Вопросы и ответы по Amazon Inspector

Вы можете активировать Amazon Inspector для всей организации сразу или для отдельных аккаунтов, выполнив всего несколько шагов в Консоли управления AWS. Немедленно после активации Amazon Inspector начинает обнаруживать инстансы Amazon EC2, функции Lambda и репозитории Amazon ECR и выполнять для них постоянное сканирование рабочих нагрузок для поиска программных и сетевых уязвимостей. Если вы еще не работали с Amazon Inspector, вы можете воспользоваться бесплатным 15-дневным пробным периодом.

Отчет Amazon Inspector содержит сведения об обнаруженной потенциальной уязвимости. Например, Amazon Inspector создает отчет о безопасности, если обнаруживает программные уязвимости или открытые сетевые пути к вычислительным ресурсам.

Да. Amazon Inspector имеет встроенную интеграцию с AWS Organizations. Вы можете назначить для Amazon Inspector аккаунт уполномоченного администратора, который будет использоваться как основной административный аккаунт Amazon Inspector, и можете централизовано управлять им и настраивать его. Аккаунт уполномоченного администратора позволяет централизованно просматривать отчеты по всем аккаунтам, входящим в организацию AWS, и управлять ими.

Управляющий аккаунт AWS Organizations может назначить для Amazon Inspector аккаунт уполномоченного администратора с помощью консоли Amazon Inspector или через API Amazon Inspector.

Если вы начинаете использовать Amazon Inspector впервые, все типы сканирования, включая сканирование для EC2, для функций Lambda и для образов контейнеров, по умолчанию активированы. Однако вы можете отключить любое или все эти действия во всех аккаунтах своей организации. Существующие пользователи могут активировать новые функции на консоли Amazon Inspector или с помощью API для Amazon Inspector.

Нет, вам не нужен агент, чтобы выполнять сканирование. Для поиска уязвимостей на инстансах Amazon EC2 можно использовать Агент менеджера систем AWS (агент SSM) в качестве решения на основе агентов. Amazon Inspector также поддерживает сканирование без использования агента (доступно в ознакомительном режиме), если агент SSM еще не развернут или не настроен. Для проверки сетевой доступности инстансов Amazon EC2 и образов контейнеров или функций Lambda на наличие уязвимостей агенты не требуются. 

Чтобы Amazon Inspector мог успешно сканировать инстансы Amazon EC2 на наличие программных уязвимостей, все инстансы должны работать под управлением Менеджера систем AWS и Агента менеджера систем. Инструкции по установке и настройке AWS Systems Manager вы найдете на странице об основных требований для Systems Manager в руководстве пользователя по AWS Systems Manager. Сведения об управляемых инстансах есть в разделе Managed Instances (Управляемые инстансы) руководства пользователя по Менеджеру систем AWS.

Amazon Inspector поддерживает настройку правил включения, что позволяет выбрать конкретные репозитории ECR для сканирования. Правила включения можно создавать и администрировать на панели параметров реестра на консоли ECR или с помощью API ECR. Для сканирования отбираются все репозитории ECR, которые соответствуют указанному правилу включения. Подробные сведения о состоянии сканирования репозиториев можно найти в консолях ECR и Amazon Inspector.

Панель «Покрытие среды» на панели управления Amazon Inspector предоставляет метрики покрытия для аккаунтов, инстансов EC2, функций Lambda и репозиториев ECR, в которых Amazon Inspector активно выполняет сканирование. Для каждого инстанса и образа здесь указано состояние сканирования: «Сканируется» или «Не сканируется». Состояние «Сканируется» означает, что ресурс постоянно отслеживается почти в режиме реального времени. Состояние «Не сканируется» может обозначать одно из следующего: еще не было выполнено первичное сканирование, не поддерживается используемая ОС или сканирование невозможно по другой причине.

Все сканирования выполняются автоматически по наступлении определенных событий. Все рабочие нагрузки изначально сканируются при обнаружении, а затем регулярно сканируются повторно.

• Для инстансов Amazon EC2: во время сканирования на основе SSM агентов повторное сканирование выполняется при установке или удалении пакета программного обеспечения, при публикации новых сведений о распространенных уязвимостях и при обновлении уязвимого пакета (для проверки возможных дополнительных уязвимостей). При безагентном сканировании оно выполняется каждые 24 часа.
• Для образов контейнеров Amazon ECR: автоматизированное повторное сканирование выполняется для поддерживаемых образов контейнеров при публикации новых сведений о CVE, которые затрагивают этот образ. Автоматическое повторное сканирование образов контейнеров основано на длительности повторного сканирования, заданной как для даты загрузки, так и для даты извлечения образов в консоли Amazon Inspector или API. Если дата загрузки образов меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» и образ было извлечено в течение заданного значения для параметра «Продолжительность повторного сканирования для даты извлечения», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней.
• Для функций Lambda: все новые функции Lambda изначально проверяются при обнаружении, а затем непрерывно повторно проверяются, когда появляется обновление функции Lambda или публикуется новый CVE.

Размещенные в репозиториях Amazon ECR образы контейнеров, для которых настроено постоянное сканирование, проверяются в течение времени, заданного в консоли Amazon Inspector или API. Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней.

• После активации сканирования Amazon Inspector ECR, Amazon Inspector собирает для сканирования только образы, загруженные или извлеченные за последние 30 дней, но непрерывно сканирует их в течение периода повторного сканирования, заданного для даты загрузки и даты извлечения: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или на протяжении всего срока службы. Если дата загрузки образа меньше заданного значения для параметра «Продолжительность повторного сканирования для даты загрузки» И образ было извлечено в течение заданного значения для параметра «Продолжительность повторного сканирования для даты извлечения», отслеживание образа контейнера будет продолжено, а автоматическое повторное сканирование начнется при публикации новых сведений о CVE, которые затрагивают этот образ. Например, при активации сканирования Amazon Inspector ECR Amazon Inspector будет принимать для сканирования образы, отправленные или извлеченные за последние 30 дней. Однако после активации, если вы выберете длительность повторного сканирования 180 дней для конфигураций с датой загрузки и датой извлечения, Amazon Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или извлечены хотя бы один раз за последние 180 дней. Если образ не загружен или извлечен в течение последних 180 дней, Amazon Inspector прекратит его мониторинг.
• Все образы, загруженные в ECR после активации сканирования Amazon Inspector ECR, непрерывно сканируются в течение заданного периода времени в параметрах «Продолжительность повторного сканирования для даты загрузки» и «Продолжительность повторного сканирования для даты извлечения». Доступные конфигурации длительности повторного сканирования для даты загрузки образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней, 180 дней или весь срок службы. Конфигурации длительности повторного сканирования для даты извлечения образов: 90 дней (по умолчанию), 14 дней, 30 дней, 60 дней или 180 дней. Продолжительность автоматического повторного сканирования рассчитывается на основе даты последней загрузки или извлечения образа контейнера. Например, после активации сканирования Amazon Inspector ECR, если вы выберете продолжительность повторного сканирования 180 дней для даты загрузки и даты извлечения, Amazon Inspector продолжит сканирование образов, если они были загружены в течение последних 180 дней или извлечены по крайней мере один раз за последние 180 дней. Однако если образ не загружен или извлечен в течение последних 180 дней, Amazon Inspector прекратит его мониторинг.
• Если образ находится в состоянии «Срок действия для сканирования истек», вы можете извлечь этот образ, чтобы вернуть его под контроль Amazon Inspector. Образ будет непрерывно сканироваться в течение продолжительности повторного сканирования для даты загрузки и даты извлечения, заданных с даты последнего извлечения.

• Для инстансов Amazon EC2: да, инстанс EC2 можно исключить из сканирования, добавив тег ресурса. Можно использовать ключ InspectorEc2Exclusion и значение <optional>.
• Для образов контейнеров, размещенных в Amazon ECR: да. Вы можете выбрать конкретные репозитории Amazon ECR, для которых будет выполняться сканирование, но не можете исключить отдельные образы в репозиториях. Для выбора сканируемых репозиториев нужно настроить правила включения.
• Для функций Lambda: да, функцию Lambda можно исключить из сканирования, добавив тег ресурса. Для стандартного сканирования используйте ключ InspectorExclusion и значение LambdaStandardScanning. Для сканирования кода используйте ключ InspectorCodeExclusion и значение LambdaCodeScanning.

В структуре с несколькими аккаунтами вы можете активировать Amazon Inspector для проверки уязвимостей функций Lambda для всех своих аккаунтов внутри AWS Organization с помощью консоли или API для Amazon Inspector через аккаунт уполномоченного администратора (DA). В то же время другие аккаунты-участники могут активировать Amazon Inspector для своего аккаунта, если основная группа по вопросам безопасности еще не активировала его для них. Аккаунты, которые не входят в AWS Organization, могут активировать Amazon Inspector отдельно для своего аккаунта с помощью консоли или API для Amazon Inspector.

Amazon Inspector будет непрерывно контролировать и оценивать только последнюю ($LATEST) версию. Автоматические повторные сканированию будут выполняться только для последней версии, и соответственно новые отчеты будут генерироваться только для нее. В консоли вы сможете видеть отчеты для любой версии, выбрав необходимую версию из раскрывающегося списка.

Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительную безопасность благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.

Изменение стандартной частоты сбора списков SSM может повлиять на актуальность данных сканирования. Amazon Inspector при создании своих отчетов полагается на список приложений, собранный агентами SSM Agent. Если список приложений будет составляться реже, чем указанный по умолчанию интервал в 30 минут, это замедлит обнаружение изменений в списке приложений, а следовательно и подготовку отчетов сканирования.

Оценка риска Amazon Inspector составляется на основе подробных данных о контексте каждого отчета, и для ее получения сведения о распространенных уязвимостях сопоставляются с информацией о сетевой доступности, наличии эксплойтов и тенденциях в социальных сетях. Эта оценка поможет вам правильно распределить приоритеты между отчетами, уделяя основное внимание наиболее важным отчетам и самым уязвимым ресурсам. Вы можете посмотреть, как и по каким факторам Inspector выполнял расчет оценки риска, открыв вкладку «Оценка Inspector» на боковой панели «Подробности отчетов».

Предположим, что для вашего инстанса Amazon EC2 обнаружена новая уязвимость, для которой эксплойт возможен только через удаленное подключение. Если Amazon Inspector на основании постоянных сканирований сетевой доступности определит, что этот инстанс недоступен из Интернета, он будет считать риск эксплойта для такой уязвимости минимальной. Таким образом, Amazon Inspector сопоставляет результаты сканирования с данными о распространенных уязвимостях и снижает риск, что более точно отражает реальное влияние конкретной уязвимости на конкретный экземпляр.

Amazon Inspector позволяет подавлять определенные отчеты, определяя для этого пользовательские критерии. Вы можете создать правила подавления для отчетов о таких уязвимостях, которые считаются допустимыми для вашей организации.

Вы можете экспортировать отчеты в нескольких форматах (CSV или JSON), выполнив всего несколько шагов в консоли Amazon Inspector или применив различные API Amazon Inspector. Вы можете скачать отчет со всеми полученными данными или отобрать интересующие, настроив для этого фильтры в консоли.

Нет. У вас есть два варианта: активировать стандартное сканирование Lambda отдельно или включить стандартное сканирование Lambda и сканирование кода вместе. Стандартное сканирование Lambda обеспечивает фундаментальную защиту от уязвимых зависимостей, которые используются в приложении, развернутом в качестве функций Lambda и уровней ассоциаций. Сканирование кода Lambda гарантирует дополнительную безопасность благодаря сканированию пользовательского проприетарного кода приложения в функции Lambda на предмет наличия уязвимостей безопасности кода, таких как уязвимости при внедрении, утечки данных, слабая криптография или встроенные секреты.

Можно создавать и экспортировать SBOM для всех ресурсов, отслеживаемых с помощью Amazon Inspector, в нескольких форматах (CycloneDx или SPDX), выполнив несколько шагов в консоли Amazon Inspector или воспользовавшись API Amazon Inspector. Вы можете загрузить полный отчет с SBOM для всех ресурсов или выборочно создать и загрузить SBOM для нескольких выбранных ресурсов на основе установленных фильтров просмотра.

Текущие клиенты Amazon Inspector, у которых один аккаунт, могут включить безагентное сканирование (ознакомительный режим) на странице управления аккаунтом в консоли Amazon Inspector или с помощью API.

Если вы текущий клиент Amazon Inspector и используете Организации AWS, вашему делегированному администратору необходимо либо полностью перевести организацию на безагентное решение, либо продолжить использовать исключительно решение на основе агента SSM. Конфигурацию режима сканирования можно изменить на странице настроек EC2 в консоли или с помощью API.

Если вы новый клиент Amazon Inspector, на протяжении периода ознакомления с функцией безагентного сканирования инстансы будут проверяться с использованием агента при включении сканирования EC2. При необходимости можно переключиться в гибридный режим сканирования. В гибридном режиме сканирования Amazon Inspector использует агенты SSM, чтобы получать списки приложений для проверки на наличие уязвимостей. Этот сервис автоматически переключается на безагентное сканирование, когда нужно проверить инстансы, для которых не установлены или не настроены агенты SSM.

Amazon Inspector автоматически запускает проверку инстансов, отмеченных для безагентного сканирования, каждые 24 часа (в ознакомительном режиме). Непрерывная проверка инстансов, отмеченных для сканирования с использованием агента SSM, будет выполняться, как и прежде. 

Режим сканирования указан в столбце monitored using (отслеживание с использованием). Перейдите на страницы о покрытии ресурсов в консоли Amazon Inspector или используйте соответствующие API Amazon Inspector. 

Нет. Если у вас несколько аккаунтов, конфигурацию режима сканирования для всей организации могут настроить только делегированные администраторы.

Группы разработчиков приложений и платформ могут внедрить Amazon Inspector в свои конвейеры сборки с помощью специальных плагинов Amazon Inspector, разработанных для различных инструментов непрерывной интеграции и доставки, таких как Jenkins и TeamCity. Эти плагины доступны на торговой площадке каждого соответствующего инструмента непрерывной интеграции и доставки. После установки плагина можно добавить в конвейер шаг для проверки образа контейнера и принятия мер, таких как блокирование конвейера на основе результатов проверки. Если в ходе проверки будут выявлены уязвимости, сгенерируются данные о действиях, которые помогут обеспечить безопасность. Полученные данные будут включать информацию об уязвимостях, рекомендации по их устранению и сведения о наличии возможностей для их использования. Они направляются в инструмент непрерывной интеграции и доставки в форматах JSON и CSV, которые затем можно отобразить в виде читабельный для человека информационной панели с помощью плагина Amazon Inspector. Кроме того, команды могут их загрузить.

Нет. Если у вас есть активный аккаунт AWS, включать Amazon Inspector, чтобы использовать эту функцию, не нужно.

Да. Amazon Inspector использует для сборки данных о списке приложений SSM Agent, который можно настроить в формате адресов Amazon Virtual Private Cloud (VPC), чтобы не передавать данные через общедоступный Интернет.

Список поддерживаемых операционных систем приводится здесь.

Список языков программирования, для которых поддерживаются пакеты, приводится здесь.

Да. Amazon Inspector имеет встроенную поддержку инстансов, которые используют NAT.

Да. Дополнительные сведения о том, как настроить SSM Agent для использования прокси-сервера, см. в этой статье.

Amazon Inspector интегрируется с Amazon EventBridge для предоставления оповещений о таких событиях, как новый отчет, изменение состояния отчета или создание правила подавления. Также Amazon Inspector интегрируется с AWS CloudTrail для ведения журнала вызовов.

Да. Amazon Inspector можно использовать для целенаправленной оценки и оценки по запросу инстансов Amazon EC2 в вашей организации AWS на основе эталонных тестов конфигурации CIS на уровне ОС.

Да. Дополнительные сведения см. на странице о партнерах Amazon Inspector.

Да. Вы можете отключить все типы сканирований (сканирование Amazon EC2, сканирование образов контейнеров Amazon ECR и сканирование функций Lambda), отключив сервис Amazon Inspector, или вручную отключить любой из типов сканирования для конкретного аккаунта.

Нет. Amazon Inspector не поддерживает состояние приостановки.