Amazon Inspector 조사 결과 유형

이 단원에서는 Amazon Inspector의 다양한 조사 결과 유형에 대해 설명합니다.

패키지 취약성

패키지 취약성 조사 결과는 일반적인 취약성 및 노출(CVE)에 노출된 AWS 환경의 소프트웨어 패키지를 식별합니다.CVEs 공격자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. CVE 시스템은 공개적으로 알려진 정보 보안 취약성 및 노출도에 대한 참조 방법입니다. 자세한 내용은 https://www.cve.org/ 참조하십시오.

Amazon Inspector는 EC2 인스턴스, ECR 컨테이너 이미지 및 Lambda 함수에 대한 패키지 취약성 탐지 결과를 생성할 수 있습니다. 패키지 취약성 결과에는 이 결과 유형에만 적용되는 추가 세부 정보가 있는데, 바로 Inspector 점수 및 취약성 인텔리전스입니다.

코드 취약성

코드 취약성 조사 결과는 악용될 수 있는 코드 라인을 식별하는 데 도움이 됩니다. 코드 취약성에는 암호화 누락, 데이터 유출, 주입 결함, 약한 암호화가 포함됩니다. Amazon Inspector는 Lambda 함수 스캔 및 코드 보안 기능을 통해 코드 취약성 조사 결과를 생성합니다.

Amazon Inspector는 자동화된 추론 및 기계 학습을 사용하여 Lambda 함수 애플리케이션 코드를 평가하여 애플리케이션 코드를 분석하여 전반적인 보안 규정 준수를 확인합니다. 또한 Amazon CodeGuru와 공동으로 개발한 내부 탐지기를 기반으로 정책 위반 및 취약성을 식별합니다. 가능한 탐지 목록은 CodeGuru 탐지기 라이브러리를 참조하세요.

코드 스캔은 코드 조각을 캡처하여 탐지된 취약성을 강조 표시합니다. 예를 들어 코드 조각은 하드 코딩된 자격 증명 또는 기타 민감한 자료를 일반 텍스트로 표시할 수 있습니다. CodeGuru는 코드 취약성과 연결된 코드 조각을 저장합니다. 기본적으로 코드는 AWS 소유 키로 암호화됩니다. 그러나이 정보를 더 잘 제어하려면 고객 관리형 키를 생성하여 코드를 암호화할 수 있습니다. 자세한 내용은 결과 코드에 대한 저장 중 암호화 단원을 참조하십시오.

네트워크 연결성

네트워크 연결성 결과는 사용자 환경에 Amazon EC2 인스턴스에 대한 오픈 네트워크 경로가 있음을 나타냅니다. 이러한 결과는 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN 등의 VPC 엣지에서 TCP 및 UDP 포트에 연결할 수 있는 경우에 나타납니다. 이러한 결과는 잘못 관리된 보안 그룹, 액세스 제어 목록 또는 인터넷 게이트웨이와 같이 지나치게 허용적인 네트워크 구성이나 잠재적으로 악의적인 액세스를 허용할 수 있는 네트워크 구성을 강조합니다.

Amazon Inspector는 Amazon EC2 인스턴스에 대한 네트워크 연결성 결과만 생성합니다. Amazon Inspector는 Amazon Inspector가 활성화된 후 12시간마다 네트워크 연결성 조사 결과를 스캔합니다.

Amazon Inspector는 네트워크 경로를 스캔할 때 다음 구성을 평가합니다.