本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
互联网安全中心 (CIS) 扫描 Amazon EC2 实例
Amazon Inspector CIS 扫描(CIS 扫描)基准测试您的 Amazon EC2 实例操作系统,以确保您根据互联网安全中心制定的最佳实践建议对其进行配置。CIS 安全基准
Amazon Inspector 根据实例标签和您定义的扫描计划对目标 Amazon EC2 实例执行 CIS 扫描。Amazon Inspector 对每个目标实例执行一系列实例检查。每项检查都会评估您的系统配置是否符合特定的 CIS 基准测试建议。每张支票都有一个 CIS 支票编号和标题,这与该平台的 CIS 基准测试建议相对应。CIS 扫描完成后,您可以查看结果以查看该系统的哪些实例检查通过、跳过或失败。
注意
要执行或安排 CIS 扫描,必须有安全的互联网连接。但是,如果要对私有实例运行 CIS 扫描,则必须使用 VPC 终端节点。
亚马逊 Inspector CIS 扫描的 Amazon EC2 实例要求
要在您的 Amazon EC2 实例上运行 CIS 扫描,Amazon EC2 实例必须满足以下标准:
-
实例操作系统是 CIS 扫描支持的操作系统之一。有关更多信息,请参阅 Amazon Inspector 支持的操作系统和编程语言。
-
该实例是 Amazon EC2 Systems Manager 实例。有关更多信息,请参阅《Amazon Systems Manager 用户指南》中的 “使用 SSM 代理”。
-
Amazon Inspector SSM 插件已安装在实例上。
Amazon Inspector 会自动在托管实例上安装此插件。
-
该实例具有实例配置文件,该配置文件授予 SSM 管理该实例的权限和 Amazon Inspector 对该实例运行 CIS 扫描的权限。要授予这些权限,请将 AmazonSSM ManagedInstanceCore 和 AmazonInspector2 个ManagedCisPolicy策略附加到一个 IAM 角色。然后将 IAM 角色作为实例配置文件附加到您的实例。有关创建和附加实例配置文件的说明,请参阅 A mazon EC2 用户指南中的使用 IAM 角色。
注意
在您的亚马逊 EC2 实例上运行 CIS 扫描之前,您无需启用 Amazon Inspector 深度检查。如果你禁用 Amazon Inspector 深度检查,Amazon Inspector 会自动安装 SSM 代理,但不会再调用 SSM 代理来运行深度检查。但是,因此,您的账户中存在InspectorLinuxDistributor-do-not-delete
关联。
在私有亚马逊 EC2 实例上运行 CIS 扫描的亚马逊 Virtual Private Cloud 终端节点要求
您可以通过互联网连接对 Amazon EC2 实例运行 CIS 扫描。但是,如果您想在私有 Amazon EC2 实例上运行 CIS 扫描,则必须创建 Amazon VPC 终端节点以避免通过互联网发送信息。
为 Systems Manager 创建亚马逊 VPC 终端节点时,需要以下终端节点:
-
amazonaws.com.
region
.ec2messages -
amazonaws.com.
region
.inspector2 -
amazonaws.com.
region
.s3 -
amazonaws.com.
region
.ssm -
amazonaws.com.
region
.ssmmessages
有关更多信息,请参阅Amazon Systems Manager 用户指南中的为 S ystems Manager 创建亚马逊 VPC 终端节点。
正在运行 CIS 扫描
您可以按需运行一次 CIS 扫描,也可以按计划定期扫描。要运行扫描,请先创建扫描配置。
创建扫描配置时,您可以指定用于定位实例的标签键值对。如果您是某个组织的 Amazon Inspector 委托管理员,则可以在扫描配置中指定多个账户,然后 Amazon Inspector 将在每个账户中查找带有指定标签的实例。您可以为扫描选择 CIS 基准级别。对于每个基准测试,CIS 都支持 1 级和 2 级配置文件,该配置文件旨在为不同环境可能需要的不同安全级别提供基准。
级别 1-推荐可在任何系统上配置的基本基本安全设置。实施这些设置应该会导致很少或根本不会中断服务。这些建议的目标是减少系统入口点的数量,从而降低整体网络安全风险。
第 2 级-为高安全性环境推荐更高级的安全设置。实施这些设置需要进行规划和协调,以最大限度地降低业务影响的风险。这些建议的目标是帮助您实现监管合规。
等级 2 延长 1 级。当您选择 2 级时,Amazon Inspector 会检查第 1 级和第 2 级推荐的所有配置。
定义扫描参数后,您可以选择将其作为一次性扫描(在完成配置后运行)还是定期扫描。定期扫描可以每天、每周或每月运行,时间由您选择。
提示
我们建议在扫描运行期间选择不太可能影响系统的日期和时间。
创建 CIS 扫描配置
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 使用页面右上角的 Amazon Web Services 区域 选择器,选择要运行 CIS 扫描 Amazon Web Services 区域 的位置。
在导航面板的按需扫描下,选择 CIS 扫描。
选择 “创建新扫描”。
输入扫描配置名称。
对于 Target 资源,输入要扫描的实例上标签的密钥和相应值。您总共可以指定 25 个要包含在扫描中的标签,对于每个密钥,您最多可以指定五个不同的值。
选择 CIS 基准水平。您可以为基本安全配置选择级别 1,为高级安全配置选择级别 2。
对于 Target 帐户,请指定要在扫描中包括哪些帐户。组织中的独立账户或成员可以选择 “自我” 为其账户创建扫描配置。Amazon Inspector 授权管理员可以选择 “所有账户” 来定位组织内的所有账户,或者选择 “指定账户” 并指定要定位的成员账户子集。授权的管理员可以输入
SELF
而不是账户 ID 来为自己的账户创建扫描配置。有关更多信息,请参阅 使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon Organizations。为扫描选择时间表。在 “一次性扫描”(创建完扫描配置后立即运行)或 “重复扫描”(将在您选择的计划时间运行,直到将其删除)之间进行选择。
-
选择 “创建” 以完成扫描配置的创建。
查看和编辑 CIS 扫描配置
您可以随时查看或编辑计划扫描。
查看或编辑预设扫描
-
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。
-
在导航窗格中,选择按需扫描,然后选择 CIS 扫描。
-
选择 “已计划” 选项卡。
-
从 “扫描配置名称” 列中,选择要查看其详细信息的扫描配置的名称。您也可以选择要查看其详细信息的扫描配置所在的行,然后选择查看详细信息。
编辑预设扫描
-
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。
-
在导航窗格中,选择按需扫描,然后选择 CIS 扫描。
-
选择 “已计划” 选项卡。
-
选择要编辑的扫描配置所在的行,然后选择编辑。
查看和下载 CIS 扫描结果
每次运行扫描配置时,Amazon Inspector 都会创建一个扫描任务,并在唯一的扫描 ID 下收集扫描结果。扫描完成后,结果将在 90 天内公布。
您可以通过检查或扫描的资源来查看扫描结果:
-
按检查汇总的扫描结果-按扫描期间执行的每项检查对扫描结果进行分组。对于每项检查,您都会收到一份报告,说明有多少资源失败、跳过或通过。
-
按扫描资源汇总的扫描结果-按扫描期间扫描目标的每个扫描资源对扫描结果进行分组。对于每种资源,您都会收到一份报告,说明资源有多少次检查失败、跳过或通过。
您也可以使用控制台或 Amazon Inspector API 下载 CIS 扫描的 PDF 或 CSV。授权管理员可以下载特定成员账户的结果。
查看扫描结果
-
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。
-
在导航窗格中,选择按需扫描,然后选择 CIS 扫描。
-
选择 “扫描结果”。
-
从 “扫描计划 ID” 列中,选择要查看的扫描计划 ID。或者选择包含要查看的扫描计划 ID 的行,然后选择 “查看详细信息”。
-
选择 Checks 可查看扫描期间执行的每项检查,或者选择 Scaned r esources 以查看扫描期间扫描目标的每项扫描资源。
从控制台下载扫描结果
-
使用您的凭证登录,然后打开 Amazon Inspector 控制台,网址为 https://console.aws.amazon.com/inspector/v2/home
。 -
使用下 Amazon Web Services 区域 拉列表选择创建 CIS 扫描配置 Amazon Web Services 区域 的位置。
-
在导航窗格中,选择按需扫描,然后选择 CIS 扫描。
-
选择 “扫描结果”。
-
从 “扫描计划 ID” 列中,选择要查看的扫描计划 ID。或者选择包含要查看的扫描计划 ID 的行,然后选择 “查看详细信息”。
-
选择 “下载”,然后选择 “PDF” 或 “CSV”。如果您是授权管理员,则可以选择选择账户来下载特定成员账户的结果。
注意
对于在 2024 年 3 月 5 日之后收集的 CIS 扫描,您只能下载包含您的 CIS 扫描结果的 CSV 文件。
使用管理 Amazon Inspector CIS 扫描的注意事项 Amazon Organizations
当您在组织中运行 CIS 扫描时,Amazon Inspector 委派的管理员和成员账户会以不同的方式与 CIS 扫描配置和扫描结果进行交互。
Amazon Inspector 委派的管理员如何与 CIS 扫描配置和扫描结果进行交互
当授权管理员为所有账户或特定成员账户创建扫描配置时,该配置归组织所有。组织拥有的扫描配置有一个 ARN,将组织 ID 指定为所有者:
arn:aws:inspector2:
Region
:111122223333
:owner/OrganizationId
/cis-configuration/scanId
授权的管理员可以管理组织拥有的扫描配置,即使这些配置是由其他账户创建的。
授权的管理员可以查看其组织中任何账户的扫描结果。
如果授权的管理员创建了扫描配置并指定SELF
为目标帐户,则即使他们离开组织,该授权管理员也拥有扫描配置。但是,授权的管理员无法以此为目标来更改扫描配置的SELF
目标。
注意
委派的管理员无法向组织拥有的 CIS 扫描配置添加标签。
Amazon Inspector 成员账户如何与 CIS 扫描配置和扫描结果进行交互
当成员帐户创建 CIS 扫描配置时,该配置归其所有。但是,被授权的管理员可以查看配置。如果成员账户离开组织,则委派的管理员将无法查看配置。
注意
授权管理员无法编辑成员账户创建的扫描配置。
成员账户、以目标SELF
为目标的委派管理员和独立账户都拥有他们创建的扫描配置。这些扫描配置有一个 ARN,将账户 ID 显示为所有者:
arn:aws:inspector2:
Region
:111122223333
:owner/111122223333
/cis-configuration/scanId
成员帐户可以在其帐户中查看扫描结果,包括委派管理员计划的 CIS 扫描的扫描结果。
Amazon Inspector 拥有用于亚马逊 Inspector CIS 扫描的 Amazon S3 存储桶
开放漏洞和评估语言 (OVAL) 是一项信息安全工作,它标准化了如何评估和报告计算机系统的计算机状态。下表列出了所有用于 CIS 扫描的 Amazon Inspector 拥有的具有 OVAL 定义的 Amazon S3 存储桶。Amazon Inspector 暂存 CIS 扫描所需的 OVAL 定义文件。如有必要,应将 Amazon Inspector 拥有的 Amazon S3 存储桶列入 VPC 的许可名单。
注意
以下每个 Amazon Inspector 拥有的 Amazon S3 存储桶的详细信息都不会发生变化。但是,该表可能会更新以反映新支持的内容 Amazon Web Services 区域。你不能将亚马逊 Inspector 拥有的 Amazon S3 存储桶用于其他亚马逊 S3 操作或在你自己的亚马逊 S3 存储桶中。
CIS 桶 | Amazon Web Services 区域 |
---|---|
|
欧洲(斯德哥尔摩) |
|
中东(巴林) |
|
中国(北京) |
|
亚太地区(孟买) |
|
欧洲地区(巴黎) |
|
亚太地区(雅加达) |
|
美国东部(俄亥俄州) |
|
非洲(开普敦) |
|
欧洲地区(爱尔兰) |
|
欧洲地区(法兰克福) |
|
南美洲(圣保罗) |
|
亚太地区(香港) |
|
美国东部(弗吉尼亚州北部) |
|
亚太地区(首尔) |
|
亚太地区(大阪) |
|
欧洲地区(伦敦) |
|
欧洲地区(米兰) |
|
Asia Pacific (Tokyo) |
|
Amazon GovCloud (美国东部) |
|
Amazon GovCloud (美国西部) |
|
美国西部(俄勒冈州) |
|
美国西部(加利福尼亚北部) |
|
亚太地区(新加坡) |
|
亚太地区(悉尼) |
|
加拿大(中部) |
|
中国(宁夏) |
|
欧洲(苏黎世) |