本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Inspector 自动扫描资源
| 适用于 Amazon EC2 的 Amazon Inspector 无代理扫描目前为预览版。您对无代理 Amazon EC2 扫描功能的使用受 Amazon 服务条款 |
Amazon Inspector 使用自己的专用扫描引擎。该引擎会监控资源中是否存在软件脆弱性或开放的网络路径,这些问题可能导致工作负载受损、资源被恶意使用或未经授权访问您的数据。当 Amazon Inspector 检测到脆弱性时,它会生成一个调查发现。调查发现包括与检测相关的详细信息,可帮助您修复脆弱性。你可以在 Amazon Inspector 控制台上和使用 Amazon Inspector API 查看调查发现。有关更多信息,请参阅管理 Amazon Inspector 中的调查发现。
激活后,Amazon Inspector 会自动发现所有符合条件的资源,并开始对这些资源进行持续扫描。Amazon Inspector 可以扫描软件脆弱性和意外网络暴露。Amazon Inspector 还会针对事件运行扫描,例如安装新应用程序或补丁。
首次激活 Amazon Inspector 时,您的账户会自动注册所有扫描类型。以下主题介绍了有关 Amazon Inspector 提供的扫描类型的具体细节。Amazon Inspector 根据受脆弱性影响的资源类型对扫描类型进行分类。以下主题介绍了 Amazon Inspector 扫描哪些资源、重新扫描这些资源的原因以及如何为每种资源类型配置扫描。
主题
首次激活 Amazon Inspector 时,您的账户会自动注册以下扫描类型:Amazon EC2 扫描、Amazon ECR 扫描、Lambda 标准扫描。Lambda 代码扫描是 Lambda 函数扫描的可选层,您可以随时激活该扫描。
Amazon Inspector 扫描类型概述
Amazon Inspector 提供了一系列不同的扫描类型,重点关注您 Amazon 环境中的特定资源类型。
- Amazon EC2 扫描
-
激活 Amazon EC2 扫描后,Amazon Inspector 会扫描您的 Amazon EC2 实例,查找操作系统程序包和编程语言包脆弱性并检查网络可达性。Amazon Inspector 会扫描您的 EC2 实例,看其是否存在常见漏洞和风险(CVE)以及网络泄露问题。Amazon Inspector 使用实例上安装的 SSM 代理或通过实例的 Amazon EBS 快照执行扫描。有关 Amazon EC2 扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon EC2 实例。
- Amazon ECR 扫描
-
当您激活 Amazon ECR 扫描时,Amazon Inspector 会将您的私有注册表中的所有基本扫描容器存储库转换为具有持续扫描功能的增强型扫描。您也可以选择将此设置配置为仅在推送时扫描或通过包含规则扫描特定存储库。最初扫描过去 30 天内推送或最近 90 天内提取的所有图像。默认情况下,Amazon Inspector 会在 90 天内继续监控图像,此设置可以随时更改。有关 Amazon ECR 扫描的更多信息,请参阅使用 Amazon Inspector 扫描 Amazon ECR 容器映像。
- Lambda 标准扫描
-
激活 Lambda 标准扫描后,Amazon Inspector 会发现您账户中的 Lambda 函数并立即开始扫描这些函数以查找脆弱性。Amazon Inspector 会在部署新的 Lambda 函数和层时对其进行扫描,并在它们更新或新的常见脆弱性和风险 (CVE) 发布时对其进行重新扫描。有关 Lambda 函数扫描的更多信息,请参阅使用 Amazon Inspector 进行扫描 Amazon Lambda。
- Lambda 标准扫描 + Lambda 代码扫描
-
该选项结合了 Lambda 标准扫描和 Lambda 代码扫描。激活 Lambda 代码扫描后,Amazon Inspector 会发现您账户中的 Lambda 函数和层,并扫描您的应用程序包依赖项中是否存在代码脆弱性。Lambda 代码扫描会扫描 Lambda 函数中的自定义应用程序代码,以查找代码脆弱性。必须同时激活这两种扫描类型。有关更多信息,请参阅 Amazon Inspector Lambda 代码扫描。