这篇文章我们来看一个 AWS 提供的一个安全性检查 SaaS 服务-Amazon Inspector。

什么是 Amazon Inspector？

Amazon Inspector 是一个通过持续扫描你的 AWS 工作负载来寻找安全漏洞（vulnerabilit）的管理服务。AWS Inspector 能够自动发现并扫描 Amazon EC2 实例和 Amazon ECR 中的容器镜像中的软件漏洞（software vulnerability）和网络攻击暴露（network exposure）。

它检查什么？

首先需要明确的是，Amazon Inspector 的检查对象有两种：

• EC2 Instance

• ECR Image

这里注意和前面介绍过的 AWS Trusted Advisor 的区别。Trusted Advisor 里面也有对 Security 的检查，但检查对象时 AWS 基础设施的安全设置，而不是用户的工作负载。

扫描 EC2 instances

对于 EC2 实例，Amazon Inspector 扫描的漏洞包括软件漏洞（software vulnerability）和网络攻击暴露（network exposure)。Amazon Inspector 利用 AWS Systems Manager (SSM)和 SSM Agent 进行软件漏洞扫描。SSM Agent 在由 AMIs（Amazon Machine Images)创建的实例中是默认安装的，但你仍需要手动将其激活。

对网络攻击暴露的扫描则不需要安装 SSM Agent

扫描 ECR 容器镜像

对于 ECR 容器镜像，Amazon Inspector 只扫描软件漏洞（package vulnerability）。ECR 本身有一个默认的免费扫描服务 Basic scanning，但如果开启了 Amazon Inspector 扫描 Amazon ECR，则会替代默认的扫描服务。

它如何输出检查结果？

每当有软件漏洞或者网络被发现时，Amazon Inspector 会创建一个 finding。其中包括对漏洞的描述，识别被影响的资源，严重性等级以及修复指南。

对 Amazon Inspector 进行监控

之前介绍过 AWS CloudTrail，它也可以对 Amazon Inspector 的活动进行记录，包括控制台操作，API 调用和 SDK 调用，并以日志形式输出保存，以被后续审计查看之需。