Memindai instans Amazon EC2 dengan Amazon Inspector - Amazon Inspector
Pemindaian berbasis agenPemindaian tanpa agenMengelola mode pemindaianMengecualikan instance dari pemindaian Amazon InspectorSistem operasi yang didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memindai instans Amazon EC2 dengan Amazon Inspector

Pemindaian tanpa agen Amazon Inspector untuk Amazon EC2 sedang dalam rilis pratinjau. Penggunaan Anda atas fitur pemindaian Amazon EC2 tanpa agen tunduk pada Bagian 2 dari AWS Ketentuan Layanan (“Beta dan Pratinjau”).

Pemindaian Amazon Inspector EC2 mengekstrak metadata dari instans EC2 Anda, kemudian, membandingkan metadata ini dengan aturan yang dikumpulkan dari penasihat keamanan untuk menghasilkan temuan. Amazon Inspector memindai instans untuk kerentanan paket dan masalah jangkauan jaringan. Untuk informasi tentang jenis temuan yang dihasilkan untuk masalah ini, lihatMenemukan tipe di Amazon Inspector.

Amazon Inspector melakukan pemindaian jangkauan jaringan setiap 24 jam sekali, sementara pemindaian kerentanan paket dilakukan pada irama variabel tergantung pada metode pemindaian yang terkait dengan instance.

Metode pemindaian

Package vulnerability scan dapat dilakukan dengan menggunakan metode pemindaian berbasis agen atau agentless. Metode pemindaian ini menentukan bagaimana dan kapan Amazon Inspector mengumpulkan inventaris perangkat lunak dari instans EC2 untuk pemindaian kerentanan paket. Metode berbasis agen bergantung pada agen SSM untuk mengumpulkan inventaris perangkat lunak, sedangkan metode tanpa agen menggunakan snapshot Amazon EBS alih-alih agen.

Metode pemindaian yang digunakan oleh Amazon Inspector bergantung pada pengaturan mode pemindaian akun Anda, Untuk informasi selengkapnya lihat,. Mengelola mode pemindaian

Untuk mengaktifkan pemindaian Amazon EC2, lihat. Mengaktifkan jenis pemindaian

Pemindaian berbasis agen

Pemindaian berbasis agen dilakukan terus menerus menggunakan agen SSM pada semua instance yang memenuhi syarat. Untuk pemindaian berbasis agen, Amazon Inspector menggunakan asosiasi SSM, dan plugin yang diinstal melalui asosiasi ini, untuk mengumpulkan inventaris perangkat lunak dari instans Anda. Selain pemindaian kerentanan paket untuk paket sistem operasi, pemindaian berbasis agen Amazon Inspector juga dapat mendeteksi kerentanan paket untuk paket bahasa pemrograman aplikasi dalam instance berbasis Linux. Inspeksi mendalam Amazon Inspector untuk instans Amazon EC2 Linux

Proses berikut menjelaskan bagaimana Amazon Inspector menggunakan SSM untuk mengumpulkan inventaris dan melakukan pemindaian berbasis agen:

  1. Amazon Inspector membuat asosiasi SSM di akun Anda untuk mengumpulkan inventaris dari instans Anda. Untuk beberapa jenis Instance (Windows, dan Linux), asosiasi ini menginstal plugin pada instance individual untuk mengumpulkan inventaris.

  2. Menggunakan SSM, Amazon Inspector mengekstrak inventaris paket dari sebuah instance.

  3. Amazon Inspector mengevaluasi inventaris yang diekstraksi dan menghasilkan temuan untuk setiap kerentanan yang terdeteksi.

Contoh yang memenuhi syarat

Amazon Inspector akan menggunakan metode berbasis agen untuk memindai instance jika memenuhi ketentuan berikut:

Perilaku pemindaian berbasis agen

Saat menggunakan metode pemindaian berbasis agen, Amazon Inspector memulai pemindaian kerentanan baru instans EC2 dalam situasi berikut:

  • Saat Anda meluncurkan instans EC2 baru.

  • Ketika Anda menginstal perangkat lunak baru pada instans EC2 yang ada (Linux dan Mac).

  • Saat Amazon Inspector menambahkan item common vulnerabilities and exposure (CVE) baru ke database-nya, dan CVE tersebut relevan dengan instans EC2 Anda (Linux dan Mac).

Amazon Inspector memperbarui bidang yang dipindai terakhir untuk instans EC2 saat pemindaian awal selesai. Setelah ini, bidang Last scanned diperbarui saat Amazon Inspector mengevaluasi inventaris SSM (setiap 30 menit secara default), atau saat instance dipindai ulang karena CVE baru yang memengaruhi instance tersebut ditambahkan ke database Amazon Inspector.

Anda dapat memeriksa kapan instans EC2 terakhir dipindai untuk mencari kerentanan dari tab Instans di halaman Manajemen akun, atau dengan menggunakan perintah. ListCoverage

Mengkonfigurasi Agen SSM

Agar Amazon Inspector mendeteksi kerentanan perangkat lunak untuk instans Amazon EC2 menggunakan metode pemindaian berbasis agen, instans harus berupa instans terkelola di Amazon EC2 Systems Manager (SSM). Instans terkelola SSM memiliki Agen SSM yang diinstal dan dijalankan, dan SSM memiliki izin untuk mengelola instance. Jika Anda sudah menggunakan SSM untuk mengelola instans Anda, tidak ada langkah lain yang diperlukan untuk pemindaian berbasis agen.

Agen SSM diinstal secara default pada instans EC2 yang dibuat dari beberapa Amazon Machine Images (AMI). Untuk informasi selengkapnya, lihat Tentang Agen SSM di Panduan AWS Systems Manager Pengguna. Namun, meskipun sudah diinstal, Anda mungkin perlu mengaktifkan Agen SSM secara manual, dan memberikan izin SSM untuk mengelola instans Anda.

Prosedur berikut menjelaskan cara mengonfigurasi instans Amazon EC2 sebagai instans terkelola menggunakan profil instans IAM. Prosedur ini juga menyediakan tautan ke informasi yang lebih rinci di Panduan AWS Systems Manager Pengguna.

AmazonSSMManagedInstanceCoreadalah kebijakan yang disarankan untuk digunakan saat Anda melampirkan profil instance. Kebijakan ini memiliki semua izin yang diperlukan untuk pemindaian Amazon Inspector EC2.

catatan

Anda juga dapat mengotomatiskan manajemen SSM dari semua instans EC2 Anda, tanpa menggunakan profil instans IAM menggunakan Konfigurasi Manajemen Host Default SSM. Untuk informasi selengkapnya, lihat Konfigurasi Manajemen Host Default.

Untuk mengonfigurasi SSM untuk instans Amazon EC2

  1. Jika belum diinstal oleh vendor sistem operasi Anda, instal Agen SSM. Untuk informasi lebih lanjut, lihat Bekerja dengan SSM Agent.

  2. Gunakan AWS CLI untuk memverifikasi bahwa Agen SSM sedang berjalan. Untuk informasi selengkapnya, lihat Memeriksa status SSM Agent dan memulai agen.

  3. Berikan izin kepada SSM untuk mengelola instans Anda. Anda dapat memberikan izin dengan membuat profil instans IAM dan melampirkannya ke instans Anda. Sebaiknya gunakan kebijakan ini, karena AmazonSSMManagedInstanceCorekebijakan ini memiliki izin untuk Distributor SSM, Inventaris SSM, dan manajer SSM State, yang dibutuhkan Amazon Inspector untuk pemindaian. Untuk petunjuk cara membuat profil instans dengan izin ini dan melampirkannya sebagai instance, lihat Mengonfigurasi izin instans untuk Systems Manager Systems Manager.

  4. (Opsional) Aktifkan pembaruan otomatis untuk Agen SSM. Untuk informasi selengkapnya, lihat Mengotomatiskan pembaruan ke Agen SSM.

  5. (Opsional) Konfigurasikan Systems Manager untuk menggunakan titik akhir Amazon Virtual Private Cloud (Amazon VPC). Untuk informasi selengkapnya, lihat Membuat titik akhir VPC Amazon.

penting

Amazon Inspector memerlukan asosiasi Manajer Negara Systems Manager di akun Anda untuk mengumpulkan inventaris aplikasi perangkat lunak. Amazon Inspector secara otomatis membuat asosiasi yang disebut InspectorInventoryCollection-do-not-delete jika belum ada.

Amazon Inspector juga memerlukan sinkronisasi data sumber daya dan secara otomatis membuat yang dipanggil InspectorResourceDataSync-do-not-delete jika belum ada. Untuk informasi selengkapnya, lihat Mengonfigurasi sinkronisasi data sumber daya untuk Inventaris di Panduan AWS Systems Manager Pengguna. Setiap akun dapat memiliki sejumlah sinkronisasi data sumber daya per Wilayah. Untuk informasi selengkapnya, lihat Jumlah maksimum sinkronisasi data sumber daya (per Akun AWS per Wilayah) di titik akhir dan kuota SSM. Jika Anda telah mencapai maksimum ini, Anda harus menghapus sinkronisasi data sumber daya, lihat Mengelola sinkronisasi data sumber daya.

Sumber daya SSM dibuat untuk pemindaian

Amazon Inspector memerlukan sejumlah sumber daya SSM di akun Anda untuk menjalankan pemindaian Amazon EC2. Sumber daya berikut dibuat saat Anda pertama kali mengaktifkan pemindaian Amazon Inspector EC2:

catatan

Jika salah satu sumber daya SSM ini dihapus saat pemindaian Amazon Inspector Amazon EC2 diaktifkan untuk akun Anda, Amazon Inspector akan mencoba membuatnya kembali pada interval pemindaian berikutnya.

InspectorInventoryCollection-do-not-delete

Ini adalah asosiasi Systems Manager State Manager (SSM) yang digunakan Amazon Inspector untuk mengumpulkan inventaris aplikasi perangkat lunak dari instans Amazon EC2 Anda. Jika akun Anda sudah memiliki asosiasi SSM untuk mengumpulkan inventarisInstanceIds*, Amazon Inspector akan menggunakannya alih-alih membuatnya sendiri.

InspectorResourceDataSync-do-not-delete

Ini adalah sinkronisasi data sumber daya yang digunakan Amazon Inspector untuk mengirim data inventaris yang dikumpulkan dari instans Amazon EC2 Anda ke bucket Amazon S3 yang dimiliki oleh Amazon Inspector. Untuk informasi selengkapnya, lihat Mengonfigurasi sinkronisasi data sumber daya untuk Inventaris di Panduan AWS Systems Manager Pengguna.

InspectorDistributor-do-not-delete

Ini adalah asosiasi SSM yang digunakan Amazon Inspector untuk memindai instance Windows. Asosiasi ini menginstal plugin Amazon Inspector SSM pada instans Windows Anda. Jika file plugin dihapus secara tidak sengaja, asosiasi ini akan menginstalnya kembali pada interval asosiasi berikutnya.

InvokeInspectorSsmPlugin-do-not-delete

Ini adalah asosiasi SSM yang digunakan Amazon Inspector untuk memindai instance Windows. Asosiasi ini memungkinkan Amazon Inspector untuk memulai pemindaian menggunakan plugin, Anda juga dapat menggunakannya untuk mengatur interval khusus untuk pemindaian instance Windows. Untuk informasi selengkapnya, lihat Mengatur jadwal khusus untuk pemindaian Windows misalnya.

InspectorLinuxDistributor-do-not-delete

Ini adalah asosiasi SSM yang digunakan Amazon Inspector untuk inspeksi mendalam Amazon EC2 Linux. Asosiasi ini menginstal plugin Amazon Inspector SSM pada instans Linux Anda.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Ini adalah asosiasi SSM yang digunakan Amazon Inspector untuk inspeksi mendalam Amazon EC2 Linux. Asosiasi ini memungkinkan Amazon Inspector untuk memulai pemindaian menggunakan plugin.

catatan

Saat Anda menonaktifkan pemindaian Amazon Inspector Amazon EC2 atau inspeksi mendalam, semua sumber daya SSM akan dihapus secara otomatis dari host Linux yang sesuai.

Pemindaian tanpa agen

Amazon Inspector menggunakan metode pemindaian tanpa agen pada instans yang memenuhi syarat saat akun Anda dalam mode pemindaian hibrida (yang mencakup pemindaian berbasis agen dan tanpa agen). Untuk pemindaian tanpa agen, Amazon Inspector menggunakan snapshot EBS untuk mengumpulkan inventaris perangkat lunak dari instans Anda. Instans yang dipindai menggunakan metode tanpa agen dipindai untuk paket sistem operasi, dan kerentanan paket bahasa pemrograman aplikasi.

catatan

Saat memindai instance Linux untuk kerentanan paket bahasa pemrograman aplikasi, metode tanpa agen memindai semua jalur yang tersedia, sedangkan pemindaian berbasis agen hanya memindai jalur default dan jalur tambahan yang Anda tentukan sebagai bagian darinya. Inspeksi mendalam Amazon Inspector untuk instans Amazon EC2 Linux Hal ini dapat mengakibatkan contoh yang sama memiliki temuan yang berbeda tergantung pada apakah itu dipindai menggunakan metode berbasis agen atau metode tanpa agen.

Proses berikut menjelaskan bagaimana Amazon Inspector menggunakan snapshot EBS untuk mengumpulkan inventaris dan melakukan pemindaian tanpa agen:

  1. Amazon Inspector membuat snapshot EBS dari semua volume yang dilampirkan ke instance. Saat Amazon Inspector menggunakannya, snapshot disimpan di akun Anda dan ditandai InspectorScan sebagai kunci tag, dan ID pemindaian unik sebagai nilai tag.

  2. Amazon Inspector mengambil data dari snapshot menggunakan API langsung EBS dan mengevaluasi kerentanannya. Temuan dihasilkan untuk setiap kerentanan yang terdeteksi.

  3. Amazon Inspector menghapus snapshot EBS yang dibuatnya di akun Anda.

Contoh yang memenuhi syarat

Amazon Inspector akan menggunakan metode agentless untuk memindai instance jika memenuhi ketentuan berikut:

  • Instans memiliki OS yang didukung. Untuk daftar OS yang didukung, lihat kolom dukungan pemindaian berbasis agen. Sistem operasi yang didukung: Pemindaian Amazon EC2

  • Instans tidak dikecualikan dari pemindaian oleh tag pengecualian Amazon Inspector EC2.

  • Instance memiliki statusUnmanaged EC2 instance,Stale inventory, atauNo inventory.

  • Instans ini didukung EBS dan memiliki salah satu format sistem file berikut:

    • ext3

    • ext4

    • xfs

Perilaku pemindaian tanpa agen

Saat akun Anda dikonfigurasi untuk pemindaian Hybrid, Amazon Inspector melakukan pemindaian tanpa agen pada instans yang memenuhi syarat setiap 24 jam. Amazon Inspector mendeteksi dan memindai instans baru yang memenuhi syarat setiap jam, yang mencakup instans baru tanpa agen SSM, atau instans yang sudah ada sebelumnya dengan status yang telah berubah menjadi. SSM_UNMANAGED

Amazon Inspector memperbarui bidang yang dipindai Terakhir untuk instans Amazon EC2 setiap kali memindai snapshot yang diekstraksi dari instance setelah pemindaian tanpa agen.

Anda dapat memeriksa kapan instans EC2 terakhir dipindai untuk mencari kerentanan dari tab Instans di halaman Manajemen akun, atau dengan menggunakan perintah. ListCoverage

Mengelola mode pemindaian

Mode pemindaian EC2 Anda menentukan metode pemindaian yang akan digunakan Amazon Inspector saat melakukan pemindaian EC2 di akun Anda. Anda dapat melihat mode pemindaian untuk akun Anda dari halaman pengaturan pemindaian EC2 di bawah Pengaturan umum. Akun mandiri atau administrator yang didelegasikan Amazon Inspector dapat mengubah mode pemindaian. Saat Anda menyetel mode pemindaian sebagai administrator yang didelegasikan Amazon Inspector, mode pemindaian disetel untuk semua akun anggota di organisasi Anda. Amazon Inspector memiliki mode pemindaian berikut:

Pemindaian berbasis agen — Dalam mode pemindaian ini, Amazon Inspector akan secara eksklusif menggunakan metode pemindaian berbasis agen saat memindai kerentanan paket. Mode pemindaian ini hanya memindai instans terkelola SSM di akun Anda, tetapi memiliki manfaat menyediakan pemindaian berkelanjutan sebagai respons terhadap CVE baru atau perubahan pada instans. Pemindaian berbasis agen juga menyediakan Inspeksi mendalam Amazon Inspector untuk instans yang memenuhi syarat. Ini adalah mode pemindaian default untuk akun yang baru diaktifkan.

Pemindaian hibrida — Dalam mode pemindaian ini, Amazon Inspector menggunakan kombinasi metode berbasis agen dan tanpa agen untuk memindai kerentanan paket. Untuk instans EC2 yang memenuhi syarat yang memiliki agen SSM diinstal dan dikonfigurasi, Amazon Inspector menggunakan metode berbasis agen. Untuk instans yang memenuhi syarat yang tidak dikelola SSM, Amazon Inspector akan menggunakan metode tanpa agen untuk instans yang didukung EBS yang memenuhi syarat.

Untuk mengubah mode pemindaian

  1. Buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/v2/home.

  2. Menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengubah mode pemindaian EC2 Anda.

  3. Dari panel navigasi samping, di bawah Pengaturan umum, pilih pengaturan pemindaian EC2.

  4. Di bawah Mode Pindai, pilih Edit.

  5. Pilih mode pemindaian dan kemudian pilih Simpan perubahan.

Mengecualikan instance dari pemindaian Amazon Inspector

Anda dapat menandai instance tertentu untuk mengecualikannya dari pemindaian Amazon Inspector. Mengecualikan instance dari pemindaian dapat membantu mencegah peringatan yang tidak dapat ditindaklanjuti. Anda tidak dikenakan biaya untuk instans yang dikecualikan.

Untuk mengecualikan instans EC2 dari pemindaian, beri tag instance tersebut dengan kunci berikut:

  • InspectorEc2Exclusion

Nilai adalah opsional.

Untuk informasi selengkapnya tentang menambahkan tag, lihat Menandai sumber daya Amazon EC2 Anda.

Selain itu, Anda dapat mengecualikan volume EBS terenkripsi dari pemindaian tanpa agen dengan menandai AWS KMS kunci yang digunakan untuk mengenkripsi volume tersebut dengan tag. InspectorEc2Exclusion Untuk informasi selengkapnya, lihat Menandai kunci

Sistem operasi yang didukung

Amazon Inspector memindai instans Mac, Windows, dan Linux EC2 yang didukung untuk kerentanan dalam paket sistem operasi. Untuk instance Linux, Amazon Inspector dapat menghasilkan temuan untuk paket bahasa pemrograman aplikasi yang digunakan. Inspeksi mendalam Amazon Inspector untuk instans Amazon EC2 Linux Untuk instance Mac dan Windows hanya paket sistem operasi yang dipindai.

Untuk informasi tentang sistem operasi yang didukung, termasuk sistem operasi mana yang dapat dipindai tanpa agen SSM, lihat. Sistem operasi yang didukung untuk pemindaian Amazon EC2