本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Inspector 是什么?
Amazon Inspector 是一项漏洞管理服务,它会持续扫描您的 Amazon 工作负载,查找软件漏洞和意外的网络暴露。Amazon Inspector 会自动发现和扫描正在运行的 Amazon EC2 实例、Amazon Elastic Container Registry (Amazon ECR) 中的容器映像和 Amazon Lambda 函数,以查找已知软件漏洞和意外网络暴露。
Amazon Inspector 会在发现软件漏洞或网络配置问题时创建调查发现。调查发现会描述漏洞,确定受影响的资源,对漏洞的严重性进行评级,并提供修复指导。可以使用 Amazon Inspector 控制台分析调查发现,也可以通过其他 Amazon Web Services 查看和处理调查发现。有关更多信息,请参阅了解 Amazon Inspector 中的调查发现。
Amazon Inspector 的特征
集中管理多个 Amazon Inspector 账户
如果您的 Amazon 环境包含多个账户,则可以使用 Amazon 组织通过一个账户集中管理环境。使用此方法时,您可以将某一账户指定为 Amazon Inspector 的委托管理员账户。
只需单击一下即可为整个组织激活 Amazon Inspector。此外,您还可以在将来有成员加入组织时自动为他们激活服务。Amazon Inspector 委托管理员账户可以管理组织成员的调查发现数据和某些设置。这包括查看所有成员账户的汇总调查发现详细信息、为成员账户激活或停用扫描,以及查看 Amazon 组织内扫描的资源。
持续扫描环境,查找漏洞和网络风险
有了 Amazon Inspector,便无需手动安排或配置评测扫描。Amazon Inspector 会自动发现并开始扫描符合条件的资源。Amazon Inspector 会自动重新扫描资源,以应对可能会引入新漏洞的变更,在资源的整个生命周期内持续评测您的环境,上述变更包括:在 EC2 实例中安装新程序包、安装补丁,以及发布影响资源的新常见漏洞和风险 (CVE)。与传统的安全扫描软件不同,Amazon Inspector 对机群性能的影响微乎其微。
当发现漏洞或开放的网络路径时,Amazon Inspector 会生成调查发现供您调查。调查发现包括有关漏洞、受影响资源和补救建议的全面详细信息。如果您对调查发现进行了适当的补救,Amazon Inspector 会自动检测到补救措施并关闭该调查发现。
使用 Amazon Inspector 风险评分准确评测漏洞
当 Amazon Inspector 通过扫描收集有关环境的信息时,它会提供专门针对您的环境量身定制的严重性评分。Amazon Inspector 会检查构成漏洞的国家漏洞数据库
使用 Amazon Inspector 控制面板识别具有高影响力的调查发现
Amazon Inspector 控制面板可提供整个环境中调查发现的总体视图。您可以在此控制面板中查看调查发现的详细信息。此控制面板包含有关环境中扫描覆盖范围、最重要的调查发现以及调查发现最多的资源的简化信息。Amazon Inspector 控制面板中基于风险的补救面板显示了影响实例和映像数量最多的调查发现。通过此面板,您可以更轻松地确定对环境影响最大的调查发现,查看调查发现的详细信息以及建议的解决方案。
使用自定义视图管理调查发现
除了控制面板外,Amazon Inspector 控制台还提供了调查发现视图。此页面列出了您的环境的所有调查发现,并提供了各个调查发现的详细信息。您可以查看按类别或漏洞类型分组的调查发现。在每个视图中,您都可以使用筛选条件进一步自定义结果。您还可以使用筛选条件创建抑制规则,在视图中隐藏不需要的调查发现。
您可以使用筛选条件和抑制规则生成调查发现报告,展示所有调查发现或自定义的调查发现。报告可以使用 CSV 或 JSON 格式生成。
使用其他服务和系统监控和处理调查发现
为了支持与其他服务和系统的集成,Amazon Inspector 会将调查发现作为调查发现事件发布到 Amazon EventBridge。EventBridge 是一种无服务器事件总线服务,可以将调查发现数据路由到目标,例如 Amazon Lambda 函数和 Amazon Simple Notification Service (Amazon SNS) 主题。借助 EventBridge,您可以近乎实时地监控和处理调查发现,并将其作为现有安全和合规工作流程的一部分。
如果已激活 Amazon Security Hub,那么 Amazon Inspector 还会将调查发现发布到 Security Hub。Security Hub 服务提供了 Amazon 环境中安全状况的全面视图,可帮您检查环境是否符合安全行业标准和最佳实践。借助 Security Hub,您可以更轻松地监控和处理调查发现,并将其作为对 Amazon 环境中组织安全状况的更广泛分析的一部分。
访问 Amazon Inspector
大多数 Amazon Web Services 区域都可以使用 Amazon Inspector。有关当前可使用 Amazon Inspector 的区域的列表,请参阅 Amazon Web Services 一般参考中的 Amazon Inspector 端点和配额。要了解有关 Amazon Web Services 区域的更多信息,请参阅 Amazon Web Services 一般参考中的管理 Amazon Web Services 区域。在每个区域,您都可以通过以下方式使用 Amazon Inspector:
Amazon 管理控制台
Amazon Web Services Management Console是一个基于浏览器的界面,可用于创建和管理 Amazon 资源。作为该控制台的一部分,Amazon Inspector 控制台提供对 Amazon Inspector 账户和资源的访问。您可以通过 Amazon Inspector 控制台执行 Amazon Inspector 任务。
Amazon 命令行工具
借助 Amazon 命令行工具,您可在系统的命令行中发出命令,执行 Amazon Inspector 任务。与控制台相比,使用命令行更快、更方便。如果要构建执行任务的脚本,命令行工具也会十分有用。
Amazon 提供两组命令行工具:Amazon Command Line Interface (Amazon CLI) 和 Amazon Tools for PowerShell。有关安装和使用 Amazon CLI 的信息,请参阅 Amazon 命令行界面用户指南。有关安装和使用 Tools for PowerShell 的信息,请参阅 Amazon Tools for PowerShell 用户指南。
Amazon SDK
Amazon 提供的 SDK 包含用于各种编程语言和平台的库和示例代码,例如 Java、Go、Python、C++ 和 .NET。这些 SDK 可以提供对 Amazon Inspector 和其他 Amazon Web Services的编程式便捷访问。它们可以执行多种任务,例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用 Amazon SDK 的信息,请参阅在 Amazon 上构建的工具
Amazon Inspector REST API
Amazon Inspector REST API 让您能够以编程方式全面访问 Amazon Inspector 账户和资源。借助此 API,您可以直接向 Amazon Inspector 发送 HTTPS 请求。但是,与 Amazon 命令行工具和 SDK 不同,使用此 API 需要您的应用程序处理底层细节,例如生成哈希值来签署请求。