Amazon Inspector
自动持续扫描 EC2 实例、Lambda 函数和容器镜像漏洞的安全评估服务
概述
Amazon Inspector 是一项自动检测 AWS 工作负载软件漏洞和网络暴露的安全服务。持续扫描 EC2 实例的 OS 包、Lambda 函数的依赖库、ECR 容器镜像包中的 CVE (Common Vulnerabilities and Exposures)。新 CVE 发布时自动重新扫描现有资源,即时识别受影响资源。检测结果按严重程度 (Critical、High、Medium、Low) 分类,可集中到 Security Hub 统一管理。
自动发现与持续扫描
Inspector 启用后自动发现账户内的 EC2 实例、Lambda 函数和 ECR 仓库,无需手动指定扫描目标。EC2 实例通过 SSM Agent 收集已安装包信息,无需部署额外代理。Lambda 函数在部署或更新时自动扫描依赖库。ECR 镜像在推送时和定期重新扫描时检查漏洞。当 NVD (National Vulnerability Database) 发布新 CVE 时,Inspector 自动对所有已扫描资源重新评估,无需等待下次定期扫描。这种持续扫描模式确保漏洞检测的时效性。
漏洞评分与优先级排序
Inspector 使用 Amazon Inspector Score 对每个发现进行评分,综合考虑 CVSS 基础分、网络可达性、漏洞利用可用性等因素。相比仅依赖 CVSS 分数,Inspector Score 更准确反映实际风险。例如同为 CVSS 9.0 的漏洞,面向互联网的 EC2 实例上的发现比私有子网内的发现评分更高。通过 EventBridge 可在 Critical 发现时自动触发修复工作流:创建 Systems Manager 补丁基线、触发 ECR 镜像重建管道、通知安全团队。与 Security Hub 集成后可跨账户聚合发现,按严重程度和资源类型进行组织级别的漏洞管理。
网络可达性分析与合规报告
Inspector 的网络可达性分析评估 EC2 实例的网络配置,检测从互联网可达的开放端口。分析安全组、网络 ACL、路由表、互联网网关的组合,识别非预期的网络暴露。这不依赖实际流量,而是基于配置的静态分析,即使端口上没有运行服务也能检测潜在风险。合规报告功能可生成符合 CIS Benchmark 等标准的评估报告,用于安全审计。SBOM (Software Bill of Materials) 导出功能可列出所有扫描资源的软件组件清单,满足供应链安全的可视化需求。