互联网安全中心 (CIS) 扫描 Amazon EC2 实例 - Amazon Inspector
亚马逊 Inspector CIS 扫描的 Amazon EC2 实例要求正在运行 CIS 扫描查看和编辑 CIS 扫描配置查看和下载 CIS 扫描结果使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon OrganizationsAmazon Inspector 拥有用于亚马逊 Inspector CIS 扫描的 Amazon S3 存储桶
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

互联网安全中心 (CIS) 扫描 Amazon EC2 实例

Amazon Inspector CIS 扫描(CIS 扫描)基准测试您的 Amazon EC2 实例操作系统,以确保您根据互联网安全中心制定的最佳实践建议对其进行配置。CIS 安全基准提供了用于安全配置系统的行业标准配置基准和最佳实践。在为账户启用 Amazon Inspector EC2 扫描后,您可以执行或安排 CIS 扫描。

Amazon Inspector 根据实例标签和您定义的扫描计划对目标 Amazon EC2 实例执行 CIS 扫描。Amazon Inspector 对每个目标实例执行一系列实例检查。每项检查都会评估您的系统配置是否符合特定的 CIS 基准测试建议。每张支票都有一个 CIS 支票编号和标题,这与该平台的 CIS 基准测试建议相对应。CIS 扫描完成后,您可以查看结果以查看该系统的哪些实例检查通过、跳过或失败。

注意

要执行或安排 CIS 扫描,必须有安全的互联网连接。但是,如果要对私有实例运行 CIS 扫描,则必须使用 VPC 终端节点。

亚马逊 Inspector CIS 扫描的 Amazon EC2 实例要求

要在您的 Amazon EC2 实例上运行 CIS 扫描,Amazon EC2 实例必须满足以下标准:

注意

在您的亚马逊 EC2 实例上运行 CIS 扫描之前,您无需启用 Amazon Inspector 深度检查。如果你禁用 Amazon Inspector 深度检查,Amazon Inspector 会自动安装 SSM 代理,但不会再调用 SSM 代理来运行深度检查。但是,因此,您的账户中存在InspectorLinuxDistributor-do-not-delete关联。

在私有亚马逊 EC2 实例上运行 CIS 扫描的亚马逊 Virtual Private Cloud 终端节点要求

您可以通过互联网连接对 Amazon EC2 实例运行 CIS 扫描。但是,如果您想在私有 Amazon EC2 实例上运行 CIS 扫描,则必须创建 Amazon VPC 终端节点以避免通过互联网发送信息。

为 Systems Manager 创建亚马逊 VPC 终端节点时,需要以下终端节点:

  • amazonaws.com.region.ec2messages

  • amazonaws.com.region.inspector2

  • amazonaws.com.region.s3

  • amazonaws.com.region.ssm

  • amazonaws.com.region.ssmmessages

有关更多信息,请参阅Amazon Systems Manager 用户指南中的为 S ystems Manager 创建亚马逊 VPC 终端节点

正在运行 CIS 扫描

您可以按需运行一次 CIS 扫描,也可以按计划定期扫描。要运行扫描,请先创建扫描配置。

创建扫描配置时,您可以指定用于定位实例的标签键值对。如果您是某个组织的 Amazon Inspector 委托管理员,则可以在扫描配置中指定多个账户,然后 Amazon Inspector 将在每个账户中查找带有指定标签的实例。您可以为扫描选择 CIS 基准级别。对于每个基准测试,CIS 都支持 1 级和 2 级配置文件,该配置文件旨在为不同环境可能需要的不同安全级别提供基准。

  • 级别 1-推荐可在任何系统上配置的基本基本安全设置。实施这些设置应该会导致很少或根本不会中断服务。这些建议的目标是减少系统入口点的数量,从而降低整体网络安全风险。

  • 第 2 级-为高安全性环境推荐更高级的安全设置。实施这些设置需要进行规划和协调,以最大限度地降低业务影响的风险。这些建议的目标是帮助您实现监管合规。

等级 2 延长 1 级。当您选择 2 级时,Amazon Inspector 会检查第 1 级和第 2 级推荐的所有配置。

定义扫描参数后,您可以选择将其作为一次性扫描(在完成配置后运行)还是定期扫描。定期扫描可以每天、每周或每月运行,时间由您选择。

提示

我们建议在扫描运行期间选择不太可能影响系统的日期和时间。

创建 CIS 扫描配置

  1. 使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 使用页面右上角的 Amazon Web Services 区域 选择器,选择要运行 CIS 扫描 Amazon Web Services 区域 的位置。

  3. 在导航面板的按需扫描下,选择 CIS 扫描

  4. 选择 “创建新扫描”。

    1. 输入扫描配置名称

    2. 对于 Target 资源,输入要扫描的实例上标签的密钥和相应。您总共可以指定 25 个要包含在扫描中的标签,对于每个密钥,您最多可以指定五个不同的值。

    3. 选择 CIS 基准水平。您可以为基本安全配置选择级别 1,为高级安全配置选择级别 2

  5. 对于 Target 帐户,请指定要在扫描中包括哪些帐户。组织中的独立账户或成员可以选择 “自我” 为其账户创建扫描配置。Amazon Inspector 授权管理员可以选择 “所有账户” 来定位组织内的所有账户,或者选择 “指定账户” 并指定要定位的成员账户子集。授权的管理员可以输入SELF而不是账户 ID 来为自己的账户创建扫描配置。有关更多信息,请参阅 使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon Organizations

  6. 为扫描选择时间表。在 “一次性扫描”(创建完扫描配置后立即运行)或 “重复扫描”(将在您选择的计划时间运行,直到将其删除)之间进行选择。

  7. 选择 “创建” 以完成扫描配置的创建。

查看和编辑 CIS 扫描配置

您可以随时查看或编辑计划扫描。

查看或编辑预设扫描

  1. 使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。

  3. 在导航窗格中,选择按需扫描,然后选择 CIS 扫描

  4. 选择 “已计划” 选项卡。

  5. 从 “扫描配置名称” 列中,选择要查看其详细信息的扫描配置的名称。您也可以选择要查看其详细信息的扫描配置所在的行,然后选择查看详细信息

编辑预设扫描

  1. 使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。

  3. 在导航窗格中,选择按需扫描,然后选择 CIS 扫描

  4. 选择 “已计划” 选项卡。

  5. 选择要编辑的扫描配置所在的行,然后选择编辑

查看和下载 CIS 扫描结果

每次运行扫描配置时,Amazon Inspector 都会创建一个扫描任务,并在唯一的扫描 ID 下收集扫描结果。扫描完成后,结果将在 90 天内公布。

您可以通过检查或扫描的资源来查看扫描结果:

  • 按检查汇总的扫描结果-按扫描期间执行的每项检查对扫描结果进行分组。对于每项检查,您都会收到一份报告,说明有多少资源失败、跳过或通过。

  • 按扫描资源汇总的扫描结果-按扫描期间扫描目标的每个扫描资源对扫描结果进行分组。对于每种资源,您都会收到一份报告,说明资源有多少次检查失败、跳过或通过。

您也可以使用控制台或 Amazon Inspector API 下载 CIS 扫描的 PDF 或 CSV。授权管理员可以下载特定成员账户的结果。

查看扫描结果

  1. 使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。

  3. 在导航窗格中,选择按需扫描,然后选择 CIS 扫描

  4. 选择 “扫描结果”。

  5. 从 “扫描计划 ID” 列中,选择要查看的扫描计划 ID。或者选择包含要查看的扫描计划 ID 的行,然后选择 “查看详细信息”。

  6. 选择 Checks 可查看扫描期间执行的每项检查,或者选择 Scaned r esources 以查看扫描期间扫描目标的每项扫描资源。

从控制台下载扫描结果

  1. 使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home

  2. 使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。

  3. 在导航窗格中,选择按需扫描,然后选择 CIS 扫描

  4. 选择 “扫描结果”。

  5. 从 “扫描计划 ID” 列中,选择要查看的扫描计划 ID。或者选择包含要查看的扫描计划 ID 的行,然后选择 “查看详细信息”。

  6. 选择 “下载”,然后选择 “PDF” 或 “CSV”。如果您是授权管理员,则可以选择选择账户来下载特定成员账户的结果。

注意

对于在 2024 年 3 月 5 日之后收集的 CIS 扫描,您只能下载包含您的 CIS 扫描结果的 CSV 文件。

使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon Organizations

当您在组织中运行 CIS 扫描时,Amazon Inspector 委派的管理员和成员账户会以不同的方式与 CIS 扫描配置和扫描结果进行交互。

Amazon Inspector 委派的管理员如何与 CIS 扫描配置和扫描结果进行交互

当授权管理员为所有账户或特定成员账户创建扫描配置时,该配置归组织所有。组织拥有的扫描配置有一个 ARN,将组织 ID 指定为所有者:

arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId

授权的管理员可以管理组织拥有的扫描配置,即使这些配置是由其他账户创建的。

授权的管理员可以查看其组织中任何账户的扫描结果。

如果授权的管理员创建了扫描配置并指定SELF为目标帐户,则即使他们离开组织,该授权管理员也拥有扫描配置。但是,授权的管理员无法以此为目标来更改扫描配置的SELF目标。

注意

委派的管理员无法向组织拥有的 CIS 扫描配置添加标签。

Amazon Inspector 成员账户如何与 CIS 扫描配置和扫描结果进行交互

当成员帐户创建 CIS 扫描配置时,该配置归其所有。但是,被授权的管理员可以查看配置。如果成员账户离开组织,则委派的管理员将无法查看配置。

注意

授权管理员无法编辑成员账户创建的扫描配置。

成员账户、以目标SELF为目标的委派管理员和独立账户都拥有他们创建的扫描配置。这些扫描配置有一个 ARN,将账户 ID 显示为所有者:

arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId

成员帐户可以在其帐户中查看扫描结果,包括委派管理员计划的 CIS 扫描的扫描结果。

Amazon Inspector 拥有用于亚马逊 Inspector CIS 扫描的 Amazon S3 存储桶

开放漏洞和评估语言 (OVAL) 是一项信息安全工作,它标准化了如何评估和报告计算机系统的计算机状态。下表列出了所有用于 CIS 扫描的 Amazon Inspector 拥有的具有 OVAL 定义的 Amazon S3 存储桶。Amazon Inspector 暂存 CIS 扫描所需的 OVAL 定义文件。如有必要,应将 Amazon Inspector 拥有的 Amazon S3 存储桶列入 VPC 的许可名单。

注意

以下每个 Amazon Inspector 拥有的 Amazon S3 存储桶的详细信息都不会发生变化。但是,该表可能会更新以反映新支持的内容 Amazon Web Services 区域。你不能将亚马逊 Inspector 拥有的 Amazon S3 存储桶用于其他亚马逊 S3 操作或在你自己的亚马逊 S3 存储桶中。

CIS 桶 Amazon Web Services 区域

cis-datasets-prod-arn-5908f6f

欧洲(斯德哥尔摩)

cis-datasets-prod-bah-8f88801

中东(巴林)

cis-datasets-prod-bjs-0f40506

中国(北京)

cis-datasets-prod-bom-435a167

亚太地区(孟买)

cis-datasets-prod-cdg-f3a9c58

欧洲地区(巴黎)

cis-datasets-prod-cgk-09eb12f

亚太地区(雅加达)

cis-datasets-prod-cmh-63030b9

美国东部(俄亥俄州)

cis-datasets-prod-cpt-02c5c6f

非洲(开普敦)

cis-datasets-prod-dub-984936f

欧洲地区(爱尔兰)

cis-datasets-prod-fra-6eb96eb

欧洲地区(法兰克福)

cis-datasets-prod-gru-de69f99

南美洲(圣保罗)

cis-datasets-prod-hkg-8e30800

亚太地区(香港)

cis-datasets-prod-iad-8438411

美国东部(弗吉尼亚州北部)

cis-datasets-prod-icn-f4eff1c

亚太地区(首尔)

cis-datasets-prod-kix-5743b21

亚太地区(大阪)

cis-datasets-prod-lhr-8b1fbd0

欧洲地区(伦敦)

cis-datasets-prod-mxp-7b1bbce

欧洲地区(米兰)

cis-datasets-prod-nrt-464f684

Asia Pacific (Tokyo)

cis-datasets-prod-osu-5bead6f

Amazon GovCloud (美国东部)

cis-datasets-prod-pdt-adadf9c

Amazon GovCloud (美国西部)

cis-datasets-prod-pdx-acfb052

美国西部(俄勒冈州)

cis-datasets-prod-sfo-1515ba8

美国西部(加利福尼亚北部)

cis-datasets-prod-sin-309725b

亚太地区(新加坡)

cis-datasets-prod-syd-f349107

亚太地区(悉尼)

cis-datasets-prod-yul-5e0c95e

加拿大(中部)

cis-datasets-prod-zhy-5a8eacb

中国(宁夏)

cis-datasets-prod-zrh-67e0e3d

欧洲(苏黎世)