞详细信息和相关漏洞。漏洞 ID 链接到国家漏洞数据库中的详细漏洞信息。
-
分数明细标签页。此选项卡包含对CVSS和 Amazon Inspector 分数的side-by-side 比较,以便您可以查看 Amazon Inspector 在哪里修改了分数(如果适用)。
-
-
按映像管道 — 此视图显示您账户中每个映像渠道的调查发现数。Image Builder 显示中等严重性和更高程度的调查发现的数量数,以及所有调查发现的总数。列表中的所有数据都已链接,如下所示:
-
映像管道名称列链接到指定映像管道的详情页面。
-
严重性级别列链接打开所有安全调查发现视图,该视图按关联的映像管道名称和严重性级别进行筛选。
您还可以使用搜索条件来优化结果。
-
-
按映像 — 此视图显示您账户中每个映像构建的调查发现数。Image Builder 显示中等严重性和更高程度的调查发现的数量数,以及所有调查发现的总数。列表中的所有数据都已链接,如下所示:
-
映像名称列链接到指定映像构建的映像详情页面。有关更多信息,请参阅 查看映像资源详细信息。
-
严重性级别列链接打开所有安全调查发现视图,该视图按关联的映像构建名称和严重性级别进行筛选。
您还可以使用搜索条件来优化结果。
-
Image Builder 在默认所有安全调查发现视图的调查发现列表部分中显示以下详细信息。
- 严重性
-
CVE调查结果的严重性级别。值如下所示:
-
未分类
-
信息性
-
低
-
中
-
高
-
重大
-
- 调查发现 ID
-
Amazon Inspector 在扫描构建实例时为您的图片检测到的CVE结果的唯一标识符。该 ID 链接到安全调查发现 > 按漏洞页面。
- 图片 ARN
-
在查找结果编号列中指定了查找结果的图片的 Amazon 资源名称 (ARN)。
- 管道
-
构建 “图像” ARN 列中指定的图像的管道。
- 描述
-
调查发现的简短描述。
- Inspector 分数
-
Amazon Inspector 为CVE调查结果分配的分数。
- 修复
-
链接到有关修复调查发现的建议行动方针的详细信息。
- 发布日期
-
此漏洞首次添加到供应商数据库的日期和时间。