本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 Amazon Inspector?
Amazon Inspector 是一種漏洞管理服務,可自動探索工作負載,並持續掃描是否有軟體漏洞和意外的網路暴露。Amazon Inspector 會探索和掃描 Amazon EC2 執行個體、Amazon ECR 中的容器映像,以及 Lambda 函數。當 Amazon Inspector 偵測到軟體漏洞或意外的網路暴露時,它會建立問題清單,這是有關問題的詳細報告。您可以在 Amazon Inspector 主控台或 API 中管理問題清單。
Amazon Inspector 的功能
集中管理多個 Amazon Inspector 帳戶
如果您的 AWS 環境有多個帳戶,您可以使用 AWS Organizations 透過單一帳戶集中管理環境。使用此方法,您可以將 帳戶指定為 Amazon Inspector 的委派管理員帳戶。
只要按一下,即可為整個組織啟用 Amazon Inspector。此外,只要未來成員加入您的組織,您就可以自動為他們啟用服務。Amazon Inspector 委派管理員帳戶可以管理組織成員的問題清單資料和特定設定。這包括檢視所有成員帳戶的彙總調查結果詳細資訊、啟用或停用成員帳戶的掃描,以及檢閱 AWS 組織內掃描的資源。
持續掃描您的環境是否有漏洞和網路暴露
使用 Amazon Inspector,您不需要手動排程或設定評估掃描。Amazon Inspector 會自動探索並開始掃描您的合格資源。Amazon Inspector 透過自動重新掃描資源,以回應可能引入新漏洞的變更,繼續評估您的環境,例如:在 EC2 執行個體中安裝新套件、安裝修補程式,以及發佈影響資源的新常見漏洞和暴露 (CVE)。與傳統安全掃描軟體不同,Amazon Inspector 對機群的效能影響最小。
識別漏洞或開放式網路路徑時,Amazon Inspector 會產生您可以調查的問題清單。調查結果包含漏洞、受影響資源和修復建議的完整詳細資訊。如果您適當地修復問題清單,Amazon Inspector 會自動偵測問題清單並關閉問題清單。
使用 Amazon Inspector 風險分數準確評估漏洞
隨著 Amazon Inspector 透過掃描收集您環境的相關資訊,它提供專為您環境量身打造的嚴重性分數。Amazon Inspector 會檢查構成漏洞國家漏洞資料庫
使用 Amazon Inspector 儀表板識別高影響的問題清單
Amazon Inspector 儀表板可讓您全面檢視整個環境的調查結果。從儀表板,您可以存取調查結果的精細詳細資訊。儀表板包含您環境中掃描涵蓋範圍、您最重要的問題清單,以及哪些資源的問題清單最多的簡化資訊。Amazon Inspector 儀表板中以風險為基礎的修補面板會顯示影響最大執行個體和映像數量的問題清單。此面板可讓您更輕鬆地識別對您的環境影響最大的問題清單、檢閱問題清單詳細資訊,以及檢閱建議的解決方案。
使用可自訂的檢視管理您的問題清單
除了儀表板之外,Amazon Inspector 主控台還提供調查結果檢視。此頁面列出您環境的所有調查結果,並提供個別調查結果的詳細資訊。您可以檢視依類別或漏洞類型分組的問題清單。在每個檢視中,您可以使用篩選條件進一步自訂結果。您也可以使用篩選條件來建立隱藏規則,以隱藏檢視中不需要的問題清單。
您可以使用篩選條件和禁止規則來產生調查結果報告,以顯示所有調查結果或自訂的調查結果選擇。報告可以 CSV 或 JSON 格式產生。
使用其他 服務和系統監控和處理問題清單
為了支援與其他 服務和系統的整合,Amazon Inspector 會將調查結果發佈到 Amazon EventBridge 做為調查結果事件。EventBridge 是一種無伺服器事件匯流排服務,可將問題清單資料路由到 AWS Lambda 函數和 Amazon Simple Notification Service (Amazon SNS) 主題等目標。使用 EventBridge,您可以在現有的安全與合規工作流程中近乎即時地監控和處理問題清單。
如果您已啟用 AWS Security Hub,Amazon Inspector 也會將問題清單發佈至 Security Hub。Security Hub 是一項服務,可讓您全面檢視整個 AWS 環境的安全狀態,並協助您根據安全產業標準和最佳實務檢查環境。使用 Security Hub,您可以更輕鬆地監控和處理您的問題清單,作為組織安全狀態更廣泛分析的一部分 AWS。
存取 Amazon Inspector
Amazon Inspector 大多數都可使用 AWS 區域。如需目前可使用 Amazon Inspector 的區域清單,請參閱《Amazon Web Services 一般參考》中的 Amazon Inspector 端點和配額。 若要進一步了解 AWS 區域,請參閱《Amazon Web Services 一般參考》中的管理 AWS 區域。在每個區域中,您可以透過下列方式使用 Amazon Inspector。
AWS 管理主控台
AWS Management Console 是以瀏覽器為基礎的界面,可用來建立和管理 AWS 資源。作為該主控台的一部分,Amazon Inspector 主控台可讓您存取 Amazon Inspector 帳戶和資源。您可以從 Amazon Inspector 主控台執行 Amazon Inspector 任務。
AWS 命令列工具
使用 AWS 命令列工具,您可以在系統的命令列發出命令,以執行 Amazon Inspector 任務。使用命令列比使用主控台更快、更方便。若您想要建構執行 任務的指令碼,命令列工具也非常實用。
AWS 提供兩組命令列工具: AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell。如需安裝和使用 的詳細資訊 AWS CLI,請參閱 AWS 命令列界面使用者指南。如需安裝和使用 Tools for PowerShell 的相關資訊,請參閱 AWS Tools for PowerShell 使用者指南。
AWS SDKs
AWS 提供 SDKs,其中包含適用於各種程式設計語言和平台的程式庫和範本程式碼,包括 Java、Go、Python、C++ 和 .NET。SDKs提供對 Amazon Inspector 和其他 的便利、程式設計存取 AWS 服務。它們也會處理諸如密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需有關安裝和使用 AWS SDKs的資訊,請參閱要建置的工具 AWS
Amazon Inspector REST API
Amazon Inspector REST API 可讓您以程式設計方式存取 Amazon Inspector 帳戶和資源。使用此 API,您可以直接將 HTTPS 請求傳送至 Amazon Inspector。不過,與 AWS 命令列工具和 SDKs 不同,使用此 API 需要您的應用程式處理低階詳細資訊,例如產生雜湊來簽署請求。