Scansione basata su agenti Scansione senza agenti Gestione della modalità di scansione Esclusione delle istanze dalle scansioni di Amazon Inspector Sistemi operativi supportati

Scansione EC2 delle istanze Amazon con Amazon Inspector

Amazon Inspector La EC2 scansione di Amazon estrae i metadati dall'EC2istanza prima di confrontarli con le regole raccolte dagli avvisi di sicurezza. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete per produrre risultati. Amazon Inspector esegue scansioni di raggiungibilità della rete una volta ogni 24 ore e scansioni di vulnerabilità dei pacchetti con una cadenza variabile che dipende dal metodo di scansione associato all'istanza. EC2

Le scansioni delle vulnerabilità dei pacchetti possono essere eseguite utilizzando un metodo di scansione basato su agenti o senza agente. Entrambi questi metodi di scansione determinano come e quando Amazon Inspector raccoglie l'inventario software da un'EC2istanza per le scansioni delle vulnerabilità dei pacchetti. La scansione basata su agenti raccoglie l'inventario del software utilizzando l'SSMagente, mentre la scansione senza agente raccoglie l'inventario del software utilizzando le istantanee di Amazon. EBS

Amazon Inspector utilizza i metodi di scansione attivati per il tuo account. Quando attivi Amazon Inspector per la prima volta, il tuo account viene automaticamente registrato alla scansione ibrida, che utilizza entrambi i metodi di scansione. Tuttavia, puoi modificare questa impostazione in qualsiasi momento. Per informazioni su come attivare un tipo di scansione, vedere Attivazione di un tipo di scansione. Questa sezione fornisce informazioni sulla EC2 scansione di Amazon.

Scansione basata su agenti

Le scansioni basate su agenti vengono eseguite continuamente utilizzando l'SSMagente su tutte le istanze idonee. Per le scansioni basate su agenti, Amazon Inspector utilizza SSM le associazioni e i plug-in installati tramite queste associazioni per raccogliere l'inventario del software dalle tue istanze. Oltre alle scansioni delle vulnerabilità dei pacchetti dei sistemi operativi, la scansione basata su agenti di Amazon Inspector può anche rilevare le vulnerabilità dei pacchetti per i pacchetti del linguaggio di programmazione delle applicazioni nelle istanze basate su Linux tramite. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2

Il seguente processo spiega come Amazon Inspector utilizza SSM per raccogliere l'inventario ed eseguire scansioni basate su agenti:

Amazon Inspector crea SSM associazioni nel tuo account per raccogliere l'inventario dalle tue istanze. Per alcuni tipi di istanze (Windows e Linux), queste associazioni installano plug-in su singole istanze per raccogliere l'inventario.
UtilizzandoSSM, Amazon Inspector estrae l'inventario dei pacchi da un'istanza.
Amazon Inspector valuta l'inventario estratto e genera risultati per eventuali vulnerabilità rilevate.

Istanze idonee

Amazon Inspector utilizzerà il metodo basato su agenti per scansionare un'istanza se soddisfa le seguenti condizioni:

L'istanza ha un sistema operativo supportato. Per un elenco dei sistemi operativi supportati, consulta la colonna di supporto per la scansione basata su agenti di. Sistemi operativi supportati: Amazon EC2 scanning
L'istanza non è esclusa dalle scansioni tramite i tag di esclusione di Amazon EC2 Inspector.
L'istanza è gestita. SSM Per istruzioni sulla verifica e la configurazione dell'agente, vedere. Configurazione dell'agente SSM

Comportamenti di scansione basati su agenti

Quando si utilizza il metodo di scansione basato su agenti, Amazon Inspector avvia nuove scansioni EC2 di vulnerabilità delle istanze nelle seguenti situazioni:

Quando avvii una nuova istanza. EC2
Quando installi un nuovo software su un'EC2istanza esistente (Linux e Mac).
Quando Amazon Inspector aggiunge un nuovo elemento Common Vulnerabilities and Exposures (CVE) al suo database e questo CVE è rilevante per la tua EC2 istanza (Linux e Mac).

Amazon Inspector aggiorna il campo Ultima scansione per un'EC2istanza quando viene completata una scansione iniziale. Dopodiché, il campo Ultima scansione viene aggiornato quando Amazon Inspector SSM valuta l'inventario (per impostazione predefinita ogni 30 minuti) o quando un'istanza viene nuovamente scansionata perché al database Amazon Inspector è stata aggiunta una CVE nuova istanza che ha un impatto su quell'istanza.

Puoi verificare quando un'EC2istanza è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il comando. ListCoverage

Configurazione dell'agente SSM

Affinché Amazon Inspector rilevi le vulnerabilità del software per un'EC2istanza Amazon utilizzando il metodo di scansione basato su agenti, l'istanza deve essere un'istanza gestita in Amazon Systems Manager EC2 (). SSM Un'istanza SSM gestita ha l'SSMagente installato e in esecuzione e SSM dispone dell'autorizzazione per gestire l'istanza. Se lo utilizzi già SSM per gestire le tue istanze, non sono necessari altri passaggi per le scansioni basate su agenti.

L'SSMagente è installato per impostazione predefinita sulle EC2 istanze create da alcune Amazon Machine Images (AMIs). Per ulteriori informazioni, consulta About SSM Agent nella Guida per l'AWS Systems Manager utente. Tuttavia, anche se è installato, potrebbe essere necessario attivare l'SSMagente manualmente e concedere l'SSMautorizzazione per gestire l'istanza.

La procedura seguente descrive come configurare un'EC2istanza Amazon come istanza gestita utilizzando un profilo di IAM istanza. La procedura fornisce anche collegamenti a informazioni più dettagliate nella Guida per l'AWS Systems Manager utente.

AmazonSSMManagedInstanceCoreè la politica consigliata da utilizzare quando si collega un profilo di istanza. Questa policy dispone di tutte le autorizzazioni necessarie per la scansione di Amazon EC2 Inspector.

Nota

Puoi anche automatizzare la SSM gestione di tutte le tue EC2 istanze, senza l'uso di profili di IAM istanza, utilizzando la configurazione di gestione host SSM predefinita. Per ulteriori informazioni, consulta la pagina Configurazione di gestione host predefinita.

SSMPer configurare un'EC2istanza Amazon

Se non è già installato dal fornitore del sistema operativo, installa l'SSMagente. Per ulteriori informazioni, vedere Working with SSM Agent.
Utilizzare il AWS CLI per verificare che l'SSMagente sia in esecuzione. Per ulteriori informazioni, vedere Verifica dello stato SSM dell'agente e avvio dell'agente.
Concedi l'autorizzazione SSM per gestire la tua istanza. Puoi concedere l'autorizzazione creando un profilo di IAM istanza e allegandolo all'istanza. Ti consigliamo di utilizzare la AmazonSSMManagedInstanceCorepolitica, poiché questa politica ha le autorizzazioni per SSM Distributore, SSM Inventario e Gestore SSM dello stato, di cui Amazon Inspector ha bisogno per le scansioni. Per istruzioni sulla creazione di un profilo di istanza con queste autorizzazioni e sul collegamento di un'istanza, vedere Configurare le autorizzazioni dell'istanza per Systems Manager Systems Manager.
(Facoltativo) Attiva gli aggiornamenti automatici per l'agente. SSM Per ulteriori informazioni, vedere Automazione degli aggiornamenti all'SSMagente.
(Facoltativo) Configura Systems Manager per utilizzare un endpoint Amazon Virtual Private Cloud (AmazonVPC). Per ulteriori informazioni, consulta Creare VPC endpoint Amazon.

Importante

Amazon Inspector richiede un'associazione Systems Manager State Manager nel tuo account per raccogliere l'inventario delle applicazioni software. Amazon Inspector crea automaticamente un'associazione chiamata InspectorInventoryCollection-do-not-delete se non esiste già.

Amazon Inspector richiede anche una sincronizzazione dei dati delle risorse e ne crea automaticamente una chiamata InspectorResourceDataSync-do-not-delete se non ne esiste già una. Per ulteriori informazioni, consulta Configurazione della sincronizzazione dei dati delle risorse per Inventory nella Guida per l'AWS Systems Manager utente. Ogni account può avere un determinato numero di sincronizzazioni dei dati delle risorse per regione. Per ulteriori informazioni, consulta Numero massimo di sincronizzazioni dei dati delle risorse ( Account AWS per regione) negli SSMendpoint e nelle quote.

SSMrisorse create per la scansione

Amazon Inspector richiede diverse SSM risorse nel tuo account per eseguire le scansioni AmazonEC2. Le seguenti risorse vengono create quando attivi per la prima volta la scansione di Amazon InspectorEC2:

Nota

Se una di queste SSM risorse viene eliminata mentre la EC2 scansione Amazon Inspector è attiva per il tuo account, Amazon Inspector tenterà di ricrearla all'intervallo di scansione successivo.

InspectorInventoryCollection-do-not-delete: Si tratta di un'associazione Systems Manager State Manager (SSM) che Amazon Inspector utilizza per raccogliere l'inventario delle applicazioni software dalle tue istanze AmazonEC2. Se nel tuo account è già presente un'SSMassociazione per la raccolta dell'inventarioInstanceIds*, Amazon Inspector la utilizzerà invece di crearne una propria.
InspectorResourceDataSync-do-not-delete: Si tratta di una sincronizzazione dei dati delle risorse che Amazon Inspector utilizza per inviare i dati di inventario raccolti dalle EC2 istanze Amazon a un bucket Amazon S3 di proprietà di Amazon Inspector. Per ulteriori informazioni, consulta Configurazione della sincronizzazione dei dati delle risorse per l'inventario nella Guida per l'utente.AWS Systems Manager
InspectorDistributor-do-not-delete: Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione installa il plug-in Amazon SSM Inspector sulle istanze di Windows. Se il file del plug-in viene eliminato inavvertitamente, questa associazione lo reinstallerà all'intervallo di associazione successivo.
InvokeInspectorSsmPlugin-do-not-delete: Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in, inoltre puoi utilizzarlo per impostare intervalli personalizzati per le scansioni delle istanze di Windows. Per ulteriori informazioni, consulta Impostazione di pianificazioni personalizzate, ad esempio scansioni Windows.
InspectorLinuxDistributor-do-not-delete: Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per l'ispezione approfondita di Amazon EC2 Linux. Questa associazione installa il plug-in Amazon SSM Inspector sulle tue istanze Linux.
InvokeInspectorLinuxSsmPlugin-do-not-delete: Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per l'ispezione approfondita di Amazon EC2 Linux. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in.

Nota

Quando disattivi Amazon Inspector EC2 Amazon Scanning o Deep InspectionSSM, InvokeInspectorLinuxSsmPlugin-do-not-delete la risorsa non viene più richiamata.

Scansione senza agenti

Amazon Inspector utilizza il metodo di scansione senza agenti su istanze idonee quando l'account è in modalità di scansione ibrida. La modalità di scansione ibrida include scansioni basate su agenti e senza agenti e viene abilitata automaticamente quando attivi Amazon Scanning. EC2

Per le scansioni senza agenti, Amazon Inspector utilizza le EBS istantanee per raccogliere un inventario software dalle tue istanze. La scansione senza agente analizza le istanze alla ricerca di vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione delle applicazioni.

Nota

Durante la scansione delle istanze Linux alla ricerca delle vulnerabilità dei pacchetti del linguaggio di programmazione delle applicazioni, il metodo agentless analizza tutti i percorsi disponibili, mentre la scansione basata su agenti analizza solo i percorsi predefiniti e i percorsi aggiuntivi specificati come parte di. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 Ciò può comportare che la stessa istanza abbia risultati diversi a seconda che venga scansionata utilizzando il metodo basato su agenti o il metodo senza agenti.

Il seguente processo spiega come Amazon Inspector utilizza le EBS istantanee per raccogliere l'inventario ed eseguire scansioni senza agenti:

Amazon Inspector crea uno EBS snapshot di tutti i volumi collegati all'istanza. Mentre Amazon Inspector lo utilizza, lo snapshot viene archiviato nel tuo account e contrassegnato InspectorScan come chiave di tag e un ID di scansione univoco come valore del tag.
Amazon Inspector recupera i dati dagli snapshot utilizzando EBSDirect APIs e li valuta per individuare eventuali vulnerabilità. I risultati vengono generati per tutte le vulnerabilità rilevate.
Amazon Inspector elimina le EBS istantanee create nel tuo account.

Istanze idonee

Amazon Inspector utilizzerà il metodo agentless per scansionare un'istanza se soddisfa le seguenti condizioni:

L'istanza ha un sistema operativo supportato. Per un elenco dei sistemi operativi supportati, consulta la colonna di supporto per la scansione basata su agenti di. Sistemi operativi supportati: Amazon EC2 scanning
L'istanza non è esclusa dalle scansioni tramite i tag di esclusione di Amazon EC2 Inspector.
L'istanza ha lo stato diUnmanaged EC2 instance, Stale inventory o. No inventory
L'istanza è EBS supportata da -backed e ha uno dei seguenti formati di file system:
- ext3
- ext4
- xfs

Comportamenti di scansione senza agenti

Quando il tuo account è configurato per la scansione ibrida, Amazon Inspector esegue scansioni senza agente su istanze idonee ogni 24 ore. Amazon Inspector rileva e analizza le nuove istanze idonee ogni ora, incluse nuove istanze senza SSM agenti o istanze preesistenti con stato modificato in. SSM_UNMANAGED

Amazon Inspector aggiorna il campo Ultima scansione per un'EC2istanza Amazon ogni volta che esegue la scansione degli snapshot estratti da un'istanza dopo una scansione senza agente.

Gestione della modalità di scansione

La modalità di EC2 scansione determina i metodi di scansione che Amazon Inspector utilizzerà per eseguire le EC2 scansioni nel tuo account. Puoi visualizzare la modalità di scansione del tuo account dalla pagina delle impostazioni di EC2 scansione in Impostazioni generali. Gli account autonomi o gli amministratori delegati di Amazon Inspector possono modificare la modalità di scansione. Quando imposti la modalità di scansione come amministratore delegato di Amazon Inspector, tale modalità di scansione viene impostata per tutti gli account membri della tua organizzazione. Amazon Inspector offre le seguenti modalità di scansione:

Scansione basata su agenti: in questa modalità di scansione, Amazon Inspector utilizzerà esclusivamente il metodo di scansione basato su agenti per la scansione delle vulnerabilità dei pacchetti. Questa modalità di scansione analizza solo le istanze SSM gestite nel tuo account, ma ha il vantaggio di fornire scansioni continue in risposta a nuove istanze o modifiche alle istanze. CVE La scansione basata su agenti fornisce anche un'ispezione approfondita di Amazon Inspector per le istanze idonee. Questa è la modalità di scansione predefinita per gli account appena attivati.

Scansione ibrida: in questa modalità di scansione, Amazon Inspector utilizza una combinazione di metodi basati su agenti e senza agenti per individuare le vulnerabilità dei pacchetti. Per EC2 le istanze idonee in cui l'SSMagente è installato e configurato, Amazon Inspector utilizza il metodo basato su agenti. Per le istanze idonee che non sono SSM gestite, Amazon Inspector utilizzerà il metodo agentless per le istanze supportate idonee. EBS

Per modificare la modalità di scansione

Accedi utilizzando le tue credenziali, quindi apri la console https://console.aws.amazon.com/inspector/ Amazon Inspector su v2/home.
Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare la modalità di scansione. EC2
Dal pannello di navigazione laterale, in Impostazioni generali, seleziona Impostazioni di scansione. EC2
In Modalità di scansione, seleziona Modifica.
Scegli una modalità di scansione, quindi seleziona Salva modifiche.

Esclusione delle istanze dalle scansioni di Amazon Inspector

Puoi etichettare determinate istanze per escluderle dalle scansioni di Amazon Inspector. L'esclusione delle istanze dalle scansioni può aiutare a prevenire avvisi non utilizzabili. Non ti viene addebitato alcun costo per le istanze escluse.

Per escludere un'EC2istanza dalle scansioni, contrassegna quell'istanza con la seguente chiave:

InspectorEc2Exclusion

Il valore è facoltativo.

Per ulteriori informazioni sull'aggiunta di tag, consulta Etichettare EC2 le risorse Amazon.

Inoltre, puoi escludere un EBS volume crittografato dalle scansioni senza agenti etichettando la AWS KMS chiave utilizzata per crittografare quel volume con il tag. InspectorEc2Exclusion Per ulteriori informazioni, consulta Etichettatura delle chiavi.

Sistemi operativi supportati

Amazon Inspector analizza le EC2 istanze Mac, Windows e Linux supportate alla ricerca di vulnerabilità nei pacchetti del sistema operativo. Per le istanze Linux, Amazon Inspector può produrre risultati per i pacchetti di linguaggi di programmazione delle applicazioni che utilizzano. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 Per le istanze Mac e Windows vengono scansionati solo i pacchetti del sistema operativo.

Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un SSM agente, consulta. Sistemi operativi supportati per la EC2 scansione di Amazon

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Attivazione di un tipo di scansione

Ispezione approfondita per istanze Linux