AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. 이용 약관
AWS re:Postre:Post

Amazon Inspector가 내 Amazon EC2 인스턴스를 스캔하지 않는 이유가 무엇인가요?

4분 분량
0

Amazon Inspector를 켰지만 Elastic Compute Cloud(Amazon EC2) 인스턴스를 스캔하지 않습니다. Amazon Inspector 대시보드 상태는 '관리되지 않는 EC2 인스턴스', '지원되지 않는 OS', '내부 오류', '초기 검사 보류 중' 또는 '인벤토리 없음'입니다.

간략한 설명

Amazon Inspector는 AWS Systems Manager와 AWS Systems Manager Agent(SSM Agent)를 사용하여 Amazon EC2 인스턴스에 설치된 소프트웨어 애플리케이션을 스캔합니다. 그러면 Amazon Inspector는 SSM Agent가 수집한 원격 측정 데이터를 스캔하여 소프트웨어 취약성을 검사합니다. Amazon Inspector 대시보드를 사용하여 Amazon EC2 인스턴스의 상태를 모니터링할 수 있습니다. 자세한 내용은 Amazon Inspector를 사용한 Amazon EC2 인스턴스 스캔을 참조하세요.

Amazon Inspector가 Amazon EC2 인스턴스를 스캔하지 않는 경우 다음을 확인하세요.

  • SSM Agent가 최신 버전입니다.
  • Amazon EC2 인스턴스가 실행 중입니다.
  • 운영 체제가 지원됩니다.
  • Systems Manager에 대한 연결이 구성되었습니다.
  • Systems Manager 연결 및 소프트웨어 애플리케이션이 구성되었습니다.

해결 방법

SSM Agent 버전 확인

Amazon EC2 인스턴스를 스캔하려면 Amazon Inspector에서 SSM Agent가 실행 중이어야 합니다. 이전 버전의 SSM Agent를 사용하는 경우 Amazon EC2 인스턴스를 스캔하려면 업데이트가 필요할 수도 있습니다. SSM Agent 업데이트 프로세스를 자동화하는 것이 모범 사례입니다. 자세한 내용은 SSM Agent 자동 업데이트를 참조하세요.

SSM Agent를 수동으로 업데이트하려는 경우 SSM Agent 알림을 구독합니다. 그런 다음, Run Command를 사용하여 SSM Agent를 업데이트합니다. GitHub 웹사이트에서 SSM Agent 릴리스 노트를 구독할 수도 있습니다.

Amazon EC2 인스턴스가 실행 중인지 확인

'EC2 인스턴스 중지됨' 상태는 인스턴스가 중지된 상태이기 때문에 Amazon Inspector에서 인스턴스 스캔을 일시 중지했음을 의미합니다. 기존 검색 결과는 인스턴스가 종료될 때까지 유지됩니다. 인스턴스가 다시 시작되면 Amazon Inspector는 자동으로 인스턴스 스캔을 재개합니다. Amazon EC2 인스턴스를 다시 시작하려면 인스턴스 중지 및 시작을 참조하세요.

운영 체제가 지원되는지 확인

'Unsupported OS(지원되지 않는 OS)' 상태는 Amazon EC2 인스턴스가 Amazon Inspector에서 지원하지 않는 운영 체제 또는 아키텍처를 사용함을 의미합니다. EC2 인스턴스 스캔에 지원되는 운영 체제를 나열하는 표는 Supported operating systems: Amazon EC2 scanning(지원되는 운영 체제: Amazon EC2 스캔)을 참조하세요.

운영 체제 버전을 확인하려면 Linux 또는 Windows의 경우 다음 단계를 따르세요.

Linux OS

다음 명령을 실행합니다.

cat /etc/os-release
lsb_release -a
hostnamectl

Windows OS

Windows 로고 키+R을 눌러 Open(열기) 상자에 msinfo32를 입력한 다음 OK(확인)을 선택합니다.

Systems Manager와의 연결 확인

참고: Amazon EC2 인스턴스가 Systems Manager 콘솔에 표시되지 않는 경우 추가 구성이 필요할 수 있습니다. 자세한 내용은 EC2 인스턴스가 Systems Manager 콘솔의 관리형 인스턴스 아래에 나타나지 않는 이유가 무엇인가요?를 참조하세요.

1.    Amazon Inspector와 동일한 리전 및 Amazon EC2 인스턴스에서Systems Manager 콘솔을 엽니다.

2.    탐색 창에서 Fleet Manager(플릿 관리자)를 선택합니다.

3.    Managed nodes(관리형 노드)에서 SSM Agent ping status(SSM Agent 핑 상태)를 확인합니다. 상태가 Online(온라인)이면 Amazon EC2 인스턴스가 SSM Agent에 연결되어 있음을 의미합니다.

SSM Agent ping status(SSM Agent 핑 상태)가 Connection Lost(연결 끊김)인 경우 Amazon EC2 인스턴스가 Systems Manager 사전 조건을 충족하는지 확인하세요. SSM Agent 버전 3.1.501.0 이상을 사용하는 경우 ssm-cli 명령줄 도구를 사용하여 추가 진단 및 문제 해결을 수행할 수 있습니다. 자세한 내용은 ssm-cli를 사용한 Amazon EC2 관리형 인스턴스 가용성 문제 해결을 참조하세요.

또한 AWSSupport-TroubleshootManagedInstance Systems Manager Automation 문서를 실행하여 해당 인스턴스가 관리형 인스턴스로 등록되기 위한 사전 요구 사항을 충족하는지 확인할 수 있습니다. 자세한 내용은 AWSSupport-TroubleshootManagedInstance를 참조하세요.

Systems Manager 연결 및 소프트웨어 응용 프로그램 확인

Amazon Inspector에서 소프트웨어 애플리케이션 인벤토리를 수집하려면 계정에 System Manager 상태 관리자 연결이 필요합니다. Amazon Inspector는 InspectorInventoryCollection-do-not-delete라는 연결을 자동으로 생성합니다. '인벤토리 없음' 상태는 Amazon Inspector에서 Amazon EC2 인스턴스를 스캔할 소프트웨어 애플리케이션 인벤토리를 찾지 못했음을 의미합니다.

연결 상태 확인

1.    Amazon Inspector와 동일한 리전 및 Amazon EC2 인스턴스에서Systems Manager 콘솔을 엽니다.

2.    탐색 창에서 State Manager(상태 관리자)를 선택합니다.

3.    Associations(연결)에서 InspectorInventoryCollection-do-not-delete 연결이 존재하고 Status(상태)가 Success(성공)인지 확인합니다.

4.    InspectorInventoryCollection-do-not-delete 연결이 존재하지 않는 경우 모든 Amazon EC2 인스턴스에서 AWS-GatherSoftwareInventory 문서를 실행합니다. 스캔하지 않은 Amazon EC2 인스턴스의 Association id(연결 id)를 선택한 다음 Execution history(실행 내역) 탭을 선택하여 자세한 내용을 확인합니다.

5.    InspectorInventoryCollection-do-not-delete 연결 Status(상태)가 Failed(실패)로 표시되는 경우 Association id(연결 id)를 선택한 다음 Apply association now(지금 연결 적용)를 선택합니다.

6.    InspectorInventoryCollection-do-not-delete 연결 Status(상태)를 다시 확인하여 Failed(실패)에서 Success(성공)로 변경되었는지 확인합니다.

참고: Windows의 경우 Windows EC2 인스턴스를 스캔하려면 Amazon Inspector SSM 플러그인이 필요합니다. EC2 스캔이 활성화되면 Amazon Inspector는 Windows 리소스에 대해 새로운 SSM 연결 InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-delete, InvokeInspectorSsmPlugin-do-not-delete를 생성합니다. 이러한 연결 Status(상태)가 하나라도 Failed(실패)인 경우 연결을 다시 적용해보세요. InspectorSsmPlugin.exe 파일이 삭제된 경우 InspectorDistributor-do-not-delete SSM 연결은 다음 Windows 스캔에서 플러그인을 다시 설치합니다. 자세한 내용은 Scanning Windows EC2 instances with Amazon Inspector(Amazon Inspector를 사용하여 Windows EC2 인스턴스 스캔)를 참조하세요.

소프트웨어 애플리케이션이 노드에 있는지 확인

Amazon EC2 인스턴스용 인벤토리에 소프트웨어 패키지가 있는지 확인하세요.

1.    Amazon Inspector와 동일한 리전 및 Amazon EC2 인스턴스에서Systems Manager 콘솔을 엽니다.

2.    탐색 창에서 Fleet Manager(플릿 관리자)를 선택합니다.

3.    Managed nodes(관리형 노드)에서 Node ID(노드 ID)를 선택한 다음 Inventory(인벤토리) 탭을 선택하여 소프트웨어 애플리케이션을 확인합니다.

소프트웨어 애플리케이션 인벤토리 비율 확인

30분마다 실행되도록 인벤토리 수집 속도를 설정하는 것이 가장 좋습니다. InspectorInventoryCollection-do-not-delete 연결을 편집하고 cron 표현식 속도를 30분으로 설정합니다.

관련 정보

AWS 환경의 Amazon Inspector 적용 범위 평가

Amazon EC2 인스턴스에서 보안 평가를 실행하도록 Amazon Inspector Classic을 설정하려면 어떻게 해야 하나요?

주제
보안, 신원 및 규정 준수
태그
Amazon Inspector
언어
한국어
AWS 공식
AWS 공식업데이트됨 2달 전
댓글 없음

관련 콘텐츠