AWS Inspector 서비스

Amazon Inspector란?

Amazon EC2, Amazon ECR 컨테이너 이미지 등을 지속적으로 스캔하여

소프트웨어 취약성과 의도하지 않은 네트워크 노출이 있는지 검사하는 서비스 이다.

 

소프트웨어 취약점이나 네트워크 문제가 발견되면 Inspector에서 검색 결과를 생성해 준다.

검색 결과는 취약성을 설명하고, 영향을 받는 리소스를 식별하며, 취약성의 심각도를 평가하며, 수정 지침을 제공한다.

 

Inspector 콘솔을 사용하여 계정에 대한 검색 결과에 대한 세부 정보를 여러 가지 방법으로 분석하거나 다른 항목을 통해 검색 결과를 보고 처리할 수 있다.

 

Amazon Inspector 사용해보기

1. Inspector 활성화

- 활성화 후 대시보드 자동 생성

 

EC2 인스턴스 Inspector 적용 시 필요 사항

• EC2 인스턴스 취약점 스캔 시, SSM Agent 설치가 필요 (Amazon Linux 2 경우 Default로 설치 되어 있음)
• IAM 역할 - AmazonSSMManagedInstanceCore 필요

 

EC2 인스턴스 Inspector 등록

1. systemctl status amazon-ssm-agent 서비스 확인

2. 설치가 안되어 있을 시 amazon-ssm-agent 설치 방법

- sudo yum install -y https://s3.amazonaws.com/ec2-downloads- windows/SSMAgent/latest/linux_amd64/amazon-ssm-agent.rpm

 

IAM AmazonSSMManagedInstanceCore 역할 생성

1. 역할만들기

 

2. 신뢰할 수 있는 엔터티 > AWS 서비스 선택

 

3. 사용사례 > 서비스 또는 사용 사례 > EC2 선택 > 다음

4. 권한 추가 > 검색 - AmazonSSMManagedInstanceCore > 선택 > 다음

5. 이름 지정, 검토 및 생성 > 역할 세부 정보> 역할 이름 작성 > 역할 생성

 

EC2 인스턴스 역할 지정

1. Inspector 활용할 인스턴스 선택 > 우클릭 > 보안 > IAM 역할 수정

2. IAM 역할 수정 > IAM 역할 > 생성한 EC2_Inspector_role 선택 > IAM 역할 업데이트

Inspector 인스턴스 등록 확인

→ 인스턴스에 IAM 역할 등록 후 5~10분 지나야 Inspector 인스턴스 등록 됨.

 

Amazon Inspector 컨테이너 이미지별 / 컨테이너 리포지토리 별

별도의 설정 없이 ECR 리포지토리에 기존의 이미지와 새로운 이미지가 생성이 되면 자동으로 적용이 된다.