本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon Inspector 自動化資源
| 亞馬遜 Amazon EC2 的亞馬遜檢查器無代理程式掃描正在預覽版本中。您使用無代理程式的 Amazon EC2 掃描功能須遵守AWS 服務條款 |
Amazon Inspector 使用自己的專用掃描引擎。此引擎會監控您的資源,找出軟體弱點或開放網路路徑,這些路徑可能會導致工作負載入侵、惡意使用資源或未經授權存取您的資料。當 Amazon Inspector 測到漏洞時,它會創建一個發現。發現項目包括與偵測相關聯的詳細資訊,可協助您修復弱點。您可以在亞馬遜檢查器主控台上檢閱發現的結果,並使用 Amazon Inspector API。如需詳細資訊,請參閱 管理 Amazon Inspector 中的發現。
啟用後,Amazon Inspector 會自動探索所有符合資格的資源,並開始持續掃描這些資源。Amazon Inspector 會掃描軟體弱點和意外的網路暴露。Amazon Inspector 也會執行掃描以回應事件,例如安裝新應用程式或修補程式。
當您第一次啟用 Amazon Inspector 時,您的帳戶會自動註冊所有掃描類型。下列主題涵蓋 Amazon Inspector 提供的掃描類型的特定詳細資料。Amazon Inspector 會根據受弱點影響的資源類型,對掃描類型進行分類。下列主題涵蓋 Amazon Inspector 掃描哪些資源、針對這些資源起始新掃描的原因,以及如何針對每種資源類型設定掃描。
主題
當您第一次啟用 Amazon Inspector 時,您的帳戶會自動註冊下列掃描類型:Amazon EC2 掃描、Amazon ECR 掃描、Lambda 標準掃描。Lambda 程式碼掃描是選用的 Lambda 函數掃描層,您可以隨時啟動它。
Amazon Inspector 掃描類型概觀
Amazon Inspector 提供各種不同的掃描類型,專注於您 AWS 環境中的特定資源類型。
- Amazon EC2 掃描
-
當您啟用 Amazon EC2 掃描時,Amazon Inspector 會掃描您的 Amazon EC2 執行個體,找出作業系統套件和程式設計語言套件漏洞,以及網路連線能力。Amazon Inspector 會掃描您的 EC2 執行個體,找出常見漏洞和入侵程式 (CVE) 和網路暴露問題。Amazon Inspector 會使用您執行個體上安裝的 SSM 代理程式,或透過 Amazon EBS 執行個體快照執行個體來執行掃描。如需 Amazon EC2 掃描的詳細資訊,請參閱用亞馬遜檢查器掃描亞馬遜 EC2 實例。
- Amazon ECR 掃描
-
當您啟用 Amazon ECR 掃描時,Amazon Inspector 會將私有登錄中的所有基本掃描容器儲存庫轉換為持續掃描的增強型掃描。您也可以選擇將此設定設定為僅在推送時掃描,或透過包含規則掃描選取的儲存庫。一開始掃描過去 30 天內推送或過去 90 天內提取的所有影像。根據預設,Amazon Inspector 會持續監控影像 90 天,此設定可隨時變更。如需 Amazon ECR 掃描的詳細資訊,請參閱使用 Amazon 檢查器掃描亞馬遜 ECR 容器映像。
- Lambda 準掃描
-
當您啟用 Lambda 標準掃描時,Amazon Inspector 會探索您帳戶中的 Lambda 函數,並立即開始掃描它們是否有漏洞。Amazon Inspector 會在部署新的 Lambda 函數和層時進行掃描,並在更新或發佈新的常見弱點和曝光 (CVE) 時重新掃描這些函數和層。如需 Lambda 函數掃描的詳細資訊,請參閱Amazon Inspector 掃描 AWS Lambda 功能。
- Lambda 準掃描 + 程 Lambda 碼掃描
-
此可選項將 Lambda 標準掃描與 Lambda 程式碼掃描相結合。啟動 Lambda 程式碼掃描後,Amazon Inspector 會探索您帳戶中的 Lambda 函數和層,並掃描應用程式套件相依性的程式碼弱點。Lambda 程式碼掃描會掃描 Lambda 函數中的自訂應用程式程式碼,找出程式碼 這兩種掃瞄類型必須同時啟動。如需更多資訊,請參閱Amazon Inspector Lambda 代碼。
