使用 Amazon Inspector 掃描 Amazon EC2執行個體 - Amazon Inspector

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Inspector 掃描 Amazon EC2執行個體

Amazon Inspector Amazon EC2掃描會從EC2執行個體擷取中繼資料,然後再將中繼資料與從安全建議收集的規則進行比較。Amazon Inspector 會掃描執行個體是否有套件漏洞和網路可及性問題,以產生調查結果 。Amazon Inspector 每 24 小時執行一次網路可及性掃描,並根據與EC2執行個體相關聯的掃描方法,根據變數節奏進行套件漏洞掃描。

套件漏洞掃描可以使用以代理程式為基礎無代理程式掃描方法執行。這兩種掃描方法都會決定 Amazon Inspector 從EC2執行個體收集軟體庫存的方式和時間,以進行套件漏洞掃描。以代理程式為基礎的掃描會使用SSM代理程式收集軟體庫存,而無代理程式掃描則會在 Amazon EBS快照上使用 收集軟體庫存。

Amazon Inspector 會使用您為帳戶啟用的掃描方法。當您第一次啟用 Amazon Inspector 時,您的帳戶會自動註冊混合掃描,這使用兩種掃描方法。不過,您可以隨時變更此設定。如需有關如何啟用掃描類型的資訊,請參閱啟用掃描類型 。本節提供有關 Amazon EC2掃描的資訊。

代理程式型掃描

代理程式型掃描會在所有符合資格的執行個體上使用SSM代理程式連續執行。對於代理程式型掃描,Amazon Inspector 會使用SSM關聯,以及透過這些關聯安裝的外掛程式,從您的執行個體收集軟體庫存。除了作業系統套件的套件漏洞掃描之外,Amazon Inspector 代理程式型掃描也可以透過 偵測 Linux 執行個體中應用程式程式設計語言套件的套件漏洞Amazon Inspector 針對 Linux 型 Amazon EC2執行個體進行深入檢查

下列程序說明 Amazon Inspector 如何使用 SSM 收集庫存和執行代理程式型掃描:

  1. Amazon Inspector 會在您的帳戶中建立SSM關聯,以從您的執行個體中收集庫存。對於某些執行個體類型 (Windows 和 Linux),這些關聯會在個別執行個體上安裝外掛程式以收集庫存。

  2. 使用 SSM,Amazon Inspector 從執行個體中擷取套件庫存。

  3. Amazon Inspector 會評估擷取的庫存,並產生任何偵測到漏洞的調查結果。

符合資格的執行個體

如果執行個體符合下列條件,Amazon Inspector 將使用以代理程式為基礎的方法掃描執行個體:

  • 執行個體具有支援的作業系統。如需支援的作業系統清單,請參閱 的代理程式型掃描支援支援的作業系統:Amazon EC2掃描

  • Amazon Inspector EC2排除標籤掃描不會排除執行個體。

  • 執行個體受SSM管理。如需驗證和設定代理程式的指示,請參閱 設定SSM客服人員

代理程式型掃描行為

使用代理程式型掃描方法時,Amazon Inspector 會在下列情況下啟動EC2執行個體的新漏洞掃描:

  • 當您啟動新的EC2執行個體時。

  • 當您在現有EC2執行個體 (Linux 和 Mac) 上安裝新軟體時。

  • 當 Amazon Inspector 將新的常見漏洞和暴險 (CVE) 項目新增至其資料庫,且與您的EC2執行個體 (Linux 和 Mac) CVE 相關時。

Amazon Inspector 會在初始掃描完成時更新執行個體的上次掃描欄位。 EC2之後,Amazon Inspector 評估SSM清查 (預設每 30 分鐘) 或重新掃描執行個體時,會更新上次掃描欄位,因為將CVE影響該執行個體的新項目新增至 Amazon Inspector 資料庫。

您可以從帳戶管理頁面上的EC2執行個體索引標籤,或使用 檢查上次掃描執行個體是否有漏洞 ListCoverage 命令。

設定SSM客服人員

為了讓 Amazon Inspector 使用代理程式型掃描方法偵測 Amazon EC2執行個體的軟體漏洞,執行個體必須是 Amazon EC2 Systems Manager () 中的受管執行個體SSM。SSM 受管執行個體已安裝並執行SSM代理程式,並SSM具有管理執行個體的許可。如果您已使用 SSM 來管理執行個體,則代理程式型掃描不需要其他步驟。

根據預設,SSM代理程式會安裝在從某些 Amazon Machine Images () 建立的EC2執行個體上AMIs。如需詳細資訊,請參閱 AWS Systems Manager 使用者指南 中的關於SSM客服人員。不過,即使已安裝 ,您仍可能需要手動啟用SSM客服人員,並授予管理執行個體的SSM許可。

下列程序說明如何使用EC2執行個體設定檔將 Amazon 執行個體設定為受管IAM執行個體。程序也提供 AWS Systems Manager 使用者指南 中更多詳細資訊的連結。

AmazonSSMManagedInstanceCore 是附加執行個體設定檔時建議使用的政策。此政策具有 Amazon Inspector EC2掃描所需的所有許可。

注意

您也可以自動SSM管理所有EC2執行個體,而無需使用SSM預設主機管理組態來使用IAM執行個體設定檔。如需詳細資訊,請參閱預設主機管理組態

SSM 設定 Amazon EC2執行個體
  1. 如果您的作業系統供應商尚未安裝它,請安裝SSM代理程式。如需詳細資訊,請參閱使用SSM客服人員

  2. 使用 AWS CLI 來驗證SSM代理程式是否正在執行。如需詳細資訊,請參閱檢查SSM客服人員狀態並啟動客服人員

  3. 授予 管理執行個體SSM的許可。您可以透過建立IAM執行個體設定檔並將其連接至執行個體來授予許可。我們建議您使用 AmazonSSMManagedInstanceCore 政策,因為此政策具有 SSM Amazon Inspector 掃描所需的經銷商、SSM庫存和SSM狀態管理器的許可。如需使用這些許可建立執行個體設定檔並連接執行個體的指示,請參閱設定 Systems Manager Systems Manager 的執行個體許可

  4. (選用) 為SSM客服人員啟用自動更新。如需詳細資訊,請參閱自動更新至SSM客服人員

  5. (選用) 將 Systems Manager 設定為使用 Amazon Virtual Private Cloud (AmazonVPC) 端點。如需詳細資訊,請參閱建立 Amazon VPC端點。

重要

Amazon Inspector 需要您帳戶中的 Systems Manager State Manager 關聯,才能收集軟體應用程式庫存。InspectorInventoryCollection-do-not-delete 如果尚未建立關聯,Amazon Inspector 會自動建立名為 的關聯。

Amazon Inspector 也需要資源資料同步,如果尚未建立資源資料,則會自動建立名為 InspectorResourceDataSync-do-not-delete 的資料。如需詳細資訊,請參閱 AWS Systems Manager 使用者指南 中的設定庫存的資源資料同步。每個帳戶每個區域可以有一組資源資料同步數目。如需詳細資訊,請參閱SSM端點和配額 中的資源資料同步數目上限 ( AWS 帳戶 每個區域)。

SSM 為掃描建立的資源

Amazon Inspector 需要您帳戶中的許多SSM資源才能執行 Amazon EC2掃描。下列資源會在您第一次啟用 Amazon Inspector EC2掃描時建立:

注意

如果在您的帳戶啟用 Amazon Inspector Amazon EC2掃描時刪除任何這些SSM資源,Amazon Inspector 將嘗試在下次掃描間隔重新建立這些資源。

InspectorInventoryCollection-do-not-delete

這是 Amazon Inspector 用來從 Amazon EC2執行個體收集軟體應用程式庫存的 Systems Manager State Manager (SSM) 關聯。如果您的 帳戶已具有從 收集庫存的SSM關聯InstanceIds*,Amazon Inspector 將使用它,而不是建立自己的庫存。

InspectorResourceDataSync-do-not-delete

這是 資源資料同步,Amazon Inspector 會使用它將收集的庫存資料從 Amazon EC2執行個體傳送至 Amazon Inspector 擁有的 Amazon S3 儲存貯體。 Amazon Inspector 如需詳細資訊,請參閱 AWS Systems Manager 使用者指南 中的設定庫存的資源資料同步

InspectorDistributor-do-not-delete

這是 Amazon Inspector 用於掃描 Windows 執行個體的SSM關聯。此關聯會在您的 Windows 執行個體上安裝 Amazon Inspector SSM外掛程式。如果不慎刪除外掛程式檔案,此關聯將在下一個關聯間隔重新安裝。

InvokeInspectorSsmPlugin-do-not-delete

這是 Amazon Inspector 用於掃描 Windows 執行個體的SSM關聯。此關聯可讓 Amazon Inspector 使用外掛程式啟動掃描,您也可以使用它來設定自訂間隔,以掃描 Windows 執行個體。如需詳細資訊,請參閱設定 的自訂排程 Windows 執行個體掃描

InspectorLinuxDistributor-do-not-delete

這是 Amazon Inspector 用於 Amazon EC2 Linux 深度檢查的SSM關聯。此關聯會在您的 Linux 執行個體上安裝 Amazon Inspector SSM外掛程式。

InvokeInspectorLinuxSsmPlugin-do-not-delete

這是 Amazon Inspector 用於 Amazon EC2 Linux 深度檢查的SSM關聯。此關聯可讓 Amazon Inspector 使用外掛程式啟動掃描。

注意

當您停用 Amazon Inspector Amazon EC2掃描或深度檢查時,InvokeInspectorLinuxSsmPlugin-do-not-delete不再叫用SSM資源。

無代理程式掃描

當您的帳戶處於混合掃描模式時,Amazon Inspector 會在符合資格的執行個體上使用無代理程式掃描方法。混合掃描模式包括以代理程式為基礎的無代理程式掃描,並在您啟用 Amazon EC2掃描時自動啟用。

對於無代理程式掃描,Amazon Inspector 會使用EBS快照從您的執行個體收集軟體庫存。無代理程式掃描會掃描執行個體是否有作業系統和應用程式程式設計語言套件漏洞。

注意

掃描 Linux 執行個體是否有應用程式程式設計語言套件漏洞時,無代理程式方法會掃描所有可用的路徑,而以代理程式為基礎的掃描只會掃描預設路徑和您指定作為 一部分的其他路徑Amazon Inspector 針對 Linux 型 Amazon EC2執行個體進行深入檢查。這可能會導致相同的執行個體有不同的調查結果,取決於是使用以代理程式為基礎的方法還是無代理程式方法進行掃描。

下列程序說明 Amazon Inspector 如何使用EBS快照收集庫存和執行無代理程式掃描:

  1. Amazon Inspector 會建立連接至執行個體之所有磁碟區的EBS快照。當 Amazon Inspector 使用它時,快照會儲存在您的帳戶中,並以標籤InspectorScan金鑰和唯一的掃描 ID 作為標籤值。

  2. Amazon Inspector 會使用EBS直接APIs擷取快照中的資料,並評估它們是否有漏洞。系統會針對任何偵測到的漏洞產生調查結果。

  3. Amazon Inspector 會刪除在帳戶中建立的EBS快照。

符合資格的執行個體

如果執行個體符合下列條件,Amazon Inspector 將使用無代理程式方法來掃描執行個體:

  • 執行個體具有支援的作業系統。如需詳細資訊,請參閱 的 >客服人員型掃描支援欄支援的作業系統:Amazon EC2掃描

  • 執行個體的狀態為 Unmanaged EC2 instanceStale inventoryNo inventory

  • 執行個體由 Amazon 支援EBS,並具有下列其中一種檔案系統格式:

    • ext3

    • ext4

    • xfs

  • 執行個體不會從透過 Amazon EC2排除標籤的掃描中排除。

  • 連接至執行個體的磁碟區數目小於 8,且合併大小小於或等於 1200 GB。

無代理程式掃描行為

當您的帳戶設定為混合掃描 時,Amazon Inspector 會每 24 小時對符合資格的執行個體執行無代理程式掃描。Amazon Inspector 每小時會偵測和掃描新合格的執行個體,其中包括不含SSM客服人員的新執行個體,或狀態已變更為 的預先存在執行個體SSM_UNMANAGED

Amazon Inspector 會在無代理程式掃描後從執行個體掃描擷取的快照時,更新 Amazon EC2執行個體的上次掃描欄位。

您可以從帳戶管理頁面上的EC2執行個體索引標籤,或使用 檢查上次掃描執行個體是否有漏洞 ListCoverage 命令。

管理掃描模式

您的EC2掃描模式會決定 Amazon Inspector 在帳戶中執行掃描時將使用哪些EC2掃描方法。您可以從一般設定 下的掃描設定頁面檢視帳戶的EC2掃描模式。獨立帳戶或 Amazon Inspector 委派管理員可以變更掃描模式。當您將掃描模式設定為 Amazon Inspector 委派管理員時,該掃描模式會針對組織中的所有成員帳戶設定。Amazon Inspector 具有下列掃描模式:

代理程式型掃描 – 在此掃描模式中,Amazon Inspector 只會在掃描套件漏洞時使用代理程式型掃描方法。此掃描模式只會掃描您帳戶中的SSM受管執行個體,但有利於提供連續掃描以回應新的 CVE或執行個體的變更。代理程式型掃描也為符合資格的執行個體提供 Amazon Inspector 深度檢查。這是新啟用帳戶的預設掃描模式。

混合掃描 – 在此掃描模式中,Amazon Inspector 會使用代理程式型和無代理程式方法的組合來掃描套件漏洞。對於已安裝並設定SSM代理程式的合格EC2執行個體,Amazon Inspector 會使用代理程式型方法。對於未SSM受管理的合格執行個體,Amazon Inspector 將使用無代理程式方法來處理合格的 EBS後端執行個體。

若要變更掃描模式
  1. 使用您的憑證登入,然後在 https://console.aws.amazon.com/inspector/v2/home 開啟 Amazon Inspector 主控台。

  2. 使用頁面右上角的 AWS 區域 選取器,選取要變更EC2掃描模式的區域。

  3. 在側邊導覽面板的一般設定 下,選取EC2掃描設定

  4. 掃描模式 下,選取編輯

  5. 選擇掃描模式,然後選擇儲存變更

從 Amazon Inspector 掃描排除執行個體

您可以排除 Linux 以及 Windows Amazon Inspector 的執行個體會掃描,方法是使用 InspectorEc2Exclusion金鑰標記這些執行個體。包含標籤值是選用的。如需新增標籤的相關資訊,請參閱標記您的 Amazon EC2 資源。

當您將執行個體標記為從 Amazon Inspector 掃描排除時,Amazon Inspector 會將執行個體標記為排除,不會為其建立調查結果。不過,Amazon Inspector SSM外掛程式將繼續被叫用。若要防止叫用外掛程式,您必須允許存取執行個體中繼資料 中的標籤

注意

您不需要為排除的執行個體付費。

此外,您可以透過標記用於使用該標籤加密EBS磁碟區的 AWS KMS 金鑰,從無代理程式掃描中排除加密磁碟區InspectorEc2Exclusion。如需詳細資訊,請參閱標記金鑰

支援的作業系統

Amazon Inspector 會掃描支援的 Mac、Windows 和 Linux EC2執行個體,以找出作業系統套件中的漏洞。對於 Linux 執行個體,Amazon Inspector 可以使用 產生應用程式程式設計語言套件的調查結果Amazon Inspector 針對 Linux 型 Amazon EC2執行個體進行深入檢查。對於 Mac 和 Windows 執行個體,只會掃描作業系統套件。

如需受支援作業系統的資訊,包括哪些作業系統無需SSM代理程式即可掃描,請參閱 Amazon EC2執行個體狀態值