[AWS] 2022 AWS re:Invent Security 產品介紹 - AWS Inspector (EP3)

現在來介紹第三個 Securitry 的產品 Inspector

這邊會分享當時介紹的五個 AWS Security 產品 

快速轉跳頁面至 -----> EP1 EP2 EP3 EP4 EP5

Inspector (中文叫檢查員)

是一種自動化的漏洞管理服務

可以持續掃描 EC2、Lambda 和 容器工作負載 以查找軟體漏洞和意外的網路暴露的風險。

使用高度準確的 Inspector 風險評分，有效地確定漏洞修復的優先級

並搭配 Amazon EventBridge 和 AWS Security Hub 整合，減少修復漏洞平均時間 (MTTR) 並簡化工作流程。

1. 近乎實時地管理漏洞
2. 適用於所有計算類型的綜合解決方案
3. 自動修補補丁
4. 無摩擦激活和管理
5. 持續漏洞監控
6. 優先和背景化的結果

Amazon Inspector 只需單一步驟，即可跨所有帳戶部署 Amazon Inspector，從而消除與部署和設定漏洞管理解決方案關聯的營運開銷。
使用 Inspector 的第一步是為您的賬戶或整個 AWS Organizations啟用它。
啟用後，Inspector 會自動掃描所選賬戶中的功能。
Inspector 是原生 AWS 服務；這意味著您不需要在您的函數或層中安裝庫或代理來使其工作。

Inspector 可以做到
自動發現和持續掃描，提供近乎即時的漏洞問題清單
透過設定委派管理員 (DA) 帳戶集中管理、設定和檢視所有組織帳戶的問題清單
每個問題清單的高度情境化和有意義的 Inspector 風險評分，可協助您設定更準確的回應優先級
直覺化的 Amazon Inspector 涵蓋指標儀表板，包括帳戶、Amazon EC2 執行個體、Lambda 函數，以及 Amazon Inspector 主動掃描的 Amazon Elastic Container Registry (ECR) 儲存庫
與 AWS Security Hub 和 Amazon EventBridge 整合以自動化工作流程和票證路由

你所使用的 AWS 服務是否需要任何代理才能使用 Amazon Inspector？
這取決於您要掃描的資源。Amazon EC2 執行個體的漏洞掃描需要 AWS Systems Manager Agent (SSM Agent)。Amazon EC2 執行個體的網路可連線性和容器映像的漏洞掃描，或 Lambda 函數的漏洞掃描不需要代理

幾個月前的 Log4j 漏洞就是一個很好的例子，表明僅在部署之前掃描函數中的漏洞是不夠的。
由於新漏洞隨時可能出現，因此當新漏洞發佈時，對工作負載進行持續監控和近乎實時的重新掃描對於應用程序的安全非常重要。
Amazon Inspector 即日起可用於使用 Java、NodeJS 和 Python 編寫的函數和層。
默認情況下，它會持續掃描您帳戶中的所有函數，但如果您想排除特定的 Lambda 函數，您可以將標籤附加到鍵InspectorExclusion和值中LambdaStandardScanning。
Amazon Inspector 最初在部署時掃描函數和層，並在工作負載發生變化時自動重新掃描它們，例如，更新 Lambda 函數或發布新漏洞CVE) 時。

除了函數之外，Amazon Inspector 還會掃描您的 Lambda 層
但是，它只掃描函數中使用的特定層版本。
如果圖層或圖層版本未被任何函數使用，則不會對其進行分析。
您可以在按 Lambda 函數篩選的 Amazon Inspector Findings 控制台中查看不同函數的結果。
當 Amazon Inspector 發現某些內容時，所有發現都會路由到AWS Security Hub和Amazon EventBridge，以便您可以構建自動化工作流程，例如向開發人員或系統管理員發送通知。

請問是否必須啟用特定的掃描類型 (即 Amazon EC2 掃描、Lambda 函數掃描或 Amazon ECR 容器映像掃描)？
如果您是第一次啟動 Amazon Inspector，預設會啟用所有掃描類型，包括 EC2 掃描、Lambda 掃描和 Amazon ECR 容器映像掃描。然而，您可以在組織的所有帳戶中停用其中任何一個或所有這些掃描。現有使用者可以在 Amazon Inspector 主控台中，或透過使用 Amazon Inspector API 來啟用新功能。

對於 Lambda 函數：主動掃描 所有新的 Lambda 函數在探索時都會進行初步評估，並在 Lambda 函數更新或發佈新 CVE 時不斷重新評估

問：如果 Lambda 函數有多個版本，Amazon Inspector 會評估哪個版本？Amazon Inspector 只會持續監控和評估 $LATEST 版本。只會針對最新版本繼續自動重新掃描，因此只會針對最新版本產生新的問題清單。在主控台中，您可以從下拉式清單中選擇版本來查看任何版本的問題清單。

問：是否需要任何代理才能使用 Amazon Inspector？

這取決於您要掃描的資源。Amazon EC2 執行個體的漏洞掃描需要 AWS Systems Manager Agent (SSM Agent)。Amazon EC2 執行個體的網路可連線性和容器映像的漏洞掃描，或 Lambda 函數的漏洞掃描不需要代理。

Amazon Inspector 對 AWS Lambda 函數和層的支持現已在美國東部（俄亥俄）、美國東部（弗吉尼亞北部）、美國西部（加利福尼亞北部）、美國西部（俄勒岡）、亞太地區（香港）全面推出、亞太地區（孟買）、亞太地區（首爾）、亞太地區（新加坡）、亞太地區（悉尼）、亞太地區（東京）、加拿大（中部）、歐洲（法蘭克福）、歐洲（愛爾蘭）、歐洲（倫敦） 、歐洲（米蘭）、歐洲（巴黎）、歐洲（斯德哥爾摩）、中東（巴林）、南美洲（聖保羅）。