本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon Inspector 的 Security Hub 控件
这些 AWS Security Hub 控制措施会评估 Amazon Inspector 的服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[Inspector.1] 应启用 Amazon Inspector EC2 扫描
相关要求:PCI DSS v4.0.1/11.3.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::::Account
AWS Config 规则:inspector-ec2-scan-enabled
计划类型:定期
参数:无
此控件会检查 Amazon Inspector EC2 扫描是否已启用。对于独立账户,如果账户中禁用了 Amazon Inspector EC2 扫描,则控制失败。在多账户环境中,如果委托的 Amazon Inspector 管理员账户和所有成员账户未启用 EC2 扫描,则控制失败。
在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有授权的管理员才能启用或禁用组织中成员帐户的 EC2 扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员的成员账户已暂停,但未启用 Amazon Inspector EC2 扫描,则此控件会生成FAILED调查结果。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。
Amazon Inspector EC2 扫描从您的亚马逊弹性计算云 (Amazon EC2) 实例中提取元数据,然后将这些元数据与从安全公告中收集的规则进行比较以得出结果。Amazon Inspector 会扫描实例中是否存在程序包漏洞和网络可访问性问题。有关支持的操作系统(包括不使用 SSM 代理即可扫描哪些操作系统)的信息,请参阅支持的操作系统:Amazon EC2 扫描。
修复
要启用 Amazon Inspector 扫 EC2 描,请参阅亚马逊 Inspector 用户指南中的激活扫描。
[Inspector.2] 应启用 Amazon Inspector ECR 扫描
相关要求:PCI DSS v4.0.1/11.3.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::::Account
AWS Config 规则:inspector-ecr-scan-enabled
计划类型:定期
参数:无
此控件可检查是否启用了 Amazon Inspector ECR 扫描。对于独立账户,如果账户中禁用了 Amazon Inspector ECR 扫描,则此控件将失败。在多账户环境中,如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 ECR 扫描,则此控件将失败。
在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 ECR 扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员有一个未启用 Amazon Inspector ECR 扫描的已暂停成员账户,则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。
Amazon Inspector 会扫描存储在 Amazon Elastic Container Registry(Amazon ECR)中的容器映像是否存在软件漏洞,以生成程序包漏洞调查发现。为 Amazon ECR 激活 Amazon Inspector 扫描后,会将 Amazon Inspector 设置为私有注册表的首选扫描服务。这会将基本扫描(由 Amazon ECR 免费提供)替换为增强扫描(由 Amazon Inspector 提供和计费)。增强扫描让您能够在注册表级别对操作系统和编程语言包进行漏洞扫描。您可以在 Amazon ECR 控制台中,查看针对映像每一层,使用增强扫描在映像级别发现的调查发现。此外,您还可以在其他不适用于基本扫描结果的服务(包括和 Amazon)中查看 AWS Security Hub 和处理这些发现 EventBridge。
修复
要启用 Amazon Inspector ECR 扫描,请参阅《Amazon Inspector User Guide》中的 Activating scans。
[Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描
相关要求:PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::::Account
AWS Config 规则:inspector-lambda-code-scan-enabled
计划类型:定期
参数:无
此控件可检查是否启用了 Amazon Inspector Lambda 扫描。对于独立账户,如果账户中禁用了 Amazon Inspector Lambda 代码扫描,则此控件将失败。在多账户环境中,如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 Lambda 代码扫描,则此控件将失败。
在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 Lambda 代码扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员有一个未启用 Amazon Inspector Lambda 代码扫描的已暂停成员账户,则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。
Amazon Inspector Lambda 代码扫描会根据 AWS 安全最佳实践扫描 AWS Lambda 函数中的自定义应用程序代码,以查找代码漏洞。Lambda 代码扫描可检测注入缺陷、数据泄露、弱加密或代码中缺少加密。此功能AWS 区域 仅在特定情况下可用。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描(请参阅 [Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描)。
修复
要启用 Amazon Inspector Lambda 代码扫描,请参阅《Amazon Inspector User Guide》中的 Activating scans。
[Inspector.4] 应启用 Amazon Inspector Lambda 标准扫描
相关要求:PCI DSS v4.0.1/6.2.4、PCI DSS v4.0.1/6.3.1
类别:检测 > 检测服务
严重性:高
资源类型:AWS::::Account
AWS Config 规则:inspector-lambda-standard-scan-enabled
计划类型:定期
参数:无
此控件可检查是否启用了 Amazon Inspector Lambda 标准扫描。对于独立账户,如果账户中禁用了 Amazon Inspector Lambda 标准扫描,则此控件将失败。在多账户环境中,如果 Amazon Inspector 委托管理员账户和所有成员账户均未启用 Lambda 标准扫描,则此控件将失败。
在多账户环境中,此控件仅在 Amazon Inspector 委托管理员账户中生成调查发现。只有委托管理员可以为组织中的成员账户启用或禁用 Lambda 标准扫描功能。Amazon Inspector 成员账户无法通过其账户修改此配置。如果委托管理员有未启用 Amazon Inspector Lambda 标准扫描的已暂停成员账户,则此控件会生成 FAILED 调查发现。要获得 PASSED 调查发现,委托管理员必须在 Amazon Inspector 中取消关联这些已暂停的账户。
Amazon Inspector Lambda 标准扫描可识别您添加到 AWS Lambda 函数代码和层中的应用程序包依赖项中的软件漏洞。如果 Amazon Inspector 在 Lambda 函数应用程序包依赖项中检测到漏洞,则 Amazon Inspector 会生成详细 Package Vulnerability 类型的调查发现。您可以同时激活 Lambda 代码扫描和 Lambda 标准扫描(请参阅 [Inspector.3] 应启用 Amazon Inspector Lambda 代码扫描)。
修复
要启用 Amazon Inspector Lambda 标准扫描,请参阅《Amazon Inspector User Guide》中的 Activating scans。
