Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scansione EC2 delle istanze Amazon con Amazon Inspector
Amazon Inspector Amazon EC2 scan estrae i metadati dall'EC2istanza prima di confrontarli con le regole raccolte dagli avvisi di sicurezza. Amazon Inspector analizza le istanze alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete per produrre risultati. Amazon Inspector esegue scansioni di raggiungibilità della rete una volta ogni 24 ore e scansioni di vulnerabilità dei pacchetti con una cadenza variabile che dipende dal metodo di scansione associato all'istanza. EC2
Le scansioni delle vulnerabilità dei pacchetti possono essere eseguite utilizzando un metodo di scansione basato su agenti o senza agente. Entrambi questi metodi di scansione determinano come e quando Amazon Inspector raccoglie l'inventario software da un'EC2istanza per le scansioni delle vulnerabilità dei pacchetti. La scansione basata su agenti raccoglie l'inventario del software utilizzando l'SSMagente, mentre la scansione senza agente raccoglie l'inventario del software utilizzando le istantanee di Amazon. EBS
Amazon Inspector utilizza i metodi di scansione attivati per il tuo account. Quando attivi Amazon Inspector per la prima volta, il tuo account viene automaticamente registrato alla scansione ibrida, che utilizza entrambi i metodi di scansione. Tuttavia, puoi modificare questa impostazione in qualsiasi momento. Per informazioni su come attivare un tipo di scansione, vedere Attivazione di un tipo di scansione. Questa sezione fornisce informazioni sulla EC2 scansione di Amazon.
Scansione basata su agenti
Le scansioni basate su agenti vengono eseguite continuamente utilizzando l'SSMagente su tutte le istanze idonee. Per le scansioni basate su agenti, Amazon Inspector utilizza SSM le associazioni e i plug-in installati tramite queste associazioni per raccogliere l'inventario del software dalle tue istanze. Oltre alle scansioni delle vulnerabilità dei pacchetti dei sistemi operativi, la scansione basata su agenti di Amazon Inspector può anche rilevare le vulnerabilità dei pacchetti per i pacchetti di linguaggi di programmazione delle applicazioni nelle istanze basate su Linux tramite. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2
Il seguente processo spiega come Amazon Inspector utilizza SSM per raccogliere l'inventario ed eseguire scansioni basate su agenti:
-
Amazon Inspector crea SSM associazioni nel tuo account per raccogliere l'inventario dalle tue istanze. Per alcuni tipi di istanze (Windows e Linux), queste associazioni installano plug-in su singole istanze per raccogliere l'inventario.
-
UtilizzandoSSM, Amazon Inspector estrae l'inventario dei pacchi da un'istanza.
-
Amazon Inspector valuta l'inventario estratto e genera risultati per eventuali vulnerabilità rilevate.
Istanze idonee
Amazon Inspector utilizzerà il metodo basato su agenti per scansionare un'istanza se soddisfa le seguenti condizioni:
-
L'istanza ha un sistema operativo supportato. Per un elenco dei sistemi operativi supportati, consulta la colonna di supporto per la scansione basata su agenti di. Sistemi operativi supportati: Amazon EC2 scanning
-
L'istanza non è esclusa dalle scansioni tramite i tag di esclusione di Amazon EC2 Inspector.
-
L'istanza è gestita. SSM Per istruzioni sulla verifica e la configurazione dell'agente, vedere. Configurazione dell'agente SSM
Comportamenti di scansione basati su agenti
Quando si utilizza il metodo di scansione basato su agenti, Amazon Inspector avvia nuove scansioni EC2 di vulnerabilità delle istanze nelle seguenti situazioni:
-
Quando avvii una nuova istanza. EC2
-
Quando installi un nuovo software su un'EC2istanza esistente (Linux e Mac).
-
Quando Amazon Inspector aggiunge un nuovo elemento Common Vulnerabilities and Exposures (CVE) al suo database e questo CVE è rilevante per la tua EC2 istanza (Linux e Mac).
Amazon Inspector aggiorna il campo Ultima scansione per un'EC2istanza quando viene completata una scansione iniziale. Dopodiché, il campo Ultima scansione viene aggiornato quando Amazon Inspector SSM valuta l'inventario (per impostazione predefinita ogni 30 minuti) o quando un'istanza viene nuovamente scansionata perché al database Amazon Inspector è stata aggiunta una CVE nuova istanza che ha un impatto su quell'istanza.
Puoi verificare quando un'EC2istanza è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il ListCoveragecomando.
Configurazione dell'agente SSM
Affinché Amazon Inspector rilevi le vulnerabilità del software per un'EC2istanza Amazon utilizzando il metodo di scansione basato su agenti, l'istanza deve essere un'istanza gestita in Amazon Systems Manager EC2 (). SSM Un'istanza SSM gestita ha l'SSMagente installato e in esecuzione e SSM dispone dell'autorizzazione per gestire l'istanza. Se lo utilizzi già SSM per gestire le tue istanze, non sono necessari altri passaggi per le scansioni basate su agenti.
L'SSMagente è installato per impostazione predefinita sulle EC2 istanze create da alcune Amazon Machine Images (AMIs). Per ulteriori informazioni, consulta About SSM Agent nella Guida per l'AWS Systems Manager utente. Tuttavia, anche se è installato, potrebbe essere necessario attivare l'SSMagente manualmente e concedere l'SSMautorizzazione per gestire l'istanza.
La procedura seguente descrive come configurare un'EC2istanza Amazon come istanza gestita utilizzando un profilo di IAM istanza. La procedura fornisce anche collegamenti a informazioni più dettagliate nella Guida per l'AWS Systems Manager utente.
AmazonSSMManagedInstanceCoreè la politica consigliata da utilizzare quando si collega un profilo di istanza. Questa policy dispone di tutte le autorizzazioni necessarie per la scansione di Amazon EC2 Inspector.
Nota
Puoi anche automatizzare la SSM gestione di tutte le tue EC2 istanze, senza l'uso di profili di IAM istanza, utilizzando la configurazione di gestione host SSM predefinita. Per ulteriori informazioni, consulta la pagina Configurazione di gestione host predefinita.
SSMPer configurare un'EC2istanza Amazon
-
Se non è già installato dal fornitore del sistema operativo, installa l'SSMagente. Per ulteriori informazioni, vedere Working with SSM Agent.
-
Utilizzare il AWS CLI per verificare che l'SSMagente sia in esecuzione. Per ulteriori informazioni, vedere Verifica dello stato SSM dell'agente e avvio dell'agente.
-
Concedi l'autorizzazione SSM per gestire la tua istanza. Puoi concedere l'autorizzazione creando un profilo di IAM istanza e allegandolo all'istanza. Ti consigliamo di utilizzare il AmazonSSMManagedInstanceCorepolitica, perché questa politica ha le autorizzazioni per SSM Distributor, SSM Inventory e SSM State manager, di cui Amazon Inspector ha bisogno per le scansioni. Per istruzioni sulla creazione di un profilo di istanza con queste autorizzazioni e sul collegamento di un'istanza, vedere Configurare le autorizzazioni dell'istanza per Systems Manager Systems Manager.
-
(Facoltativo) Attiva gli aggiornamenti automatici per l'agente. SSM Per ulteriori informazioni, vedere Automazione degli aggiornamenti all'SSMagente.
-
(Facoltativo) Configura Systems Manager per utilizzare un endpoint Amazon Virtual Private Cloud (AmazonVPC). Per ulteriori informazioni, consulta Creare VPC endpoint Amazon.
Importante
Amazon Inspector richiede un'associazione Systems Manager State Manager nel tuo account per raccogliere l'inventario delle applicazioni software. Amazon Inspector crea automaticamente un'associazione chiamata InspectorInventoryCollection-do-not-delete
se non ne esiste già una.
Amazon Inspector richiede anche una sincronizzazione dei dati delle risorse e ne crea automaticamente una chiamata InspectorResourceDataSync-do-not-delete
se non ne esiste già una. Per ulteriori informazioni, consulta Configurazione della sincronizzazione dei dati delle risorse per Inventory nella Guida per l'AWS Systems Manager utente. Ogni account può avere un determinato numero di sincronizzazioni dei dati delle risorse per regione. Per ulteriori informazioni, consulta Numero massimo di sincronizzazioni dei dati delle risorse ( Account AWS per regione) negli SSMendpoint e nelle quote.
SSMrisorse create per la scansione
Amazon Inspector richiede una serie di SSM risorse nel tuo account per eseguire le scansioni AmazonEC2. Le seguenti risorse vengono create quando attivi per la prima volta la scansione di Amazon InspectorEC2:
Nota
Se una di queste SSM risorse viene eliminata mentre la EC2 scansione Amazon Inspector è attiva per il tuo account, Amazon Inspector tenterà di ricrearla all'intervallo di scansione successivo.
InspectorInventoryCollection-do-not-delete
-
Si tratta di un'associazione Systems Manager State Manager (SSM) che Amazon Inspector utilizza per raccogliere l'inventario delle applicazioni software dalle istanze AmazonEC2. Se nel tuo account è già presente un'SSMassociazione per la raccolta dell'inventario
InstanceIds*
, Amazon Inspector la utilizzerà invece di crearne una propria. InspectorResourceDataSync-do-not-delete
-
Si tratta di una sincronizzazione dei dati delle risorse che Amazon Inspector utilizza per inviare i dati di inventario raccolti dalle EC2 istanze Amazon a un bucket Amazon S3 di proprietà di Amazon Inspector. Per ulteriori informazioni, consulta Configurazione della sincronizzazione dei dati delle risorse per l'inventario nella Guida per l'utente.AWS Systems Manager
InspectorDistributor-do-not-delete
-
Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione installa il plug-in Amazon SSM Inspector sulle istanze di Windows. Se il file del plug-in viene eliminato inavvertitamente, questa associazione lo reinstallerà all'intervallo di associazione successivo.
InvokeInspectorSsmPlugin-do-not-delete
-
Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per la scansione delle istanze di Windows. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in, inoltre puoi utilizzarlo per impostare intervalli personalizzati per le scansioni delle istanze di Windows. Per ulteriori informazioni, consulta Impostazione di pianificazioni personalizzate per Windows scansioni delle istanze.
InspectorLinuxDistributor-do-not-delete
-
Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per l'ispezione approfondita di Amazon EC2 Linux. Questa associazione installa il plug-in Amazon SSM Inspector sulle tue istanze Linux.
InvokeInspectorLinuxSsmPlugin-do-not-delete
-
Si tratta di un'SSMassociazione utilizzata da Amazon Inspector per l'ispezione approfondita di Amazon EC2 Linux. Questa associazione consente ad Amazon Inspector di avviare scansioni utilizzando il plug-in.
Nota
Quando disattivi Amazon Inspector EC2 Amazon Scanning o Deep InspectionSSM, InvokeInspectorLinuxSsmPlugin-do-not-delete
la risorsa non viene più richiamata.
Scansione senza agenti
Amazon Inspector utilizza il metodo di scansione senza agenti su istanze idonee quando l'account è in modalità di scansione ibrida. La modalità di scansione ibrida include scansioni basate su agenti e senza agenti e viene abilitata automaticamente quando attivi Amazon Scanning. EC2
Per le scansioni senza agenti, Amazon Inspector utilizza le EBS istantanee per raccogliere un inventario software dalle tue istanze. La scansione senza agente analizza le istanze alla ricerca di vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione delle applicazioni.
Nota
Durante la scansione delle istanze Linux alla ricerca delle vulnerabilità dei pacchetti del linguaggio di programmazione delle applicazioni, il metodo agentless analizza tutti i percorsi disponibili, mentre la scansione basata su agenti analizza solo i percorsi predefiniti e i percorsi aggiuntivi specificati dall'utente come parte di. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 Ciò può comportare che la stessa istanza abbia risultati diversi a seconda che venga scansionata utilizzando il metodo basato su agenti o il metodo senza agenti.
Il seguente processo spiega come Amazon Inspector utilizza le EBS istantanee per raccogliere l'inventario ed eseguire scansioni senza agenti:
-
Amazon Inspector crea uno EBS snapshot di tutti i volumi collegati all'istanza. Mentre Amazon Inspector lo utilizza, lo snapshot viene archiviato nel tuo account e contrassegnato
InspectorScan
come chiave di tag e un ID di scansione univoco come valore del tag. -
Amazon Inspector recupera i dati dagli snapshot utilizzando EBSDirect APIs e li valuta per individuare eventuali vulnerabilità. I risultati vengono generati per tutte le vulnerabilità rilevate.
-
Amazon Inspector elimina le EBS istantanee create nel tuo account.
Istanze idonee
Amazon Inspector utilizzerà il metodo agentless per scansionare un'istanza se soddisfa le seguenti condizioni:
-
L'istanza ha un sistema operativo supportato. Per ulteriori informazioni, consulta la colonna >Supporto per la scansione basata su agenti di. Sistemi operativi supportati: Amazon EC2 scanning
-
Lo stato dell'istanza è pari a
Unmanaged EC2 instance
,Stale inventory
o.No inventory
-
L'istanza è supportata da Amazon EBS e ha uno dei seguenti formati di file system:
-
ext3
-
ext4
-
xfs
-
-
L'istanza non è esclusa dalle scansioni tramite i tag di EC2 esclusione di Amazon.
-
Il numero di volumi collegati all'istanza è inferiore a 8 e hanno una dimensione combinata inferiore o uguale a 1200 GB.
Comportamenti di scansione senza agenti
Quando il tuo account è configurato per la scansione ibrida, Amazon Inspector esegue scansioni senza agente su istanze idonee ogni 24 ore. Amazon Inspector rileva e analizza le nuove istanze idonee ogni ora, incluse nuove istanze senza SSM agenti o istanze preesistenti con stato modificato in. SSM_UNMANAGED
Amazon Inspector aggiorna il campo Ultima scansione per un'EC2istanza Amazon ogni volta che esegue la scansione degli snapshot estratti da un'istanza dopo una scansione senza agente.
Puoi verificare quando un'EC2istanza è stata analizzata l'ultima volta per individuare eventuali vulnerabilità dalla scheda Istanze nella pagina di gestione dell'account o utilizzando il ListCoveragecomando.
Gestione della modalità di scansione
La modalità di EC2 scansione determina i metodi di scansione che Amazon Inspector utilizzerà per eseguire le EC2 scansioni nel tuo account. Puoi visualizzare la modalità di scansione del tuo account dalla pagina delle impostazioni di EC2 scansione in Impostazioni generali. Gli account autonomi o gli amministratori delegati di Amazon Inspector possono modificare la modalità di scansione. Quando imposti la modalità di scansione come amministratore delegato di Amazon Inspector, tale modalità di scansione viene impostata per tutti gli account membri della tua organizzazione. Amazon Inspector offre le seguenti modalità di scansione:
Scansione basata su agenti: in questa modalità di scansione, Amazon Inspector utilizzerà esclusivamente il metodo di scansione basato su agenti per la scansione delle vulnerabilità dei pacchetti. Questa modalità di scansione analizza solo le istanze SSM gestite nel tuo account, ma ha il vantaggio di fornire scansioni continue in risposta a nuove istanze o modifiche alle istanze. CVE La scansione basata su agenti fornisce anche un'ispezione approfondita di Amazon Inspector per le istanze idonee. Questa è la modalità di scansione predefinita per gli account appena attivati.
Scansione ibrida: in questa modalità di scansione, Amazon Inspector utilizza una combinazione di metodi basati su agenti e senza agenti per individuare le vulnerabilità dei pacchetti. Per EC2 le istanze idonee in cui l'SSMagente è installato e configurato, Amazon Inspector utilizza il metodo basato su agenti. Per le istanze idonee che non sono SSM gestite, Amazon Inspector utilizzerà il metodo agentless per le istanze supportate idonee. EBS
Per modificare la modalità di scansione
-
Utilizzando il Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione in cui desideri modificare la modalità di scansione. EC2
-
Dal pannello di navigazione laterale, in Impostazioni generali, seleziona Impostazioni di scansione. EC2
-
In Modalità di scansione, seleziona Modifica.
-
Scegli una modalità di scansione, quindi seleziona Salva modifiche.
Esclusione delle istanze dalle scansioni di Amazon Inspector
Puoi escludere Linux e Windows le istanze di Amazon Inspector eseguono la scansione etichettando queste istanze con la chiave. InspectorEc2Exclusion
L'inclusione di un valore di tag è facoltativa. Per informazioni sull'aggiunta di tag, consulta Tagga le tue EC2 risorse Amazon.
Quando tagghi un'istanza per l'esclusione dalle scansioni di Amazon Inspector, Amazon Inspector contrassegna l'istanza come esclusa e non crea risultati per essa. Tuttavia, il SSM plug-in Amazon Inspector continuerà a essere richiamato. Per evitare che il plugin venga richiamato, devi consentire l'accesso ai tag nei metadati dell'istanza.
Nota
Non ti viene addebitato alcun costo per le istanze escluse.
Inoltre, puoi escludere un EBS volume crittografato dalle scansioni senza agente etichettando la AWS KMS chiave utilizzata per crittografare quel volume con il tag. InspectorEc2Exclusion
Per ulteriori informazioni, consulta Etichettatura delle chiavi.
Sistemi operativi supportati
Amazon Inspector analizza le EC2 istanze Mac, Windows e Linux supportate alla ricerca di vulnerabilità nei pacchetti del sistema operativo. Per le istanze Linux, Amazon Inspector può produrre risultati per i pacchetti di linguaggi di programmazione delle applicazioni che utilizzano. Ispezione approfondita di Amazon Inspector per istanze Amazon basate su Linux EC2 Per le istanze Mac e Windows vengono scansionati solo i pacchetti del sistema operativo.
Per informazioni sui sistemi operativi supportati, incluso il sistema operativo che può essere scansionato senza un SSM agente, consulta. Valori di stato EC2 delle istanze Amazon