Amazon Inspector 조사 결과 유형

이 단원에서는 Amazon Inspector의 다양한 조사 결과 유형에 대해 설명합니다.

패키지 취약성

패키지 취약성 결과는 사용자 AWS 환경에서 일반적인 취약성 및 노출(CVE)에 표시된 소프트웨어 패키지를 식별합니다. 공격자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. CVE 시스템은 공개적으로 알려진 정보 보안 취약성 및 노출도에 대한 참조 방법입니다. 자세한 내용은 https://www.cve.org/를 참조하세요.

Amazon Inspector는 EC2 인스턴스, ECR 컨테이너 이미지 및 Lambda 함수에 대한 패키지 취약성 탐지 결과를 생성할 수 있습니다. 패키지 취약성 결과에는 이 결과 유형에만 적용되는 추가 세부 정보가 있는데, 바로 Inspector 점수 및 취약성 인텔리전스입니다.

코드 취약성

코드 취약성 결과는 공격자가 악용할 수 있는 코드 라인을 식별합니다. 코드 취약성에는 주입 결함, 데이터 유출, 취약한 암호화, 코드의 암호화 누락 등이 있습니다.

Amazon Inspector는 애플리케이션 코드의 전반적인 보안 규정 준수를 분석하는 자동 추론 및 기계 학습을 사용하여 Lambda 함수 애플리케이션 코드를 평가합니다. 또한 Amazon CodeGuru와 공동으로 개발한 내부 탐지기를 기반으로 정책 위반 및 취약성을 식별합니다. 가능한 탐지 목록은 CodeGuru 탐지기 라이브러리를 참조하세요.

Amazon Inspector Lambda 코드 스캔을 활성화하면 Amazon Inspector에서 Lambda 함수에 대한 코드 취약성 조사 결과를 생성할 수 있습니다.

코드 취약성과 관련하여 발견된 코드 스니펫은 CodeGuru 서비스에 저장됩니다. 기본적으로 CodeGuru에서 제어하는 AWS 소유 키가 코드를 암호화하는 데 사용되지만, Amazon Inspector API를 통해 고객이 관리하는 자체 키를 암호화에 사용할 수도 있습니다. 자세한 내용은 결과 코드에 대한 저장 중 암호화 섹션을 참조하세요.

네트워크 연결성

네트워크 연결성 결과는 사용자 환경에 Amazon EC2 인스턴스에 대한 오픈 네트워크 경로가 있음을 나타냅니다. 이러한 결과는 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN 등의 VPC 엣지에서 TCP 및 UDP 포트에 연결할 수 있는 경우에 나타납니다. 이러한 결과는 잘못 관리된 보안 그룹, 액세스 제어 목록 또는 인터넷 게이트웨이와 같이 지나치게 허용적인 네트워크 구성이나 잠재적으로 악의적인 액세스를 허용할 수 있는 네트워크 구성을 강조합니다.

Amazon Inspector는 Amazon EC2 인스턴스에 대한 네트워크 연결성 결과만 생성합니다. Amazon Inspector가 활성화되면 24시간마다 네트워크 연결성 조사 결과를 스캔합니다.

Amazon Inspector는 네트워크 경로를 스캔할 때 다음 구성을 평가합니다.