本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 Amazon Inspector?
Amazon Inspector 是一種弱點管理服務,可持續掃描您的 AWS 工作負載,找出軟體弱點和意外的網路暴露。Amazon Inspector 會自動探索和掃描執行中的 Amazon EC2 執行個體、Amazon Elastic Container Registry (Amazon ECR) 中的容器映像,以及針對已知軟體漏洞和意外網路暴露的 AWS Lambda 功能。
當 Amazon Inspector 發現軟體弱點或網路組態問題時,就會建立一個發現。發現項目會描述弱點、識別受影響的資源、評估弱點的嚴重性,並提供修正指引。您可以使用 Amazon Inspector 主控台分析發現項目,或透過其他主控台檢視和處理您的發現項目 AWS 服務。如需詳細資訊,請參閱 了解 Amazon Inspector 中的發現。
Amazon Inspector 的功能
集中管理多個 Amazon Inspector 帳戶
如果您的 AWS 環境有多個帳戶,您可以使用 Organ AWS izations 透過單一帳戶集中管理您的環境。使用此方法,您可以將帳戶指定為 Amazon Inspector 的委派管理員帳戶。
只需單擊一下,即可為整個組織激活 Amazon Inspector。此外,您可以在 future 的成員加入組織時自動啟用服務。Amazon Inspector 委派的管理員帳戶可以管理組織成員的發現項目資料和特定設定。這包括檢視所有成員帳號的彙總發現項目詳細資料、啟用或停用成員帳號的掃描,以及檢閱 AWS 組織內已掃描的資源。
持續掃描環境中的弱點和網路暴露
使用 Amazon Inspector,您不需要手動排程或設定評估掃描。Amazon Inspector 會自動探索並開始掃描您符合資格的資源。Amazon Inspector 會自動重新掃描資源以回應可能導致新弱點的變更,例如:在 EC2 執行個體中安裝新套件、安裝修補程式,以及發佈影響資源的新常見漏洞和曝光 (CVE),藉此持續評估您的環境。與傳統的安全掃描軟體不同,Amazon Inspector 對叢集效能的影響最小。
當發現漏洞或開放的網路路徑時,Amazon Inspector 會產生一個您可以調查的發現項目。此發現項目包含有關弱點、受影響資源和修復建議的完整詳細資訊。如果您適當地修復發現項目,Amazon Inspector 會自動偵測修復並關閉發現項目。
使用 Amazon Inspector 風險評分準確評估漏洞
當 Amazon Inspector 透過掃描收集有關您環境的資訊時,它會提供專為您的環境量身打造的嚴重性分數。Amazon Inspector 會檢查構成國家弱點資料庫
使用 Amazon Inspector 儀表板識別高影響力的發現
Amazon Inspector 儀表板可提供您環境中各個發現項目的高階檢視。從儀表板中,您可以存取發現項目的精細詳細資料。儀表板包含有關您環境中掃描涵蓋範圍、最重要的發現項目,以及哪些資源的發現項目最多的簡化資訊。Amazon Inspector 儀表板中的風險型修復面板會顯示影響最多執行個體和映像數量的發現結果。此面板可讓您更輕鬆地識別對環境造成最大影響的發現項目、檢閱尋找詳細資料,以及檢閱建議的解決方案。
使用可自訂的檢視來管理發現
除了儀表板之外,Amazon Inspector 主控台還提供「發現項目」檢視。此頁面會列出您環境的所有發現項目,並提供個別發現項目的詳細資訊。您可以檢視依類別或弱點類型分組的發現項目。在每個檢視中,您都可以使用篩選條件進一步自訂結果。您也可以使用篩選器來建立隱藏不需要的發現項目的隱藏規則。
您可以使用篩選條件與隱藏規則來產生搜尋結果報告,以顯示所有發現項目或自訂的發現項目選項。您可以使用 CSV 或 JSON 格式產生報告。
監控和處理與其他服務和系統的發現
為了支援與其他服務和系統的整合,Amazon Inspector 會將調查結果發佈給 Amazon EventBridge 作為尋找事件。 EventBridge 是一種無伺服器事件匯流排服務,可將發現項目資料路由到 AWS Lambda 功能和 Amazon Simple Notification Service (Amazon SNS) 主題等目標。有了 EventBridge,您可以近乎即時地監控和處理發現項目,作為現有安全性和合規性工作流程的一部分。
如果您已啟用 AWS Security Hub,則 Amazon Inspector 也會將調查結果發佈到 Security Hub。Security Hub 是一項服務,可提供您 AWS 環境中安全性狀態的全面檢視,並協助您根據安全性產業標準和最佳做法來檢查環境。使用 Security Hub,您可以更輕鬆地監視和處理發現項目,作為對組織中的安全性狀態進行更廣泛分析的一部分 AWS。
訪問 Amazon Inspector
Amazon Inspector 是在大多數可用 AWS 區域. 如需目前提供 Amazon Inspector 的區域清單,請參閱亞馬遜網路服務一般參考中的 Amazon Inspector 端點和配額。若要進一步了解 AWS 區域,請參閱 Amazon Web Services 一般參考 AWS 區域中的管理。在每個區域中,您可以透過下列方式使用 Amazon Inspector。
AWS 管理主控台
這 AWS Management Console 是一個基於瀏覽器的介面,您可以使用它來建立和管理 AWS 資源。作為該主控台的一部分,Amazon Inspector 主控台可讓您存取 Amazon Inspector 帳戶和資源。您可以從 Amazon Inspector 控制台執行 Amazon Inspector 任務。
AWS 命令行工具
使用 AWS 命令列工具,您可以在系統的命令列發出命令以執行 Amazon Inspector 任務。使用命令行可以比使用控制台更快,更方便。若您想要建構執行 任務的指令碼,命令列工具也非常實用。
AWS 提供兩組指令行工具: AWS Command Line Interface (AWS CLI) 和 AWS Tools for PowerShell. 若要取得有關安裝和使用的資訊 AWS CLI,請參閱《指AWS 令行介面使用者指南》。若要取得有關安裝和使用的「工具」的資訊 PowerShell,請參閱《使AWS Tools for PowerShell 用指南》。
AWS 開發套件
AWS 提供包含程式庫和範例程式碼的開發套件,適用於各種程式設計語言和平台,包括 Java、Go、Python、C++ 和 .NET。開發套件提供方便、程式化的 Amazon Inspector 和其他存取。 AWS 服務他們還處理諸如密碼編譯簽名請求,管理錯誤以及自動重試請求等任務。如需有關安裝和使用 AWS SDK 的詳細資訊,請參閱建置在其上 AWS的工具
Amazon Inspector 休息 API
Amazon Inspector REST API 可讓您以程式設計方式全面地存取您的 Amazon Inspector 帳戶和資源。使用此 API,您可以將 HTTPS 請求直接傳送至 Amazon Inspector。但是,與 AWS 命令行工具和 SDK 不同,使用此 API 需要您的應用程序處理低級別的詳細信息,例如生成散列以簽署請求。
