Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scansione EC2 delle istanze Amazon con Amazon Inspector
Amazon Inspector Amazon EC2 scan estrae i metadati dall' EC2 istanza prima di confrontarli con le regole raccolte dagli avvisi di sicurezza. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete per produrre risultati. Amazon Inspector esegue scansioni di raggiungibilità della rete una volta ogni 24 ore e scansioni di vulnerabilità dei pacchetti con una cadenza variabile che dipende dal metodo di scansione associato all'istanza. EC2
Le scansioni delle vulnerabilità dei pacchetti possono essere eseguite utilizzando un metodo di scansione basato su agenti o senza agente. Entrambi questi metodi di scansione determinano come e quando Amazon Inspector raccoglie l'inventario software da un' EC2 istanza per le scansioni delle vulnerabilità dei pacchetti. La scansione basata su agenti raccoglie l'inventario software utilizzando l'agente SSM, mentre la scansione senza agenti raccoglie l'inventario software utilizzando le istantanee di Amazon EBS.
Amazon Inspector utilizza i metodi di scansione attivati per il tuo account. Quando attivi Amazon Inspector per la prima volta, il tuo account viene automaticamente registrato alla scansione ibrida, che utilizza entrambi i metodi di scansione. Tuttavia, puoi modificare questa impostazione in qualsiasi momento. Per informazioni su come attivare un tipo di scansione, vedere Attivazione di un tipo di scansione. Questa sezione fornisce informazioni sulla EC2 scansione di Amazon.
Scansione basata su agenti
Le scansioni basate su agenti vengono eseguite continuamente utilizzando l'agente SSM su tutte le istanze idonee. Per le scansioni basate su agenti, Amazon Inspector utilizza le associazioni SSM e i plug-in installati tramite queste associazioni per raccogliere l'inventario software dalle tue istanze. Oltre alle scansioni delle vulnerabilità dei pacchetti dei sistemi operativi, la scansione basata su agenti di Amazon Inspector può anche rilevare le vulnerabilità dei pacchetti per i pacchetti del linguaggio di programmazione delle applicazioni nelle istanze basate su Linux tramite. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2
Il seguente processo spiega come Amazon Inspector utilizza SSM per raccogliere l'inventario ed eseguire scansioni basate su agenti:
-
Amazon Inspector crea associazioni SSM nel tuo account per raccogliere l'inventario dalle tue istanze. Per alcuni tipi di istanze (Windows e Linux), queste associazioni installano plug-in su singole istanze per raccogliere l'inventario.
-
Utilizzando SSM, Amazon Inspector estrae l'inventario dei pacchetti da un'istanza.
-
Amazon Inspector valuta l'inventario estratto e genera risultati per eventuali vulnerabilità rilevate.
Istanze idonee
Amazon Inspector utilizzerà il metodo basato su agenti per scansionare un'istanza se soddisfa le seguenti condizioni:
-
L'istanza ha un sistema operativo supportato. Per un elenco dei sistemi operativi supportati, consulta la colonna di supporto per la scansione basata su agenti di. Sistemi operativi supportati: Amazon EC2 scanning
-
L'istanza non è esclusa dalle scansioni tramite i tag di esclusione di Amazon EC2 Inspector.
-
L'istanza è gestita tramite SSM. Per istruzioni sulla verifica e la configurazione dell'agente, consulta. Configurazione dell'agente SSM
Comportamenti di scansione basati su agenti
Quando si utilizza il metodo di scansione basato su agenti, Amazon Inspector avvia nuove scansioni EC2 di vulnerabilità delle istanze nelle seguenti situazioni:
-
Quando avvii una nuova istanza. EC2
-
Quando installi un nuovo software su un' EC2 istanza esistente (Linux e Mac).
-
Quando Amazon Inspector aggiunge un nuovo elemento CVE (Common Vulnerabilities and Exposures) al suo database e quel CVE è pertinente alla tua EC2 istanza (Linux e Mac).
Amazon Inspector aggiorna il campo Ultima scansione per un' EC2 istanza quando viene completata una scansione iniziale. Successivamente, il campo Ultima scansione viene aggiornato quando Amazon Inspector valuta l'inventario SSM (per impostazione predefinita ogni 30 minuti) o quando un'istanza viene nuovamente scansionata perché al database Amazon Inspector è stato aggiunto un nuovo CVE che ha un impatto su quell'istanza.
Puoi verificare quando un' EC2 istanza è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il ListCoveragecomando.
Configurazione dell'agente SSM
Affinché Amazon Inspector rilevi le vulnerabilità del software per un' EC2 istanza Amazon utilizzando il metodo di scansione basato su agenti, l'istanza deve essere un'istanza gestita in Amazon EC2 Systems Manager (SSM). Un'istanza gestita da SSM ha l'agente SSM installato e in esecuzione e SSM dispone dell'autorizzazione per gestire l'istanza. Se stai già utilizzando SSM per gestire le tue istanze, non sono necessari altri passaggi per le scansioni basate su agenti.
L'agente SSM è installato per impostazione predefinita sulle EC2 istanze create da alcune Amazon Machine Images ()AMIs. Per ulteriori informazioni, consulta Informazioni su SSM Agent nella Guida per l'AWS Systems Manager utente. Tuttavia, anche se è installato, potrebbe essere necessario attivare l'agente SSM manualmente e concedere l'autorizzazione SSM per gestire l'istanza.
La procedura seguente descrive come configurare un' EC2 istanza Amazon come istanza gestita utilizzando un profilo di istanza IAM. La procedura fornisce anche collegamenti a informazioni più dettagliate nella Guida per l'AWS Systems Manager utente.
AmazonSSMManagedInstanceCoreè la politica consigliata da utilizzare quando si collega un profilo di istanza. Questa policy dispone di tutte le autorizzazioni necessarie per la scansione di Amazon EC2 Inspector.
Nota
Puoi anche automatizzare la gestione SSM di tutte le tue EC2 istanze, senza l'uso di profili di istanza IAM utilizzando SSM Default Host Management Configuration. Per ulteriori informazioni, consulta la pagina Configurazione di gestione host predefinita.
Per configurare SSM per un'istanza Amazon EC2
-
Se non è già installato dal fornitore del sistema operativo, installa l'agente SSM. Per ulteriori informazioni, consulta Working with SSM Agent.
-
Utilizzare il AWS CLI per verificare che l'agente SSM sia in esecuzione. Per ulteriori informazioni, consulta Verifica dello stato dell'agente SSM e avvio dell'agente.
-
Concedi l'autorizzazione a SSM per gestire la tua istanza. Puoi concedere l'autorizzazione creando un profilo di istanza IAM e collegandolo alla tua istanza. Ti consigliamo di utilizzare il AmazonSSMManagedInstanceCorepolitica, perché questa policy ha le autorizzazioni per SSM Distributor, SSM Inventory e SSM State manager, di cui Amazon Inspector ha bisogno per le scansioni. Per istruzioni sulla creazione di un profilo di istanza con queste autorizzazioni e sul collegamento di un'istanza, vedere Configurare le autorizzazioni dell'istanza per Systems Manager Systems Manager.
-
(Facoltativo) Attiva gli aggiornamenti automatici per l'agente SSM. Per ulteriori informazioni, consulta Automazione degli aggiornamenti all'agente SSM.
-
(Facoltativo) Configura Systems Manager per utilizzare un endpoint Amazon Virtual Private Cloud (Amazon VPC). Per ulteriori informazioni, consulta Creazione di endpoint Amazon VPC.
Importante
Amazon Inspector richiede un'associazione Systems Manager State Manager nel tuo account per raccogliere l'inventario delle applicazioni software. Amazon Inspector crea automaticamente un'associazione chiamata InspectorInventoryCollection-do-not-delete se non esiste già.
Amazon Inspector richiede anche una sincronizzazione dei dati delle risorse e ne crea automaticamente una chiamata InspectorResourceDataSync-do-not-delete se non ne esiste già una. Per ulteriori informazioni, consulta Configurazione della sincronizzazione dei dati delle risorse per Inventory nella Guida per l'AWS Systems Manager utente. Ogni account può avere un determinato numero di sincronizzazioni dei dati delle risorse per regione. Per ulteriori informazioni, consulta Numero massimo di sincronizzazioni dei dati delle risorse ( Account AWS per regione) negli endpoint e nelle quote SSM.
Risorse SSM create per la scansione
Amazon Inspector richiede diverse risorse SSM nel tuo account per eseguire le scansioni Amazon. EC2 Le seguenti risorse vengono create quando attivi per la prima volta la scansione di Amazon Inspector EC2 :
Nota
Se una di queste risorse SSM viene eliminata mentre Amazon Inspector La scansione EC2 Amazon è attiva per il tuo account, Amazon Inspector tenterà di ricrearla all'intervallo di scansione successivo.
InspectorInventoryCollection-do-not-delete-
Si tratta di un'associazione Systems Manager State Manager (SSM) che Amazon Inspector utilizza per raccogliere l'inventario delle applicazioni software dalle tue istanze Amazon EC2. Se il tuo account dispone già di un'associazione SSM per la raccolta dell'inventario
InstanceIds*, Amazon Inspector la utilizzerà invece di crearne una propria. InspectorResourceDataSync-do-not-delete-
Si tratta di una sincronizzazione dei dati delle risorse che Amazon Inspector utilizza per inviare i dati di inventario raccolti dalle EC2 istanze Amazon a un bucket Amazon S3 di proprietà di Amazon Inspector. Per ulteriori informazioni, consulta Configurazione della sincronizzazione dei dati delle risorse per l'inventario nella Guida per l'utente.AWS Systems Manager
InspectorDistributor-do-not-delete-
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione installa il plug-in Amazon Inspector SSM sulle tue istanze Windows. Se il file del plug-in viene eliminato inavvertitamente, questa associazione lo reinstallerà all'intervallo di associazione successivo.
InvokeInspectorSsmPlugin-do-not-delete-
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in, inoltre puoi utilizzarlo per impostare intervalli personalizzati per le scansioni delle istanze di Windows. Per ulteriori informazioni, consulta Impostazione di pianificazioni personalizzate per Windows scansioni delle istanze.
InspectorLinuxDistributor-do-not-delete-
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per l'ispezione approfondita di EC2 Amazon Linux. Questa associazione installa il plug-in Amazon Inspector SSM sulle tue istanze Linux.
InvokeInspectorLinuxSsmPlugin-do-not-delete-
Si tratta di un'associazione SSM utilizzata da Amazon Inspector per l'ispezione approfondita di EC2 Amazon Linux. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in.
Nota
Quando disattivi Amazon Inspector EC2 Amazon Scanning o Deep Inspection, la risorsa InvokeInspectorLinuxSsmPlugin-do-not-delete SSM non viene più richiamata.
Scansione senza agenti
Amazon Inspector utilizza il metodo di scansione senza agenti su istanze idonee quando l'account è in modalità di scansione ibrida. La modalità di scansione ibrida include scansioni basate su agenti e senza agenti e viene abilitata automaticamente quando attivi Amazon Scanning. EC2
Per le scansioni senza agenti, Amazon Inspector utilizza le istantanee EBS per raccogliere un inventario software dalle tue istanze. La scansione senza agente analizza le istanze alla ricerca di vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione delle applicazioni.
Nota
Durante la scansione delle istanze Linux alla ricerca delle vulnerabilità dei pacchetti del linguaggio di programmazione delle applicazioni, il metodo agentless analizza tutti i percorsi disponibili, mentre la scansione basata su agenti analizza solo i percorsi predefiniti e i percorsi aggiuntivi specificati dall'utente come parte di. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 Ciò può comportare che la stessa istanza abbia risultati diversi a seconda che venga scansionata utilizzando il metodo basato su agenti o il metodo senza agenti.
Il seguente processo spiega come Amazon Inspector utilizza gli snapshot EBS per raccogliere l'inventario ed eseguire scansioni senza agenti:
-
Amazon Inspector crea uno snapshot EBS di tutti i volumi collegati all'istanza. Mentre Amazon Inspector lo utilizza, lo snapshot viene archiviato nel tuo account e contrassegnato
InspectorScancome chiave di tag e un ID di scansione univoco come valore del tag. -
Amazon Inspector recupera i dati dagli snapshot utilizzando EBS direct APIs e li valuta per individuare eventuali vulnerabilità. I risultati vengono generati per tutte le vulnerabilità rilevate.
-
Amazon Inspector elimina gli snapshot EBS creati nel tuo account.
Istanze idonee
Amazon Inspector utilizzerà il metodo agentless per scansionare un'istanza se soddisfa le seguenti condizioni:
-
L'istanza ha un sistema operativo supportato. Per ulteriori informazioni, consulta la colonna >Supporto per la scansione basata su agenti di. Sistemi operativi supportati: Amazon EC2 scanning
-
Lo stato dell'istanza è pari a
Unmanaged EC2 instance,Stale inventoryo.No inventory -
L'istanza è supportata da Amazon EBS e ha uno dei seguenti formati di file system:
-
ext3 -
ext4 -
xfs
-
-
L'istanza non è esclusa dalle scansioni tramite i tag di EC2 esclusione di Amazon.
-
Il numero di volumi collegati all'istanza è inferiore a 8 e hanno una dimensione combinata inferiore o uguale a 1200 GB.
Comportamenti di scansione senza agenti
Quando il tuo account è configurato per la scansione ibrida, Amazon Inspector esegue scansioni senza agente su istanze idonee ogni 24 ore. Amazon Inspector rileva e analizza le nuove istanze idonee ogni ora, incluse nuove istanze senza agenti SSM o istanze preesistenti con stato modificato in. SSM_UNMANAGED
Amazon Inspector aggiorna il campo Ultima scansione per un' EC2istanza Amazon ogni volta che esegue la scansione degli snapshot estratti da un'istanza dopo una scansione senza agente.
Puoi verificare quando un' EC2 istanza è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il ListCoveragecomando.
Gestione della modalità di scansione
La modalità di EC2 scansione determina i metodi di scansione che Amazon Inspector utilizzerà per eseguire le EC2 scansioni nel tuo account. Puoi visualizzare la modalità di scansione del tuo account dalla pagina delle impostazioni di EC2 scansione in Impostazioni generali. Gli account autonomi o gli amministratori delegati di Amazon Inspector possono modificare la modalità di scansione. Quando imposti la modalità di scansione come amministratore delegato di Amazon Inspector, tale modalità di scansione viene impostata per tutti gli account membri della tua organizzazione. Amazon Inspector offre le seguenti modalità di scansione:
Scansione basata su agenti: in questa modalità di scansione, Amazon Inspector utilizzerà esclusivamente il metodo di scansione basato su agenti per la scansione delle vulnerabilità dei pacchetti. Questa modalità di scansione analizza solo le istanze gestite da SSM nel tuo account, ma ha il vantaggio di fornire scansioni continue in risposta a nuovi CVE o modifiche alle istanze. La scansione basata su agenti fornisce anche un'ispezione approfondita di Amazon Inspector per le istanze idonee. Questa è la modalità di scansione predefinita per gli account appena attivati.
Scansione ibrida: in questa modalità di scansione, Amazon Inspector utilizza una combinazione di metodi basati su agenti e senza agenti per individuare le vulnerabilità dei pacchetti. Per EC2 le istanze idonee in cui è installato e configurato l'agente SSM, Amazon Inspector utilizza il metodo basato su agenti. Per le istanze idonee che non sono gestite tramite SSM, Amazon Inspector utilizzerà il metodo agentless per le istanze idonee supportate da EBS.
Per modificare la modalità di scansione
-
Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare la modalità di scansione. EC2
-
Dal pannello di navigazione laterale, in Impostazioni generali, seleziona Impostazioni di scansione. EC2
-
In Modalità di scansione, seleziona Modifica.
-
Scegli una modalità di scansione, quindi seleziona Salva modifiche.
Esclusione delle istanze dalle scansioni di Amazon Inspector
Puoi escludere Linux e Windows le istanze di Amazon Inspector eseguono la scansione etichettando queste istanze con la chiave. InspectorEc2Exclusion L'inclusione di un valore di tag è facoltativa. Per informazioni sull'aggiunta di tag, consulta Tagga le tue EC2 risorse Amazon.
Quando tagghi un'istanza per l'esclusione dalle scansioni di Amazon Inspector, Amazon Inspector contrassegna l'istanza come esclusa e non crea risultati per essa. Tuttavia, il plug-in Amazon Inspector SSM continuerà a essere richiamato. Per evitare che il plug-in venga richiamato, devi consentire l'accesso ai tag nei metadati dell'istanza.
Nota
Non ti viene addebitato alcun costo per le istanze escluse.
Inoltre, puoi escludere un volume EBS crittografato dalle scansioni senza agente etichettando la AWS KMS chiave utilizzata per crittografare quel volume con il tag. InspectorEc2Exclusion Per ulteriori informazioni, consulta Etichettatura delle chiavi.
Sistemi operativi supportati
Amazon Inspector analizza le EC2 istanze Mac, Windows e Linux supportate alla ricerca di vulnerabilità nei pacchetti del sistema operativo. Per le istanze Linux, Amazon Inspector può produrre risultati per i pacchetti di linguaggi di programmazione delle applicazioni che utilizzano. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 Per le istanze Mac e Windows vengono scansionati solo i pacchetti del sistema operativo.
Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un agente SSM, consulta. Valori di stato EC2 delle istanze Amazon
