本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 Amazon Inspector 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【Inspector.1】 應啟用 Amazon Inspector EC2掃描
相關要求:PCIDSSv4.0.1/11.3.1
類別:偵測 > 偵測服務
嚴重性:高
資源類型: AWS::::Account
AWS Config 規則:inspector-ec2-scan-enabled
排程類型:定期
參數:無
此控制項會檢查是否啟用 Amazon Inspector EC2掃描。對於獨立帳戶,如果在帳戶中停用 Amazon Inspector EC2掃描,則控制項會失敗。在多帳戶環境中,如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用EC2掃描,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的EC2掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派的管理員擁有未啟用 Amazon Inspector EC2掃描的暫停成員帳戶,則此控制項會產生FAILED調查結果。若要接收PASSED問題清單,委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。
Amazon Inspector EC2掃描會從 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體擷取中繼資料,然後將此中繼資料與從安全建議收集的規則進行比較,以產生問題清單。Amazon Inspector 會掃描執行個體是否有套件漏洞和網路連線能力問題。如需支援作業系統的相關資訊,包括哪些作業系統可以在不使用SSM代理程式的情況下掃描,請參閱支援的作業系統:Amazon EC2掃描。
修補
若要啟用 Amazon Inspector EC2掃描,請參閱《Amazon Inspector 使用者指南》中的啟用掃描。
【Inspector.2】 應啟用 Amazon Inspector ECR掃描
相關要求:PCIDSSv4.0.1/11.3.1
類別:偵測 > 偵測服務
嚴重性:高
資源類型: AWS::::Account
AWS Config 規則:inspector-ecr-scan-enabled
排程類型:定期
參數:無
此控制項會檢查是否已啟用 Amazon Inspector ECR掃描。對於獨立帳戶,如果在帳戶中停用 Amazon Inspector ECR掃描,則控制項會失敗。在多帳戶環境中,如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用ECR掃描,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的ECR掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派的管理員擁有未啟用 Amazon Inspector ECR掃描的暫停成員帳戶,則此控制項會產生FAILED調查結果。若要接收PASSED問題清單,委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。
Amazon Inspector 會掃描存放在 Amazon Elastic Container Registry (Amazon ECR) 中的容器映像,尋找軟體漏洞,以產生套件漏洞問題清單。當您啟用 Amazon 的 Amazon Inspector 掃描時ECR,您可以將 Amazon Inspector 設定為私有登錄檔的偏好掃描服務。這會取代 Amazon 免費提供的基本掃描ECR,以及透過 Amazon Inspector 提供和計費的增強型掃描。增強型掃描可讓您在登錄檔層級同時針對作業系統和程式設計語言套件進行漏洞掃描。您可以在 Amazon ECR主控台上檢閱在映像層級使用增強型掃描發現的問題清單,針對映像的每個圖層。此外,您可以在其他 服務中檢閱和處理這些問題清單,這些服務不適用於基本掃描問題清單,包括 AWS Security Hub 和 Amazon EventBridge。
修補
若要啟用 Amazon Inspector ECR掃描,請參閱《Amazon Inspector 使用者指南》中的啟用掃描。
【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描
相關要求:PCIDSSv4.0.1/6.2.4、PCIDSSv4.0.1/6.3.1
類別:偵測 > 偵測服務
嚴重性:高
資源類型: AWS::::Account
AWS Config 規則:inspector-lambda-code-scan-enabled
排程類型:定期
參數:無
此控制項會檢查是否已啟用 Amazon Inspector Lambda 程式碼掃描。對於獨立帳戶,如果在帳戶中停用 Amazon Inspector Lambda 程式碼掃描,則控制項會失敗。在多帳戶環境中,如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 Lambda 程式碼掃描,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 程式碼掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員有暫停的成員帳戶,而該帳戶未啟用 Amazon Inspector Lambda 程式碼掃描,則此控制項會產生FAILED問題清單。若要接收PASSED問題清單,委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。
Amazon Inspector Lambda 程式碼掃描會根據 AWS 安全最佳實務,在 AWS Lambda 函數中掃描自訂應用程式程式碼,以找出程式碼漏洞。Lambda 程式碼掃描可以偵測程式碼中的注入缺陷、資料洩漏、微弱密碼編譯或缺少加密。此功能AWS 區域 僅適用於特定 。您可以使用 Lambda 標準掃描來啟用 Lambda 程式碼掃描 (請參閱 【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描)。
修補
若要啟用 Amazon Inspector Lambda 程式碼掃描,請參閱《Amazon Inspector 使用者指南》中的啟用掃描。
【Inspector.4】 應啟用 Amazon Inspector Lambda 標準掃描
相關要求:PCIDSSv4.0.1/6.2.4、PCIDSSv4.0.1/6.3.1
類別:偵測 > 偵測服務
嚴重性:高
資源類型: AWS::::Account
AWS Config 規則:inspector-lambda-standard-scan-enabled
排程類型:定期
參數:無
此控制項會檢查是否啟用 Amazon Inspector Lambda 標準掃描。對於獨立帳戶,如果在帳戶中停用 Amazon Inspector Lambda 標準掃描,則控制項會失敗。在多帳戶環境中,如果委派的 Amazon Inspector 管理員帳戶和所有成員帳戶未啟用 Lambda 標準掃描,則控制項會失敗。
在多帳戶環境中,控制項只會在委派的 Amazon Inspector 管理員帳戶中產生問題清單。只有委派管理員才能啟用或停用組織中成員帳戶的 Lambda 標準掃描功能。Amazon Inspector 成員帳戶無法從其帳戶修改此組態。如果委派管理員有一個暫停的成員帳戶未啟用 Amazon Inspector Lambda 標準掃描,則此控制項會產生FAILED調查結果。若要接收PASSED問題清單,委派管理員必須在 Amazon Inspector 中取消這些暫停帳戶的關聯。
Amazon Inspector Lambda 標準掃描可識別您新增至 AWS Lambda 函數程式碼和層的應用程式套件相依性中的軟體漏洞。如果 Amazon Inspector 在您的 Lambda 函數應用程式套件相依性中偵測到漏洞,Amazon Inspector 會產生詳細的Package Vulnerability類型調查結果。您可以使用 Lambda 標準掃描來啟用 Lambda 程式碼掃描 (請參閱 【Inspector.3】 應啟用 Amazon Inspector Lambda 程式碼掃描)。
修補
若要啟用 Amazon Inspector Lambda 標準掃描,請參閱《Amazon Inspector 使用者指南》中的啟用掃描。
