Amazon Inspector 自动漏洞扫描 - EC2、Lambda、ECR 的持续安全评估
自动扫描 EC2 实例、ECR 容器镜像和 Lambda 函数的漏洞,通过基于 CVE 的风险评分确定优先级。解析通过 Systems Manager 代理集成实现无代理扫描的方法。
Inspector 概述
Amazon Inspector 是自动扫描 EC2 实例、ECR 容器镜像和 Lambda 函数漏洞的安全评估服务。Inspector v2 从 v1 大幅刷新,只需启用即可自动发现目标资源并持续执行扫描。与 CVE (Common Vulnerabilities and Exposures) 数据库比对,为每个漏洞分配考虑网络可达性和可利用性的上下文风险评分。
扫描对象与检测方法
EC2 实例扫描通过 Systems Manager (SSM) 代理执行。安装了 SSM 代理的实例自动成为扫描对象,检测 OS 包(Amazon Linux、Ubuntu、Windows 等)的漏洞。还提供无代理扫描,无需 SSM 代理即可基于 EBS 快照进行漏洞检测。ECR 容器镜像在推送时自动扫描,检测 OS 包和编程语言包(npm、pip、Maven 等)的漏洞。Lambda 函数扫描检测函数代码中使用的第三方库的漏洞。
检测结果管理与集成
检测到的漏洞在 Inspector 控制台仪表板中列表显示,提供风险评分、受影响资源和修复方法。通过抑制规则可隐藏已确认的漏洞或误报,集中处理需要应对的漏洞。通过与 Security Hub 集成,可将 Inspector 的检测结果与其他安全服务(GuardDuty、Macie、Config)的结果统一管理,实现组织级安全态势的一元化。通过 EventBridge 在检测到高严重度漏洞时自动触发 Lambda 进行修复。
Inspector 费用
Inspector 的费用因扫描对象资源类型而异。EC2 实例扫描每实例月费约 1.2528 美元。ECR 容器镜像首次扫描每镜像约 0.09 美元,重新扫描每镜像约 0.01 美元。Lambda 函数扫描每函数月费约 0.30 美元。免费试用期为启用后 15 天,全功能可用。
总结
Amazon Inspector 是自动检测 EC2、ECR、Lambda 漏洞并通过上下文风险评分确定优先级的安全评估服务。同时支持 SSM 代理集成和无代理扫描,通过与 Security Hub 和 EventBridge 联动实现从检测到修复的工作流自动化。