- 보안, 아이덴티티 및 규정 준수›
- Amazon Inspector›
- Amazon Inspector FAQ
Amazon Inspector FAQ
일반
Amazon Inspector란 무엇인가요?
Amazon Inspector는 소프트웨어 취약점 및 의도하지 않은 네트워크 노출에 대해 거의 실시간으로 Amazon ECR과 지속적 통합 및 지속적 전달(CI/CD) 도구 내에서 Amazon Elastic Compute Cloud(EC2), AWS Lambda 함수 및 컨테이너 이미지를 지속적으로 검사하는 자동화된 취약성 관리 서비스입니다.
Amazon Inspector의 주요 이점은 무엇인가요?
Amazon Inspector는 한 단계로 모든 계정에 Amazon Inspector를 배포할 수 있도록 하여 취약성 관리 솔루션 배포 및 구성과 관련된 운영 오버헤드를 제거합니다. 추가적인 이점으로는 다음이 포함됩니다.
- 거의 실시간으로 취약성 발견을 제공하는 자동화된 검색 및 지속적인 스캔
- 위임된 관리자(DA) 계정을 설정하여 모든 조직의 계정에 대한 중앙 관리, 구성 및 조사 결과 보기
- 보다 정확한 응답 우선 순위를 설정하는 데 도움이 되는 각 조사 결과에 대해 상황에 맞고 유용한 Amazon Inspector 위험 점수
- 계정, Amazon EC2 인스턴스, Lambda 함수, Amazon ECR 및 CI/CD 도구 내의 컨테이너 이미지를 비롯한 커버리지 지표를 거의 실시간으로 확인할 수 있는 직관적인 Amazon Inspector 대시보드입니다.
- EC2 인스턴스를 원활하게 검사하고 에이전트 기반 검사와 에이전트 없는 검사(평가판) 간에 전환하여 취약성 평가 범위를 극대화합니다.
- 모니터링되는 모든 리소스에 대한 소프트웨어 자재 명세서(SBOM) 내보내기를 중앙에서 관리하세요.
- AWS Security Hub 및 Amazon EventBridge와 통합하여 워크플로 및 티켓 라우팅 자동화
Amazon Inspector Classic에서 새로운 Amazon Inspector로 마이그레이션하려면 어떻게 해야 하나요?
계정에서 모든 평가 템플릿을 삭제하기만 하면 Amazon Inspector Classic을 비활성화할 수 있습니다. 기존 평가 실행에 대한 결과에 액세스하려면 보고서로 다운로드하거나 Amazon Inspector API를 사용하여 내보냅니다. AWS Management Console에서 몇 단계를 거쳐 또는 새로운 Amazon Inspector API로 새로운 Amazon Inspector를 활성화할 수 있습니다. Amazon Inspector Classic 사용 설명서에서 자세한 마이그레이션 단계를 찾아볼 수 있습니다.
Amazon Inspector는 Amazon Inspector Classic과 어떻게 다른가요?
Amazon Inspector는 새로운 취약성 관리 서비스를 생성하기 위해 리아키텍팅되고 재구축되었습니다. 다음은 Amazon Inspector Classic의 주요 개선 사항입니다.
- 확장을 고려한 구축: 새로운 Amazon Inspector는 확장과 동적 클라우드 환경을 고려하여 구축되었습니다. 한 번에 스캔할 수 있는 인스턴스 또는 이미지 수에는 제한이 없습니다.
- 컨테이너 이미지 및 Lambda 함수 지원: 새로운 Amazon Inspector는 Amazon ECR 및 CI/CD 도구 내에서, 그리고 Lambda 함수에 있는 컨테이너 이미지에서도 소프트웨어 취약성을 스캔합니다. 컨테이너 관련 결과도 Amazon ECR 콘솔로 푸시됩니다.
- 다중 계정 관리 지원: 새로운 Amazon Inspector는 AWS Organizations와 통합되어 조직의 Amazon Inspector에 대한 관리자 계정을 위임할 수 있습니다. 이 위임된 관리자(DA) 계정은 모든 결과를 통합하고 모든 구성원 계정을 구성할 수 있는 중앙 집중식 계정입니다.
- AWS Systems Manager Agent: 새로운 Amazon Inspector를 사용하면 더 이상 모든 Amazon EC2 인스턴스에 독립 실행형 Amazon Inspector 에이전트를 설치하고 유지 관리할 필요가 없습니다. 새로운 Amazon Inspector는 널리 배포된 AWS Systems Manager Agent(SSM Agent)를 사용하므로 이러한 필요가 없어집니다.
- 자동화되고 지속적인 스캔: 새로운 Amazon Inspector는 새로 시작된 모든 Amazon EC2 인스턴스, Lambda 함수 및 Amazon ECR에 푸시된 적격 컨테이너 이미지를 자동으로 감지하고 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 즉시 스캔합니다. 새로운 취약성을 유발할 수 있는 이벤트가 발생하면 관련 리소스가 자동으로 다시 스캔됩니다. 리소스 다시 스캔을 시작하는 이벤트에는 EC2 인스턴스에 새 패키지 설치, 패치 설치, 리소스에 영향을 주는 새로운 공통 취약성 및 노출(CVE) 게시가 포함됩니다.
- Amazon Inspector 위험 점수: 새로운 Amazon Inspector는 최신 CVE 정보를 네트워크 접근성 및 악용 가능성 정보와 같은 시간적 및 환경적 요인과 연결하여 조사 결과의 우선순위를 지정하는 데 도움이 되는 컨텍스트를 추가하는 방법으로 Inspector 위험 점수를 계산합니다.
- 취약성 평가 범위: 새로운 Amazon Inspector는 EC2 인스턴스를 원활하게 검사하고 에이전트 기반 검사와 에이전트 없는 검사(평가판) 사이를 전환하여 취약성 평가를 강화합니다.
- 소프트웨어 자재 명세서(SBOM) 내보내기: 새로운 Amazon Inspector는 모니터링되는 모든 리소스에 대한 SBOM을 중앙에서 관리하고 내보냅니다.
같은 계정에서 Amazon Inspector와 Amazon Inspector Classic을 동시에 사용할 수 있나요?
예, 같은 계정에서 동시에 사용할 수 있습니다.
Amazon Elastic Container Registry(ECR)용 Amazon Inspector 컨테이너 이미지 스캔 서비스는 Amazon ECR 네이티브 컨테이너 이미지 스캔 솔루션과 어떻게 다른가요?
Amazon Inspector 컨테이너 이미지 스캔(ECR 향상된 스캔) | Amazon ECR 네이티브 컨테이너 이미지 스캔(ECR 기본 스캔) | |
---|---|---|
스캔 엔진 |
Amazon Inspector는 Amazon ECR에 있는 컨테이너 이미지를 기본적으로 지원하기 위해 AWS에서 개발한 취약성 관리 서비스입니다. |
Amazon ECR은 관리형 AWS 네이티브 기본 스캔 솔루션을 제공합니다. |
패키지 적용 범위 |
운영 체제(OS) 패키지와 프로그래밍 언어(예: Python, Java 및 Ruby) 패키지에서 취약성을 식별합니다. |
OS 패키지에서만 소프트웨어 취약성을 식별합니다. |
스캔 빈도 |
연속 스캔과 온푸시 스캔을 모두 제공합니다. |
온푸시 스캔만 제공합니다. |
취약성 인텔리전스 | CVE를 이용할 수 있는지 여부, 패키지 버전 수정 지침에서 수정되었는지 여부, EPSS 점수, CVE를 악용하는 데 사용되는 멀웨어 키트와 같은 향상된 취약성 인텔리전스를 제공합니다. | 소프트웨어 취약성에 대한 기본 정보만 제공 |
결과 |
Amazon Inspector, Amazon ECR 애플리케이션 프로그래밍 인터페이스(API) 및 소프트웨어 개발 키트(SDK)뿐만 아니라 Amazon Inspector 및 Amazon ECR 콘솔에서도 결과를 사용할 수 있습니다. |
Amazon ECR 콘솔과 Amazon ECR API 및 SDK에서 결과를 사용할 수 있습니다. |
취약성 점수 |
NVD(National Vulnerability Database)와 공급 업체의 상황별 Inspector 점수와 CVSS(Common Vulnerability Scoring System) v2 및 v3 점수를 제공합니다. |
CVSS v3 및 v2 점수만 제공합니다. |
AWS 서비스 통합 |
AWS Security Hub, AWS Organizations 및 AWS EventBridge와 통합됩니다. |
다른 AWS 서비스와의 기본 제공 통합은 사용할 수 없습니다. |
Amazon Inspector의 요금은 어떻게 됩니까?
전체 요금 내역은 Amazon Inspector 요금 페이지를 참조하세요.
Amazon Inspector 무료 평가판이 있습니까?
Amazon Inspector를 처음 사용하는 모든 계정은 15일 무료 평가판을 통해 서비스를 평가하고 비용을 추정할 수 있습니다. 평가판 기간 동안 Amazon ECR로 푸시된 모든 적격 Amazon EC2 인스턴스, AWS Lambda 함수 및 컨테이너 이미지는 무료로 계속 스캔됩니다. Amazon Inspector 콘솔에서 예상 지출을 검토할 수도 있습니다.
어느 리전에서 Amazon Inspector를 사용할 수 있나요?
Amazon Inspector는 전 세계에서 사용할 수 있습니다. 리전별 특정 가용성이 여기에 나열되어 있습니다.
시작하기
시작하려면 어떻게 해야 하나요?
AWS Management Console에서 몇 단계를 거쳐 전체 조직 또는 개별 계정에 대해 Amazon Inspector를 활성화할 수 있습니다. Amazon Inspector를 활성화하면 실행 중인 Amazon EC2 인스턴스, Lambda 함수 및 Amazon ECR 리포지토리를 자동으로 검색하고 즉시 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 지속적으로 스캔하기 시작합니다. Amazon Inspector를 처음 사용하는 경우 15일 무료 평가판도 있습니다.
Amazon Inspector 조사 결과란 무엇인가요?
Amazon Inspector 결과는 잠재적인 보안 취약성입니다. 예를 들어 Amazon Inspector는 소프트웨어 취약성을 감지하거나 컴퓨팅 리소스에 대한 네트워크 경로를 열 때 보안 결과를 생성합니다.
내 AWS Organizations 구조를 사용하여 Amazon Inspector를 관리할 수 있나요?
예. Amazon Inspector는 AWS Organizations와 통합됩니다. Amazon Inspector의 프라이머리 관리자 계정 역할을 하고 Amazon Inspector를 중앙에서 관리하고 구성할 수 있는 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다. DA 계정은 AWS 조직의 일부인 모든 계정에 대한 결과를 중앙에서 보고 관리할 수 있습니다.
Amazon Inspector 서비스의 관리자를 위임하려면 어떻게 해야 하나요?
AWS Organizations Management 계정은 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 Amazon Inspector에 대한 DA 계정을 할당할 수 있습니다.
특정 스캔 유형(즉, Amazon EC2 스캔, Lambda 함수 스캔 또는 Amazon ECR 컨테이너 이미지 스캔)을 활성화해야 하나요?
Amazon Inspector를 처음으로 시작하는 경우 EC2 스캔, Lambda 스캔 및 ECR 컨테이너 이미지 스캔을 포함한 모든 스캔 유형이 기본적으로 활성화됩니다. 그러나 조직의 모든 계정에 걸쳐 이러한 스캔 유형의 일부 또는 전부를 비활성화할 수 있습니다. 기존 사용자는 Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 사용하여 새로운 기능을 활성화할 수 있습니다.
Amazon Inspector를 사용하려면 에이전트가 필요한가요?
아니요, 스캔을 위해 에이전트가 필요하지 않습니다. Amazon EC2 인스턴스의 취약성 스캔을 위해 에이전트 기반 솔루션용 AWS Systems Manager Agent(SSM Agent)를 사용할 수 있습니다. 또한 Amazon Inspector는 SSM 에이전트를 배포하거나 구성하지 않은 경우 에이전트 없는 검사(평가판)를 제공합니다. Amazon EC2 인스턴스의 네트워크 연결성 평가, 컨테이너 이미지의 취약점 스캔 또는 Lambda 함수의 취약점 검사를 평가하는 데에는 에이전트가 필요하지 않습니다.
Amazon Systems Manager Agent를 설치하고 구성하려면 어떻게 해야 하나요?
소프트웨어 취약성에 대해 Amazon EC2 인스턴스를 성공적으로 스캔하려면 Amazon Inspector는 이러한 인스턴스를 AWS Systems Manager와 SSM Agent를 통해 관리해야 합니다. Systems Manager 활성화 및 구성 지침은 AWS Systems Manager 사용 설명서의 Systems Manager 사전 요구 사항을 참조하세요. 관리형 인스턴스에 대한 자세한 내용은 AWS Systems Manager 사용 설명서의 관리형 인스턴스 섹션을 참조하세요.
스캔용으로 구성된 Amazon ECR 리포지토리를 어떻게 알 수 있나요? 그리고 스캔을 위해 구성해야 하는 리포지토리를 어떻게 관리하나요?
Amazon Inspector는 스캔할 ECR 리포지토리를 선택하는 포함 규칙 구성을 지원합니다. 포함 규칙은 ECR 콘솔 내의 레지스트리 설정 페이지에서 또는 ECR API를 사용하여 생성하고 관리할 수 있습니다. 포함 규칙과 일치하는 ECR 리포지토리는 스캔을 위해 구성됩니다. 리포지토리의 자세한 스캔 상태는 ECR 및 Amazon Inspector 콘솔에서 모두 확인할 수 있습니다.
Amazon Inspector로 작업
내 리소스가 활발하게 스캔되고 있는지 어떻게 알 수 있나요?
Amazon Inspector 대시보드의 환경 적용 범위 패널은 Amazon Inspector에서 활발히 스캔 중인 계정, Amazon EC2 인스턴스, Lambda 함수 및 ECR 리포지토리에 대한 지표를 보여줍니다. 각 인스턴스와 이미지의 스캔 상태는 Scanning(스캔 중) 또는 Not Scanning(스캔 중 아님)입니다. 스캐닝은 리소스가 거의 실시간으로 지속적으로 스캔되고 있음을 의미합니다. 스캔 중 아님(Not Scanning) 상태는 초기 스캔이 아직 수행되지 않았거나 OS가 지원되지 않거나 다른 문제로 인해 스캔이 불가능함을 의미할 수 있습니다.
자동 다시 스캔은 얼마나 자주 수행되나요?
모든 스캔은 이벤트에 따라 자동으로 수행됩니다. 모든 워크로드는 검색 시 처음에 스캔되고 이후에 다시 스캔됩니다.
- Amazon EC2 인스턴스의 경우: SSM 에이전트 기반 스캔의 경우, 인스턴스에 새 소프트웨어 패키지가 설치 또는 제거될 때, 새 CVE가 게시될 때, 취약한 패키지가 업데이트된 후(추가 취약성이 없는지 확인하기 위해) 다시 스캔이 시작됩니다. 에이전트리스 스캔의 경우 24시간마다 스캔이 수행됩니다.
- Amazon ECR 컨테이너 이미지의 경우: 이미지에 영향을 미치는 새 CVE가 게시되면 적격 컨테이너 이미지에 대해 자동 다시 스캔이 시작됩니다. 컨테이너 이미지에 대한 자동 재스캔은 Amazon Inspector 콘솔 또는 API에서 이미지 푸시 날짜와 풀 날짜 모두에 대해 구성된 재스캔 기간을 기준으로 수행됩니다. 이미지의 푸시 날짜가 구성된 ‘푸시 날짜 재스캔 기간’보다 짧고 구성된 ‘풀 날짜 재스캔 기간’ 내에 이미지를 가져온 경우 컨테이너 이미지가 계속 모니터링되고 이미지에 영향을 미치는 새 CVE가 게시될 때 자동 재스캔이 시작됩니다. 이미지 푸시 날짜에 사용할 수 있는 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일, 180일 또는 평생입니다. 이미지 풀 날짜의 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일 또는 180일입니다.
- Lambda 함수의 경우: 처음에는 검색되는 모든 새로운 Lambda 함수가 평가되고 Lambda 함수가 업데이트되거나 새로운 CVE가 게시될 때 지속적으로 다시 평가됩니다.
Amazon Inspector를 사용하여 컨테이너 이미지를 지속적으로 다시 스캔하는 기간은 얼마나 되나요?
연속 스캔을 위해 구성된 Amazon ECR 리포지토리에 있는 컨테이너 이미지는 Amazon Inspector 콘솔 또는 API에서 구성된 기간 동안 스캔됩니다. 이미지 푸시 날짜에 사용할 수 있는 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일, 180일 또는 평생입니다. 이미지 풀 날짜의 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일 또는 180일입니다.
- Amazon Inspector ECR 스캐닝이 활성화되면 Amazon Inspector는 스캔을 위해 지난 30일 동안 푸시되거나 가져온 이미지만 선택하지만 푸시 날짜 및 풀 날짜에 구성된 재스캔 기간(예: 30일(기본값), 14일, 60일, 90일, 180일 또는 평생) 동안 지속적으로 스캔합니다. 이미지의 푸시 날짜가 구성된 ‘푸시 날짜 재스캔 기간’보다 짧고 구성된 ‘풀 날짜 재스캔 기간’ 내에 이미지를 가져온 경우 컨테이너 이미지가 계속 모니터링되고 이미지에 영향을 미치는 새 CVE가 게시될 때 자동 재스캔이 시작됩니다. 예를 들어 Amazon Inspector ECR 스캐닝을 활성화하면 Amazon Inspector는 지난 30일 동안 푸시되거나 가져온 이미지를 픽업하여 스캔합니다. 그러나 활성화 후 푸시 날짜 및 풀 날짜 구성에 대해 180일 재스캔 기간을 선택하면 Amazon Inspector는 이미지가 지난 180일 이내에 푸시되었거나 지난 180일 동안 한 번 이상 가져온 경우 이미지를 계속 스캔합니다. 지난 180일 동안 이미지를 푸시하거나 가져오지 않은 경우 Amazon Inspector는 이미지 모니터링을 중단합니다.
- Amazon Inspector ECR 스캔이 활성화된 후 ECR로 푸시되는 모든 이미지는 ‘푸시 날짜 재스캔 기간’ 및 ‘풀 날짜 재스캔 기간’에 구성된 기간에 지속적으로 스캔됩니다. 이미지 푸시 날짜에 사용할 수 있는 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일, 180일 또는 평생입니다. 이미지 풀 날짜의 재스캔 기간 구성은 90일(기본값), 14일, 30일, 60일 또는 180일입니다. 자동 재스캔 기간은 컨테이너 이미지의 마지막 푸시 또는 풀 날짜를 기준으로 계산됩니다. 예를 들어 Amazon Inspector ECR 스캔을 활성화한 후 푸시 날짜와 풀 날짜 구성에 대한 재스캔 기간을 180일로 선택하면 Amazon Inspector는 이미지가 지난 180일 동안 푸시되었거나 지난 180일 동안 한 번 이상 가져온 경우 이미지를 계속 스캔합니다. 하지만 지난 180일 동안 이미지를 푸시하거나 가져오지 않은 경우 Amazon Inspector는 해당 이미지에 대한 모니터링을 중단합니다.
- 이미지가 ‘스캔 자격 만료’ 상태인 경우 이미지를 가져와서 Amazon Inspector 모니터링 대상으로 다시 가져올 수 있습니다. 이미지는 마지막으로 가져온 날짜부터 푸시 날짜 및 풀 날짜에 구성된 재스캔 기간 동안 계속 스캔됩니다.
내 리소스를 스캔에서 제외할 수 있나요?
- Amazon EC2 인스턴스의 경우: 예. 리소스 태그를 추가하여 EC2 인스턴스를 스캔에서 제외할 수 있습니다. ‘InspectorEc2Exclusion’ 키를 사용하면 됩니다. 값은 <optional>입니다.
- Amazon ECR에 있는 컨테이너 이미지의 경우: 예. 스캔을 위해 구성된 Amazon ECR 리포지토리를 선택할 수 있지만 리포지토리 내의 모든 이미지가 스캔됩니다. 포함 규칙을 생성하여 스캔해야 하는 리포지토리를 선택할 수 있습니다.
- Lambda 함수의 경우: 예. 리소스 태그를 추가하여 검사에서 Lambda 함수를 제외할 수 있습니다. 표준 스캔의 경우 'InspectorExclusion' 키와 'LambdaStandardScanning' 값을 사용합니다. 코드 스캔의 경우 'InspectorCodeExclusion' 키와 'LambdaCodeScanning' 값을 사용합니다.
Amazon Inspector를 사용하여 Lambda 함수의 보안 취약성을 평가하려면 어떻게 해야 하나요?
다중 계정 구조에서는 Amazon Inspector 콘솔 또는 API에서 위임된 관리자(DA) 계정을 통해 AWS Organization 내의 모든 계정에 대해 Amazon Inspector의 Lambda 취약성 평가를 활성화할 수 있습니다. 그러나 다른 멤버 계정은 중앙 보안 팀에서 활성화하지 않은 경우 자체 계정에 대해 Amazon Inspector를 활성화할 수 있습니다. AWS Organization에 포함되지 않은 계정은 Amazon Inspector 콘솔 또는 API를 통해 개별 계정에 대해 Amazon Inspector를 활성화할 수 있습니다.
Lambda 함수에 여러 버전이 있는 경우 Amazon Inspector는 어느 버전을 평가하게 되나요?
Amazon Inspector는 $LATEST 버전만 지속적으로 모니터링하고 평가합니다. 자동 다시 스캔은 최신 버전에 대해서만 계속되므로 새로운 결과는 최신 버전에 대해서만 생성됩니다. 콘솔 내 드롭다운에서 버전을 선택하여 원하는 버전의 조사 결과를 볼 수 있습니다.
Lambda 표준 스캔을 활성화하지 않고 Lambda 코드 스캔을 활성화할 수 있나요?
아니요. 2가지 옵션이 있습니다. Lambda 표준 스캔만 활성화하거나 Lambda 표준 및 코드 스캔을 함께 활성화할 수 있습니다. Lambda 표준 스캔은 Lambda 함수 및 연결 계층으로 배포된 애플리케이션에 사용되는 취약한 종속성으로부터 애플리케이션을 근본적으로 보호합니다. Lambda 코드 스캔은 Lambda 함수 내의 사용자 지정 전용 애플리케이션 코드를 검사하여 주입 결함, 데이터 유출, 취약한 암호화 또는 내장된 비밀과 같은 코드 보안 취약성을 검사함으로써 보안을 개선합니다.
SSM 인벤토리 수집 빈도를 기본 30분에서 12시간으로 변경하면 Amazon Inspector의 연속 스캔에 어떤 영향이 있나요?
기본 SSM 인벤토리 수집 빈도를 변경하면 스캔의 지속적인 특성에 영향이 있을 수 있습니다. Amazon Inspector는 SSM Agent를 사용하여 애플리케이션 인벤토리를 수집하여 결과를 생성합니다. 애플리케이션 인벤토리 기간이 기본값인 30분에서 늘어나면 애플리케이션 인벤토리에 대한 변경 감지가 지연되고 새로운 조사 결과가 지연될 수 있습니다.
Amazon Inspector 위험 점수란 무엇인가요?
Amazon Inspector 위험 점수는 일반적인 취약성 및 노출(CVE) 정보를 네트워크 도달 가능성 결과, 악용 가능성 데이터 및 소셜 미디어 추세와 연결하여 각 조사 결과에 대해 생성되는 고도로 맥락화된 점수입니다. 이렇게 하면 더 쉽게 조사 결과의 우선 순위를 지정하고 가장 중요한 조사 결과와 취약한 리소스에 집중할 수 있습니다. 결과 세부 정보(Findings Details) 측면 패널에 있는 Inspector 점수(Inspector Score) 탭에서 Inspector 위험 점수가 계산된 방식과 점수에 영향을 준 요인을 확인할 수 있습니다.
예: Amazon EC2 인스턴스에서 식별된 새 CVE가 있으며 원격으로만 악용될 수 있습니다. Amazon Inspector의 지속적인 네트워크 연결 가능성 스캔에서도 인터넷에서 인스턴스에 연결할 수 없음을 발견하면 취약성이 악용될 가능성이 낮다는 것을 알게 됩니다. 따라서 Amazon Inspector는 스캔 결과를 CVE와 연관시켜 위험 점수를 하향 조정하여 해당 특정 인스턴스에 대한 CVE의 영향을 보다 정확하게 반영합니다.
결과 심각도는 어떻게 결정되나요?
Amazon Inspector 점수 | 심각도 |
---|---|
0 | 정보용 |
0.2~3.9 | 낮음 |
4.0~6.9 | 미디엄 |
7.0~8.9 | 높음 |
9.0~10.0 | 심각 |
억제 규칙은 어떻게 작동하나요?
Amazon Inspector를 사용하면 정의한 사용자 지정 기준에 따라 결과를 억제할 수 있습니다. 조직에서 허용하는 것으로 간주되는 결과에 대한 억제 규칙을 생성할 수 있습니다.
내 조사 결과를 내보내려면 어떻게 해야 하며 여기에는 무엇이 포함되나요?
Amazon Inspector 콘솔 또는 Amazon Inspector API를 통해 몇 단계를 거쳐 여러 형식(CSV 또는 JSON)으로 보고서를 생성할 수 있습니다. 모든 조사 결과가 포함된 전체 보고서를 다운로드하거나 콘솔에 설정된 보기 필터를 기반으로 사용자 지정된 보고서를 생성하고 다운로드할 수 있습니다.
Lambda 표준 스캔을 활성화하지 않고 Lambda 코드 스캔을 활성화할 수 있나요?
아니요. 2가지 옵션이 있습니다. Lambda 표준 스캔만 활성화하거나 Lambda 표준 및 코드 스캔을 함께 활성화할 수 있습니다. Lambda 표준 스캔은 Lambda 함수 및 연결 계층으로 배포된 애플리케이션에 사용되는 취약한 종속성으로부터 애플리케이션을 근본적으로 보호합니다. Lambda 코드 스캔은 Lambda 함수 내의 사용자 지정 전용 애플리케이션 코드를 검사하여 주입 결함, 데이터 유출, 취약한 암호화 또는 내장된 비밀과 같은 코드 보안 취약성을 검사함으로써 보안을 개선합니다.
리소스에 대한 SBOM을 내보내려면 어떻게 해야 하고, SBOM에는 무엇이 포함되나요?
Amazon Inspector 콘솔에서 또는 Amazon Inspector API를 통해 몇 단계만 수행하면 Amazon Inspector로 모니터링되는 모든 리소스에 대한 SBOM을 다양한 형식(CycloneDX 또는 SPDX)으로 생성하고 내보낼 수 있습니다. 모든 리소스에 대한 SBOM이 포함된 전체 보고서를 다운로드하거나, 세트 보기 필터를 기반으로 일부 선택된 리소스에 대한 SBOM을 선택적으로 생성하고 다운로드할 수 있습니다.
내 계정에 에이전트 없는 검사를 활성화하려면 어떻게 해야 하나요?
단일 계정을 사용하는 기존 Amazon Inspector 고객의 경우, Amazon Inspector 콘솔의 계정 관리 페이지를 방문하거나 API를 사용하여 에이전트 없는 검사(평가판)를 활성화할 수 있습니다.
AWS Organizations를 사용하는 기존 Amazon Inspector 고객의 경우, 위임 관리자는 전체 조직을 에이전트 없는 솔루션으로 완전히 마이그레이션하거나 SSM 에이전트 기반 솔루션만 계속 독점적으로 사용해야 합니다. 콘솔의 EC2 설정 페이지에서 또는 API를 통해 스캔 모드 구성을 변경할 수 있습니다.
신규 Amazon Inspector 고객의 경우 에이전트 없는 검사 평가판 기간 동안 EC2 스캔을 활성화하면 에이전트 기반 검사 모드에서 인스턴스가 스캔됩니다. 필요한 경우 하이브리드 검사 모드로 전환할 수 있습니다. 하이브리드 검사 모드에서 Amazon Inspector는 애플리케이션 인벤토리 수집을 위해 SSM 에이전트를 사용하여 취약성 평가를 수행하고 SSM 에이전트가 설치 또는 구성되지 않은 인스턴스의 경우 에이전트 없는 검사로 자동으로 대체합니다.
에이전트 없는 검사의 빈도는 어떻게 되나요?
Amazon Inspector는 에이전트 없는 검사(평가판)으로 표시된 인스턴스에 대해 24시간마다 자동으로 검사를 트리거합니다. SSM 에이전트 기반 검사로 표시된 인스턴스의 연속 검색 동작은 변경되지 않습니다.
EC2 스캔에 하이브리드 검사 모드를 사용할 때 에이전트를 사용하여 검사하는 인스턴스와 에이전트가 없는 인스턴스를 어디에서 확인할 수 있나요?
Amazon Inspector 콘솔의 리소스 커버리지 페이지를 방문하거나 Amazon Inspector 커버리지 API를 사용하면 '모니터링 사용' 열에서 검사 모드를 확인할 수 있습니다.
다중 계정 설정의 멤버 계정에서 각 계정의 EC2 검사를 위한 검사 모드를 수정할 수 있나요?
아니요, 다중 계정 설정에서는 위임된 관리자만 전체 조직에 대해 검사 모드 구성을 설정할 수 있습니다.
컨테이너 이미지 검사를 위한 CI/CD 도구에 Amazon Inspector를 통합하려면 어떻게 해야 하나요?
애플리케이션 및 플랫폼 팀은 Jenkins 및 TeamCity와 같은 다양한 CI/CD 도구용으로 설계된 특수 제작된 Amazon Inspector 플러그인을 사용하여 Amazon Inspector를 빌드 파이프라인에 통합할 수 있습니다. 이러한 플러그인은 각 CI/CD 도구의 마켓플레이스에서 사용할 수 있습니다. 플러그인이 설치되면 파이프라인에 단계를 추가하여 컨테이너 이미지 평가를 수행하고 평가 결과에 따라 파이프라인을 차단하는 등의 조치를 취할 수 있습니다. 평가에서 취약성이 확인되면 실행 가능한 보안 결과가 생성됩니다. 이러한 조사 결과에는 취약성 세부 정보, 개선 권장 사항 및 악용 가능성 세부 정보가 포함됩니다. 이 파일은 JSON 및 CSV 형식으로 CI/CD 도구에 반환되며, Amazon Inspector 플러그인을 통해 사람이 읽을 수 있는 대시보드로 변환하거나 팀에서 다운로드할 수 있습니다.
컨테이너 이미지 검사에 Amazon Inspector CI/CD 통합을 사용하려면 Amazon Inspector를 활성화해야 하나요?
아니요, 활성 AWS 계정이 있는 경우 Amazon Inspector를 활성화하지 않고도 이 기능을 사용할 수 있습니다.
Amazon Inspector를 VPC 엔드포인트로 설정하여 프라이빗 Amazon EC2 인스턴스를 스캔할 수 있나요?
예. Amazon Inspector는 SSM Agent를 사용하여 인터넷을 통한 정보 전송을 방지하기 위해 Amazon Virtual Private Cloud(VPC) 엔드포인트로 설정할 수 있는 애플리케이션 인벤토리를 수집합니다.
Amazon Inspector는 어떤 운영 체제를 지원하나요?
여기에서 지원되는 운영 체제(OS) 목록을 찾을 수 있습니다.
Amazon Inspector는 컨테이너 이미지 스캔을 위해 어떤 프로그래밍 언어 패키지를 지원하나요?
여기에서 지원되는 프로그래밍 언어 패키지 목록을 찾을 수 있습니다.
Amazon Inspector는 네트워크 주소 변환(NAT)을 사용하는 인스턴스에서 작동하나요?
예. NAT를 사용하는 인스턴스는 Amazon Inspector에서 자동으로 지원됩니다.
Proxy를 인스턴스로 사용하고 있습니다. Amazon Inspector가 이 인스턴스에서 작동합니까?
예. 자세한 내용은 프록시를 사용하도록 SSM Agent를 구성하는 방법을 참조하세요.
Amazon Inspector를 다른 AWS 서비스와 통합하여 로깅과 알림을 적용할 수 있습니까?
Amazon Inspector는 Amazon EventBridge와 통합되어 새 결과, 결과 상태 변경 또는 억제 규칙 생성과 같은 이벤트에 대한 알림을 제공합니다. 또한 Amazon Inspector는 직접 호출 로깅을 위해 AWS CloudTrail과 통합됩니다.
Amazon Inspector는 ‘CIS 운영 체제 보안 구성 벤치마크’ 스캔을 제공하나요?
예. Amazon Inspector를 실행하여 AWS 조직 전체의 Amazon EC2 인스턴스에 대한 OS 수준 CIS 구성 벤치마크에 대한 온디맨드 및 맞춤형 평가를 수행할 수 있습니다.
Amazon Inspector는 AWS 파트너 솔루션과 연동되나요?
예. 자세한 내용은 Amazon Inspector 파트너를 참조하세요.
Amazon Inspector를 비활성화할 수 있나요?
예. Amazon Inspector 서비스를 비활성화하여 모든 스캔 유형(Amazon EC2 스캔, Amazon ECR 컨테이너 이미지 스캔 및 Lambda 함수 스캔)을 비활성화하거나 계정에 대해 개별적으로 각 스캔 유형을 비활성화할 수 있습니다.
Amazon Inspector를 일시 중단할 수 있나요?
아니요. Amazon Inspector는 일시 중단 상태를 지원하지 않습니다.