Amazon Inspector Classic의 사용 설명서입니다. 새로운 Amazon Inspector에 대한 자세한 내용은 Amazon Inspector 사용 설명서를 참고하십시오. Amazon Inspector Classic 콘솔에 액세스하려면 https://console.aws.amazon.com/inspector/
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
네트워크 연결성
네트워크 연결성 패키지의 규칙은 네트워크 구성을 분석하여 EC2 인스턴스의 보안 취약성을 찾습니다. Amazon Inspector가 생성하는 결과는 안전하지 않은 액세스 제한에 대한 지침도 제공합니다.
네트워크 접근성 규칙 패키지는 AWS 증명 가능한
이 규칙에 의해 생성된 결과는 포트가 인터넷 게이트웨이(Application Load Balancer 또는 Classic Load Balancer 뒤에 있는 인스턴스 포함), VPC 피어링 연결 또는 가상 게이트웨이를 통한 VPN을 통해 인터넷에서 연결될 수 있는지 여부를 나타냅니다. 또한 이러한 결과는 잘못 관리되는 보안 그룹, ACL, IGW 등과 같이 악의적인 액세스를 허용하는 네트워크 구성을 강조합니다.
이러한 규칙은 AWS 네트워크의 모니터링을 자동화하고 EC2 인스턴스에 대한 네트워크 액세스가 잘못 구성되었을 수 있음을 식별하는 데 도움이 됩니다. 이 패키지를 평가 실행에 포함하면 특히 VPC 피어링 연결 및 VPN에서 유지하기 복잡하고 비용이 많이 드는 스캐너를 설치하거나 패킷을 보내지 않고도 자세한 네트워크 보안 검사를 구현할 수 있습니다.
중요
Amazon Inspector Classic 에이전트는 이 규칙 패키지를 통해 EC2 인스턴스를 평가하는 데 필요하지 않습니다. 하지만 설치된 에이전트는 포트에서 수신하는 프로세스의 존재 여부에 대한 정보를 제공할 수 있습니다. Amazon Inspector Classic에서 지원하지 않는 운영 체제에는 에이전트를 설치하지 마십시오. 지원되지 않는 운영 체제를 실행하는 인스턴스에 에이전트가 있는 경우 네트워크 연결 가능성 규칙 패키지가 해당 인스턴스에서 작동하지 않습니다.
자세한 정보는 지원되는 운영 체제의 Amazon Inspector Classic 규칙 패키지을 참조하세요.
분석된 구성
네트워크 연결성 규칙은 취약성에 대한 다음 엔터티의 구성을 분석합니다.
연결성 라우팅
네트워크 연결성 규칙은 VPC 외부에서 포트에 액세스할 수 있는 방법에 해당하는 다음 연결성 라우팅을 확인합니다.
-
Internet- 인터넷 게이트웨이(Application Load Balancer 및 Classic Load Balancer 포함) -
PeeredVPC- VPC 피어링 연결 -
VGW- 가상 프라이빗 게이트웨이
결과 유형
네트워크 연결성 규칙 패키지가 포함된 평가는 각 연결성 라우팅에 대해 다음 유형의 결과를 반환할 수 있습니다.
RecognizedPort
잘 알려진 서비스에 일반적으로 사용되는 포트에 연결 가능합니다. 대상 EC2 인스턴스에 에이전트가 있는 경우 생성된 검색 결과는 포트에 활성 수신 프로세스가 있는지 여부도 나타냅니다. 이러한 결과 유형은 잘 알려진 서비스의 보안 영향에 따라 심각도가 지정됩니다.
-
RecognizedPortWithListener– 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 프로세스는 포트에서 수신 대기합니다. -
RecognizedPortNoListener– 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있으며 포트에 대해 수신하는 프로세스가 없습니다. -
RecognizedPortNoAgent– 인식된 포트는 특정 네트워킹 구성 요소를 통해 퍼블릭 인터넷에서 외부로 연결할 수 있습니다. 대상 인스턴스에 에이전트를 설치하지 않은 상태에서는 포트에서 수신하는 프로세스가 있는지 여부를 확인할 수 없습니다.
다음 표는 인식된 포트 목록을 보여 줍니다.
|
Service |
TCP 포트 |
UDP 포트 |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137, 139 |
137, 138 |
|
LDAP |
389 |
389 |
|
LDAP over TLS |
636 |
|
|
글로벌 카탈로그 LDAP |
3268 |
|
|
글로벌 카탈로그 LDAP over TLS |
3269 |
|
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
|
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
|
RPC |
111, 135, 530 |
111, 135, 530 |
|
WINS |
1512, 42 |
1512, 42 |
|
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
|
Syslog |
601 |
514 |
|
인쇄 서비스 |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017, 27018, 27019, 28017 |
|
|
SQL 서버 |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521, 1630 |
|
|
Elasticsearch |
9300, 9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
앞의 표에 나열되지 않은 포트는 연결 가능하며 활성 수신 프로세스가 있습니다. 이 유형의 결과는 수신 프로세스에 대한 정보를 표시하므로 Amazon Inspector 에이전트가 대상 EC2 인스턴스에 설치된 경우에만 생성될 수 있습니다. 이 유형의 결과에는 낮음 심각도가 부여됩니다.
NetworkExposure
이 유형의 결과는 EC2 인스턴스에서 연결할 수 있는 포트에 대한 집계 정보를 표시합니다. 이러한 결과는 탄력적 네트워크 인터페이스와 EC2 인스턴스의 보안 그룹을 조합할 때 TCP 및 UDP 포트 범위의 연결 가능한 집합을 보여 줍니다. 이 유형의 결과는 정보 심각도를 갖습니다.
