Memindai EC2 instans Amazon dengan Amazon Inspector - Amazon Inspector

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memindai EC2 instans Amazon dengan Amazon Inspector

Amazon Inspector Amazon EC2 scanning mengekstrak metadata dari EC2 instans Anda sebelum membandingkan metadata dengan aturan yang dikumpulkan dari penasihat keamanan. Amazon Inspector memindai instans untuk kerentanan paket dan masalah jangkauan jaringan untuk menghasilkan temuan. Amazon Inspector melakukan pemindaian jangkauan jaringan setiap 24 jam sekali dan kerentanan paket memindai irama variabel yang bergantung pada metode pemindaian yang terkait dengan instance. EC2

Package vulnerability scan dapat dilakukan dengan menggunakan metode pemindaian berbasis agen atau agentless. Kedua metode pemindaian ini menentukan bagaimana dan kapan Amazon Inspector mengumpulkan inventaris perangkat lunak dari EC2 instance instance untuk pemindaian kerentanan paket. Pemindaian berbasis agen mengumpulkan inventaris perangkat lunak menggunakan SSM agen, dan pemindaian tanpa agen mengumpulkan inventaris perangkat lunak menggunakan snapshot Amazon. EBS

Amazon Inspector menggunakan metode pemindaian yang Anda aktifkan untuk akun Anda. Saat Anda mengaktifkan Amazon Inspector untuk pertama kalinya, akun Anda secara otomatis terdaftar dalam pemindaian hibrida, yang menggunakan kedua metode pemindaian. Namun, Anda dapat mengubah pengaturan ini kapan saja. Untuk informasi tentang cara mengaktifkan jenis pemindaian, lihat Mengaktifkan jenis pemindaian. Bagian ini memberikan informasi tentang EC2 pemindaian Amazon.

Pemindaian berbasis agen

Pemindaian berbasis agen dilakukan terus menerus menggunakan SSM agen pada semua instance yang memenuhi syarat. Untuk pemindaian berbasis agen, Amazon Inspector menggunakan SSM asosiasi, dan plugin yang diinstal melalui asosiasi ini, untuk mengumpulkan inventaris perangkat lunak dari instans Anda. Selain pemindaian kerentanan paket untuk paket sistem operasi, pemindaian berbasis agen Amazon Inspector juga dapat mendeteksi kerentanan paket untuk paket bahasa pemrograman aplikasi dalam instance berbasis Linux. Inspeksi mendalam Amazon Inspector untuk instans Amazon berbasis Linux EC2

Proses berikut menjelaskan bagaimana Amazon Inspector menggunakan SSM untuk mengumpulkan inventaris dan melakukan pemindaian berbasis agen:

  1. Amazon Inspector membuat SSM asosiasi di akun Anda untuk mengumpulkan inventaris dari instans Anda. Untuk beberapa jenis Instance (Windows, dan Linux), asosiasi ini menginstal plugin pada instance individual untuk mengumpulkan inventaris.

  2. MenggunakanSSM, Amazon Inspector mengekstrak inventaris paket dari sebuah instance.

  3. Amazon Inspector mengevaluasi inventaris yang diekstraksi dan menghasilkan temuan untuk setiap kerentanan yang terdeteksi.

Contoh yang memenuhi syarat

Amazon Inspector akan menggunakan metode berbasis agen untuk memindai instance jika memenuhi ketentuan berikut:

Perilaku pemindaian berbasis agen

Saat menggunakan metode pemindaian berbasis agen, Amazon Inspector memulai pemindaian kerentanan instans baru dalam situasi EC2 berikut:

  • Saat Anda meluncurkan EC2 instance baru.

  • Saat Anda menginstal perangkat lunak baru pada EC2 instance yang sudah ada (Linux dan Mac).

  • Saat Amazon Inspector menambahkan item common vulnerabilities dan exposures (CVE) baru ke database-nya, dan CVE itu relevan dengan EC2 instans Anda (Linux dan Mac).

Amazon Inspector memperbarui bidang yang dipindai Terakhir untuk sebuah EC2 instance saat pemindaian awal selesai. Setelah ini, bidang Last scanned diperbarui saat Amazon Inspector SSM mengevaluasi inventaris (setiap 30 menit secara default), atau saat instance dipindai ulang karena instance CVE baru yang memengaruhi instance tersebut ditambahkan ke database Amazon Inspector.

Anda dapat memeriksa kapan EC2 instans terakhir dipindai untuk kerentanan dari tab Instans di halaman Manajemen akun, atau dengan menggunakan ListCoverageperintah.

Mengkonfigurasi Agen SSM

Agar Amazon Inspector mendeteksi kerentanan perangkat lunak untuk EC2 instans Amazon menggunakan metode pemindaian berbasis agen, instans harus berupa instance terkelola di Amazon Systems Manager EC2 (). SSM Instance SSM terkelola memiliki SSM Agen yang diinstal dan dijalankan, dan SSM memiliki izin untuk mengelola instance. Jika Anda sudah menggunakan SSM untuk mengelola instans Anda, tidak ada langkah lain yang diperlukan untuk pemindaian berbasis agen.

SSMAgen diinstal secara default pada EC2 instance yang dibuat dari beberapa Amazon Machine Images (AMIs). Untuk informasi selengkapnya, lihat Tentang SSM Agen di Panduan AWS Systems Manager Pengguna. Namun, meskipun sudah diinstal, Anda mungkin perlu mengaktifkan SSM Agen secara manual, dan memberikan SSM izin untuk mengelola instans Anda.

Prosedur berikut menjelaskan cara mengonfigurasi EC2 instans Amazon sebagai instance terkelola menggunakan profil IAM instans. Prosedur ini juga menyediakan tautan ke informasi yang lebih rinci di Panduan AWS Systems Manager Pengguna.

AmazonSSMManagedInstanceCoreadalah kebijakan yang disarankan untuk digunakan saat Anda melampirkan profil instance. Kebijakan ini memiliki semua izin yang diperlukan untuk pemindaian Amazon EC2 Inspector.

catatan

Anda juga dapat mengotomatiskan SSM pengelolaan semua EC2 instans Anda, tanpa menggunakan profil IAM instans menggunakan Konfigurasi Manajemen Host SSM Default. Untuk informasi selengkapnya, lihat Konfigurasi Manajemen Host Default.

SSMUntuk mengonfigurasi EC2 instans Amazon
  1. Jika belum diinstal oleh vendor sistem operasi Anda, instal SSM Agen. Untuk informasi selengkapnya, lihat Bekerja dengan SSM Agen.

  2. Gunakan AWS CLI untuk memverifikasi bahwa SSM Agen sedang berjalan. Untuk informasi selengkapnya, lihat Memeriksa status SSM Agen dan memulai agen.

  3. Berikan izin SSM untuk mengelola instans Anda. Anda dapat memberikan izin dengan membuat profil IAM instance dan melampirkannya ke instans Anda. Kami merekomendasikan menggunakan AmazonSSMManagedInstanceCorekebijakan, karena kebijakan ini memiliki izin untuk SSM Distributor, SSM Inventaris, dan Manajer SSM Negara, yang dibutuhkan Amazon Inspector untuk pemindaian. Untuk petunjuk cara membuat profil instans dengan izin ini dan melampirkannya sebagai instance, lihat Mengonfigurasi izin instans untuk Systems Manager Systems Manager.

  4. (Opsional) Aktifkan pembaruan otomatis untuk SSM Agen. Untuk informasi selengkapnya, lihat Mengotomatiskan pembaruan ke SSM Agen.

  5. (Opsional) Konfigurasikan Systems Manager untuk menggunakan titik akhir Amazon Virtual Private Cloud (AmazonVPC). Untuk informasi selengkapnya, lihat Membuat VPC titik akhir Amazon.

penting

Amazon Inspector memerlukan asosiasi Manajer Negara Systems Manager di akun Anda untuk mengumpulkan inventaris aplikasi perangkat lunak. Amazon Inspector secara otomatis membuat asosiasi yang disebut InspectorInventoryCollection-do-not-delete jika belum ada.

Amazon Inspector juga memerlukan sinkronisasi data sumber daya dan secara otomatis membuat yang dipanggil InspectorResourceDataSync-do-not-delete jika belum ada. Untuk informasi selengkapnya, lihat Mengonfigurasi sinkronisasi data sumber daya untuk Inventaris di Panduan AWS Systems Manager Pengguna. Setiap akun dapat memiliki sejumlah sinkronisasi data sumber daya per Wilayah. Untuk informasi selengkapnya, lihat Jumlah maksimum sinkronisasi data sumber daya (per Akun AWS per Wilayah) di SSMtitik akhir dan kuota.

SSMsumber daya yang dibuat untuk pemindaian

Amazon Inspector memerlukan sejumlah SSM sumber daya di akun Anda untuk menjalankan pemindaian AmazonEC2. Sumber daya berikut dibuat saat Anda pertama kali mengaktifkan pemindaian Amazon InspectorEC2:

catatan

Jika salah satu SSM sumber daya ini dihapus saat EC2 pemindaian Amazon Inspector Amazon diaktifkan untuk akun Anda, Amazon Inspector akan mencoba membuatnya kembali pada interval pemindaian berikutnya.

InspectorInventoryCollection-do-not-delete

Ini adalah asosiasi Systems Manager State Manager (SSM) yang digunakan Amazon Inspector untuk mengumpulkan inventaris aplikasi perangkat lunak dari instans Amazon EC2 Anda. Jika akun Anda sudah memiliki SSM asosiasi untuk mengumpulkan inventarisInstanceIds*, Amazon Inspector akan menggunakannya alih-alih membuatnya sendiri.

InspectorResourceDataSync-do-not-delete

Ini adalah sinkronisasi data sumber daya yang digunakan Amazon Inspector untuk mengirim data inventaris yang dikumpulkan dari EC2 instans Amazon Anda ke bucket Amazon S3 yang dimiliki oleh Amazon Inspector. Untuk informasi selengkapnya, lihat Mengonfigurasi sinkronisasi data sumber daya untuk Inventaris di Panduan AWS Systems Manager Pengguna.

InspectorDistributor-do-not-delete

Ini adalah SSM asosiasi yang digunakan Amazon Inspector untuk memindai instance Windows. Asosiasi ini menginstal plugin Amazon SSM Inspector pada instans Windows Anda. Jika file plugin dihapus secara tidak sengaja, asosiasi ini akan menginstalnya kembali pada interval asosiasi berikutnya.

InvokeInspectorSsmPlugin-do-not-delete

Ini adalah SSM asosiasi yang digunakan Amazon Inspector untuk memindai instance Windows. Asosiasi ini memungkinkan Amazon Inspector untuk memulai pemindaian menggunakan plugin, Anda juga dapat menggunakannya untuk mengatur interval khusus untuk pemindaian instance Windows. Untuk informasi selengkapnya, lihat Mengatur jadwal kustom untuk Windows pemindaian contoh.

InspectorLinuxDistributor-do-not-delete

Ini adalah SSM asosiasi yang digunakan Amazon Inspector untuk inspeksi mendalam Amazon EC2 Linux. Asosiasi ini menginstal plugin Amazon SSM Inspector pada instans Linux Anda.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Ini adalah SSM asosiasi yang digunakan Amazon Inspector untuk inspeksi mendalam Amazon EC2 Linux. Asosiasi ini memungkinkan Amazon Inspector untuk memulai pemindaian menggunakan plugin.

catatan

Saat Anda menonaktifkan pemindaian Amazon EC2 Inspector Amazon atau inspeksi mendalamSSM, InvokeInspectorLinuxSsmPlugin-do-not-delete sumber daya tidak lagi dipanggil.

Pemindaian tanpa agen

Amazon Inspector menggunakan metode pemindaian tanpa agen pada instans yang memenuhi syarat saat akun Anda dalam mode pemindaian hibrid. Mode pemindaian hibrida mencakup pemindaian berbasis agen dan tanpa agen dan diaktifkan secara otomatis saat Anda mengaktifkan pemindaian Amazon. EC2

Untuk pemindaian tanpa agen, Amazon Inspector menggunakan EBS snapshot untuk mengumpulkan inventaris perangkat lunak dari instans Anda. Pemindaian tanpa agen memindai instance untuk sistem operasi dan kerentanan paket bahasa pemrograman aplikasi..

catatan

Saat memindai instance Linux untuk kerentanan paket bahasa pemrograman aplikasi, metode tanpa agen memindai semua jalur yang tersedia, sedangkan pemindaian berbasis agen hanya memindai jalur default dan jalur tambahan yang Anda tentukan sebagai bagian darinya. Inspeksi mendalam Amazon Inspector untuk instans Amazon berbasis Linux EC2 Hal ini dapat mengakibatkan contoh yang sama memiliki temuan yang berbeda tergantung pada apakah itu dipindai menggunakan metode berbasis agen atau metode tanpa agen.

Proses berikut menjelaskan bagaimana Amazon Inspector menggunakan EBS snapshot untuk mengumpulkan inventaris dan melakukan pemindaian tanpa agen:

  1. Amazon Inspector membuat EBS snapshot dari semua volume yang dilampirkan ke instance. Saat Amazon Inspector menggunakannya, snapshot disimpan di akun Anda dan ditandai InspectorScan sebagai kunci tag, dan ID pemindaian unik sebagai nilai tag.

  2. Amazon Inspector mengambil data dari snapshot menggunakan EBSdirect APIs dan mengevaluasinya untuk kerentanan. Temuan dihasilkan untuk setiap kerentanan yang terdeteksi.

  3. Amazon Inspector menghapus EBS snapshot yang dibuatnya di akun Anda.

Contoh yang memenuhi syarat

Amazon Inspector akan menggunakan metode agentless untuk memindai instance jika memenuhi ketentuan berikut:

  • Instans memiliki OS yang didukung. Untuk informasi selengkapnya, lihat kolom dukungan pemindaian berbasis agen dari. Sistem operasi yang didukung: EC2 Pemindaian Amazon

  • Instance memiliki statusUnmanaged EC2 instance,Stale inventory, atauNo inventory.

  • Instans ini didukung oleh Amazon EBS dan memiliki salah satu format sistem file berikut:

    • ext3

    • ext4

    • xfs

  • Instance tidak dikecualikan dari pemindaian melalui tag EC2 pengecualian Amazon.

  • Jumlah volume yang melekat pada instance kurang dari 8 dan memiliki ukuran gabungan yang kurang dari atau sama dengan 1200 GB.

Perilaku pemindaian tanpa agen

Saat akun Anda dikonfigurasi untuk pemindaian Hybrid, Amazon Inspector melakukan pemindaian tanpa agen pada instans yang memenuhi syarat setiap 24 jam. Amazon Inspector mendeteksi dan memindai instans baru yang memenuhi syarat setiap jam, yang mencakup instans baru tanpa SSM agen, atau instans yang sudah ada sebelumnya dengan status yang telah berubah menjadi. SSM_UNMANAGED

Amazon Inspector memperbarui bidang yang dipindai Terakhir untuk instance Amazon setiap kali memindai snapshot yang diekstraksi dari EC2 instance setelah pemindaian tanpa agen.

Anda dapat memeriksa kapan EC2 instans terakhir dipindai untuk kerentanan dari tab Instans di halaman Manajemen akun, atau dengan menggunakan ListCoverageperintah.

Mengelola mode pemindaian

Mode EC2 pemindaian Anda menentukan metode pemindaian yang akan digunakan Amazon Inspector saat melakukan EC2 pemindaian di akun Anda. Anda dapat melihat mode pemindaian untuk akun Anda dari halaman pengaturan EC2 pemindaian di bawah Pengaturan umum. Akun mandiri atau administrator yang didelegasikan Amazon Inspector dapat mengubah mode pemindaian. Saat Anda menyetel mode pemindaian sebagai administrator yang didelegasikan Amazon Inspector, mode pemindaian disetel untuk semua akun anggota di organisasi Anda. Amazon Inspector memiliki mode pemindaian berikut:

Pemindaian berbasis agen — Dalam mode pemindaian ini, Amazon Inspector akan secara eksklusif menggunakan metode pemindaian berbasis agen saat memindai kerentanan paket. Mode pemindaian ini hanya memindai instans SSM terkelola di akun Anda, tetapi memiliki manfaat menyediakan pemindaian berkelanjutan sebagai respons terhadap instans baru CVE atau perubahan instans. Pemindaian berbasis agen juga menyediakan Inspeksi mendalam Amazon Inspector untuk instans yang memenuhi syarat. Ini adalah mode pemindaian default untuk akun yang baru diaktifkan.

Pemindaian hibrida — Dalam mode pemindaian ini, Amazon Inspector menggunakan kombinasi metode berbasis agen dan tanpa agen untuk memindai kerentanan paket. Untuk EC2 instans yang memenuhi syarat yang memiliki SSM agen diinstal dan dikonfigurasi, Amazon Inspector menggunakan metode berbasis agen. Untuk instans yang memenuhi syarat yang tidak SSM dikelola, Amazon Inspector akan menggunakan metode tanpa agen untuk instans yang didukung yang memenuhi syarat. EBS

Untuk mengubah mode pemindaian
  1. Masuk menggunakan kredensil Anda, lalu buka konsol Amazon Inspector di v2/home. https://console.aws.amazon.com/inspector/

  2. Menggunakan Wilayah AWS pemilih di sudut kanan atas halaman, pilih Wilayah tempat Anda ingin mengubah mode pemindaian Anda. EC2

  3. Dari panel navigasi samping, di bawah Pengaturan umum, pilih pengaturan EC2 pemindaian.

  4. Di bawah Mode Pindai, pilih Edit.

  5. Pilih mode pemindaian dan kemudian pilih Simpan perubahan.

Mengecualikan instance dari pemindaian Amazon Inspector

Anda dapat mengecualikan Linux and Windows instance dari Amazon Inspector memindai dengan menandai instance ini dengan kunci. InspectorEc2Exclusion Termasuk nilai tag adalah opsional. Untuk informasi tentang menambahkan tag, lihat Menandai EC2 sumber daya Amazon Anda.

Saat Anda menandai instance untuk pengecualian dari pemindaian Amazon Inspector, Amazon Inspector menandai instance sebagai dikecualikan dan tidak akan membuat temuan untuknya. Namun, SSM plugin Amazon Inspector akan terus dipanggil. Untuk mencegah plugin dipanggil, Anda harus mengizinkan akses ke tag dalam metadata instance.

catatan

Anda tidak dikenakan biaya untuk instans yang dikecualikan.

Selain itu, Anda dapat mengecualikan EBS volume terenkripsi dari pemindaian tanpa agen dengan menandai AWS KMS kunci yang digunakan untuk mengenkripsi volume tersebut dengan tag. InspectorEc2Exclusion Untuk informasi selengkapnya, lihat Menandai kunci.

Sistem operasi yang didukung

Amazon Inspector memindai EC2 instans Mac, Windows, dan Linux yang mendukung kerentanan dalam paket sistem operasi. Untuk instance Linux, Amazon Inspector dapat menghasilkan temuan untuk paket bahasa pemrograman aplikasi yang digunakan. Inspeksi mendalam Amazon Inspector untuk instans Amazon berbasis Linux EC2 Untuk instance Mac dan Windows hanya paket sistem operasi yang dipindai.

Untuk informasi tentang sistem operasi yang didukung, termasuk sistem operasi mana yang dapat dipindai tanpa SSM agen, lihatAmazon EC2 instans nilai status.