本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 中的自动扫描类型
Amazon Inspector 使用专用扫描引擎,来监控您的资源中是否存在软件漏洞和意外网络暴露。当 Amazon Inspector 检测到软件漏洞或意外网络暴露时,它会创建一个调查发现。首次激活 Amazon Inspector 时,您的账户会自动注册所有扫描类型,包括亚马逊扫描、亚马逊 ECR EC2 扫描和 Lambda 标准扫描。
注意
Lambda 代码扫描是 Lambda 函数扫描的可选层,您可以随时激活该扫描。
主题
Amazon Inspector 扫描类型概述
Amazon Inspector 提供不同的扫描类型,这些类型侧重于您 Amazon 环境中的特定资源类型。
- 亚马逊 EC2 扫描
-
当您激活亚马逊 EC2 扫描时,Amazon Inspector 会扫描您的 EC2 实例中的以下内容:
-
常见漏洞和风险
-
操作系统和编程语言程序包漏洞
-
网络可达性
-
网络暴露问题
Amazon Inspector 使用实例上安装的 SSM Agent 或通过实例的 Amazon EBS 快照执行扫描。有关 Amazon 扫描的更多信息 EC2,请参阅使用 Amazon Inspector 扫描亚马逊 EC2 实例。
注意
默认情况下,当您激活 Amazon EC2 扫描时,会自动启用混合扫描模式。有关更多信息,请参阅无代理扫描。
-
- Amazon ECR 扫描
-
激活 Amazon ECR 扫描后,Amazon Inspector 会将您私有注册表中的所有基本扫描容器存储库转换为使用持续扫描的增强扫描。您也可以选择将此设置配置为仅在推送时扫描或通过扫描筛选器扫描选定的存储库。过去 30 天内推送或过去 90 天内拉取的所有映像都将进行初始扫描。默认情况下,Amazon Inspector 会在 90 天的持续时间内继续对映像进行监控,此设置可以随时更改。有关 Amazon ECR 扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像。
- Lambda 标准扫描
-
激活 Lambda 标准扫描后,Amazon Inspector 会发现您账户中的 Lambda 函数并立即开始扫描这些函数以查找脆弱性。Amazon Inspector 会在部署新的 Lambda 函数和层时对其进行扫描,并在更新或发布新的常见漏洞和风险敞口 () CVEs 时对其进行重新扫描。有关 Lambda 函数扫描的更多信息,请参阅使用 Amazon Inspector 进行扫描 Amazon Lambda。
- Lambda 标准扫描 + Lambda 代码扫描
-
该选项结合了 Lambda 标准扫描和 Lambda 代码扫描。激活 Lambda 代码扫描后,Amazon Inspector 会发现您账户中的 Lambda 函数和层,并扫描您的应用程序包依赖项中是否存在代码脆弱性。Lambda 代码扫描会扫描 Lambda 函数中的自定义应用程序代码,以查找代码脆弱性。必须同时激活这两种扫描类型。有关更多信息,请参阅 Amazon Inspector Lambda 代码扫描。