Amazon Inspector 中的调查发现类型 - Amazon Inspector
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Inspector 中的调查发现类型

Amazon Inspector 为亚马逊弹性计算云 (Amazon EC2) 实例、亚马逊弹性容器注册表 (Amazon ECR) Elastic Registry 存储库中的容器镜像和函数生成调查结果。 Amazon Lambda Amazon Inspector 可以生成以下类型的调查发现。

程序包脆弱性

Package 漏洞发现可识别您的 Amazon 环境中暴露于常见漏洞和暴露 (CVE) 的软件包。攻击者可以利用这些未修补的脆弱性来破坏数据的保密性、完整性或可用性,或访问其他系统。CVE 系统提供了针对公共已知的信息安全脆弱性和风险的参考方法。欲了解更多信息,请参阅 https://www.cve.org/

针对 Linux 的 CVE 检测会在供应商安全公告发布后 24 小时内添加到 Amazon Inspector 中。针对 Windows 的 CVE 检测会在微软发布后 48 小时内添加到 Amazon Inspector 中。您可以使用 Amazon Inspector 脆弱性数据库搜索 来查看 CVE 检测是否受支持。

Amazon Inspector 可以为 EC2 实例、ECR 容器映像和 Lambda 函数生成程序包脆弱性调查发现。程序包脆弱性调查发现具有该调查发现类型所特有的额外详细信息,即 Inspector 评分和脆弱性情报

代码脆弱性

代码脆弱性调查发现可识别代码中可能被攻击者利用的代码行。代码脆弱性包括注入缺陷、数据泄露、弱加密或代码中缺少加密。

Amazon Inspector 会使用自动推理和机器学习来评估 Lambda 函数应用程序代码,分析应用程序代码的总体安全合规性。它基于与 Amazon 合作开发的内部检测器来识别违反政策的行为和漏洞 CodeGuru。有关可能检测的列表,请参阅探CodeGuru 测器库

重要

Amazon Inspector 代码扫描可捕获代码片段以突出显示检测到的脆弱性。这些片段可能以纯文本形式显示硬编码的凭证或其他敏感材料。

如果您已激活 Amazon Inspector Lambda 代码扫描,则 Amazon Inspector 可以为 Lambda 函数生成代码脆弱性调查发现。

检测到的与代码漏洞相关的代码片段由该 CodeGuru 服务存储。默认情况下,由 CodeGuru 控制的Amazon 自有密钥用于加密您的代码,但是,您可以通过 Amazon Inspector API 使用自己的客户托管密钥进行加密。有关更多信息,请参阅 对调查发现中的代码进行静态加密

网络可达性

网络可达性调查发现表明,您的环境中存在通往 Amazon EC2 实例的开放网络路径。当您的 TCP 和 UDP 端口可以从 VPC 边缘(如互联网网关,包括应用程序负载均衡器或经典负载均衡器后的实例)、VPC 对等连接或使用虚拟网关的 VPN 到达时,就会出现这些调查发现。这些调查发现突出显示了可能过于宽松的网络配置,例如管理不善的安全组、访问控制列表或互联网网关,或者网络配置可能允许潜在的恶意访问。

Amazon Inspector 仅针对 Amazon EC2 实例生成网络可达性调查发现。Amazon Inspector 每 24 小时对网络可达性调查发现进行一次扫描。

Amazon Inspector 在扫描网络路径时会评估以下配置: