本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Inspector 虚拟机扫描器
概述
Amazon Inspector 使用 Amazon Inspector 虚拟机扫描器对亚马逊 EC2 实例进行漏洞评估。Amazon Inspector VM Scanner 利用 Amazon Inspector SBOM 生成器的库存收集功能生成软件物料清单 (SBOM),并通过 Inspector 遥测通道提交 SBOM 进行评估。当你在账户上启用增强型 EC2 扫描时,Inspector VM Scanner 会取代 Inspector SSM 插件。
Amazon Inspector 提供了两种部署虚拟机扫描器的方法:
-
自动安装(推荐)— 当您在亚马逊 Inspector 控制台中启用增强型 EC2 扫描时,Amazon Inspector 会使用 Amazon EC2 Systems Manager (SSM) 在您的亚马逊 EC2 实例上自动安装和管理虚拟机扫描器。这是最简单的方法,不需要手动干预。有关更多信息,请参阅 启用Inspector虚拟机扫描器。
-
手动安装 — 您可以使用标准软件包管理器(RPM、DEB、APK、MSI、PKG)手动安装虚拟机扫描仪。这种方法不需要 SSM。有关更多信息,请参阅 手动安装和配置。
优势
与之前的 Inspector SSM 插件相比,Inspector VM Scanner 具有以下优势:
-
减少资源使用量-运行期间需要更少的计算
-
更精细的包裹收集 — 为高保真度评估提供详细的封装级别清单
-
改进的扫描机制 — 使用 Inspector SBOM 生成器与其他支持的 Inspector 资源保持一致的行为
-
职责分工 — 安全团队可以在账户级别启用扫描,而实例管理员保留对单个实例的手动安装和配置的控制权
常见问题
- Inspector VM Scanner 与 Inspector SSM 插件有什么不同? 我为什么要迁移到 Inspector VM Scanner?
-
Inspector VM Scanner 使用 Amazon Inspector SBOM 生成器进行系统包扫描和深度检查,无论软件包是如何安装的,都能提供一致的扫描机制。这种扫描机制的性能也更高,性能提升最大。Windows该机制由 Inspector 完全拥有和维护,这使得 Inspector 能够对出现的任何问题做出快速反应,并将检测范围扩展到新的生态系统。
- Inspector 虚拟机扫描仪与 Inspector SBOM 生成器有何不同? 为什么不直接使用 SBOM 生成器?
-
Inspector VM Scanner 在幕后使用 SBOM 生成器来收集库存,但它还包含专门为 Inspector EC2 扫描设计的额外功能。Inspector VM Scanner 可以通过 Inspector 遥测通道进行通信,而 Inspector SBOM 生成器则 此外,Inspector VM Scanner 还带有编排功能,可以定期调用以进行定期扫描。
- 如何管理互联网安全中心 (CIS) 扫描? Inspector VM Scanner 会用于 CIS 吗?
-
CIS 扫描结果将保存在 Inspector SSM 插件中。目前,无意将 CIS 支持迁移到 Inspector VM Scanner。
- Inspector VM Scanner 需要 SSM 吗?
-
不是。 当您在控制台中启用增强型 EC2 扫描时,SSM 用于自动安装,但它不是硬性依赖项。您可以使用不带 SSM 的标准软件包管理器手动安装 VM Scanner。有关更多信息,请参阅 手动安装和配置。
Third-party 软件归因
Inspector VM Scanner 包括根据开源许可获得许可的第三方软件组件。根据这些许可的条款,以下归因文件列出了第三方组件、其许可证和适用的许可文本。
https://inspector-vm-scanner.s3.amazonaws.com/latest/THIRD-PARTY-LICENSES.txt