Amazon Inspector가 내 Amazon EC2 인스턴스를 검사하지 않는 이유는 무엇인가요?

4분 분량
0

Amazon Inspector를 켰지만 Elastic Compute Cloud(Amazon EC2) 인스턴스를 스캔하지 않습니다. Amazon Inspector 대시보드 상태는 “관리되지 않는 EC2 인스턴스”, “지원되지 않는 OS”, “내부 오류”, “초기 스캔 보류 중” 또는 “인벤토리 없음”입니다.

간략한 설명

Amazon Inspector는 AWS Systems Manager 및 AWS Systems Manager Agent(SSM Agent)를 사용하여 Amazon EC2 인스턴스에 설치된 소프트웨어 애플리케이션을 검사합니다. 그런 다음 SSM 에이전트가 수집한 원격 측정 데이터는 Amazon Inspector에서 소프트웨어 취약성을 검사합니다. Amazon Inspector 대시보드를 사용하여 Amazon EC2 인스턴스의 상태를 모니터링할 수 있습니다. 자세한 내용은 Amazon Inspector로 Amazon EC2 인스턴스 스캔하기를 참조하세요.

Amazon Inspector가 Amazon EC2 인스턴스를 스캔하지 않는 경우, 다음을 확인하세요.

  • SSM 에이전트가 최신 버전입니다.
  • Amazon EC2 인스턴스가 실행 중입니다.
  • 운영 체제가 지원됩니다.
  • Systems Manager에 대한 연결이 구성되었습니다.
  • Systems Manager 연결 및 소프트웨어 응용 프로그램이 구성되어 있습니다.

해결 방법


SSM 에이전트 버전 확인

Amazon Inspector에서 Amazon EC2 인스턴스를 스캔하려면 SSM 에이전트가 실행 중이어야 합니다. 이전 버전의 SSM 에이전트를 사용하는 경우, Amazon EC2 인스턴스를 성공적으로 스캔하려면 업데이트해야 할 수 있습니다. SSM 에이전트 업데이트 프로세스를 자동화하는 것이 좋습니다. 지침은 SSM 에이전트 자동 업데이트를 참조하세요.

SSM 에이전트를 수동으로 업데이트하려면 SSM 에이전트 알림을 구독합니다. 그런 다음 명령 실행을 사용하여 SSM 에이전트를 업데이트합니다. GitHub 웹 사이트에서 SSM 에이전트 릴리스 노트를 구독할 수도 있습니다.

Amazon EC2 인스턴스가 실행 중인지 확인

"EC2 인스턴스 중지됨" 상태는 인스턴스가 중지된 상태이기 때문에 Amazon Inspector가 인스턴스 스캔을 일시 중지했음을 의미합니다. 기존 조사 결과는 인스턴스가 종료될 때까지 지속됩니다. 인스턴스가 다시 시작되면 Amazon Inspector가 자동으로 인스턴스 스캔을 다시 시작합니다. Amazon EC2 인스턴스를 다시 시작하려면 인스턴스 중지 및 시작을 참조하세요.

운영 체제가 지원되는지 확인

"지원되지 않는 OS" 상태는 Amazon EC2 인스턴스가 Amazon Inspector가 지원하지 않는 운영 체제 또는 아키텍처를 사용한다는 것을 의미합니다. EC2 인스턴스 검사에 지원되는 운영 체제가 나열된 표는 지원되는 운영 체제: Amazon EC2 스캐닝을 참조하세요.

운영 체제 버전을 확인하려면 Linux 또는 Windows의 경우 다음 단계를 따르세요.

Linux OS

다음 명령을 실행합니다.

cat /etc/os-release
lsb_release -a
hostnamectl

Windows OS

Windows 로고 키 + R을 선택하고 열기 상자에 msinfo32를 입력한 다음 확인을 선택합니다.

Systems Manager와의 연결 확인

참고: Amazon EC2 인스턴스가 Systems Manager 콘솔에 나타나지 않으면 추가 구성이 필요할 수 있습니다. 자세한 내용은 Systems Manager에서 EC2 인스턴스가 관리되는 노드로 표시되지 않거나 "연결이 끊어짐" 상태가 표시되는 이유를 참조하세요.

  1. Amazon Inspector 및 Amazon EC2 인스턴스와 동일한 리전에서 Systems Manager 콘솔을 엽니다.

  2. 탐색 창에서 Fleet Manager를 선택합니다.

  3. 관리형 노드에서 SSM 에이전트 핑 상태를 확인합니다. 상태가 Online이면 Amazon EC2 인스턴스가 SSM 에이전트에 연결되어 있는 것입니다.

SSM 에이전트 핑 상태연결 끊김이면 Amazon EC2 인스턴스가 Systems Manager 사전 요구 사항을 충족하는지 확인하세요. SSM 에이전트 버전 3.1.501.0 이상을 사용하는 경우 ssm-cli 명령줄 도구를 사용하여 추가 진단 및 문제 해결을 수행할 수 있습니다. 자세한 내용은 ssm-cli를 사용하여 Amazon EC2 관리형 인스턴스 가용성 문제 해결을 참조하세요.

또한 AWSSupport-TroubleshootManagedInstance Systems Manager Automation 문서를 실행하여 인스턴스가 관리되는 인스턴스로 나열되기 위한 사전 요구 사항을 충족하는지 확인할 수도 있습니다. 자세한 내용은 AWSSupport-TroubleshootManagedInstance를 참조하세요.

System Manager 연결 및 소프트웨어 애플리케이션 확인

Amazon Inspector에서 소프트웨어 애플리케이션 인벤토리를 수집하려면 계정에 Systems Manager State Manager 연결이 필요합니다. Amazon Inspector는 InspectorInventoryCollection-do-not-delete라는 연결을 자동으로 생성합니다. "인벤토리 없음" 상태는 Amazon Inspector가 Amazon EC2 인스턴스에서 스캔할 소프트웨어 애플리케이션 인벤토리를 찾지 못했음을 의미합니다.

연결 상태 확인

  1. Amazon Inspector 및 Amazon EC2 인스턴스와 동일한 리전에서 Systems Manager 콘솔을 엽니다.

  2. 탐색 창에서 State Manager를 선택합니다.

  3. Associations에서 InspectorInventoryCollection-do-not-delete 연결이 존재하고 StatusSuccess인지 확인합니다.

  4. InspectorInventoryCollection-do-not-delete 연결이 존재하지 않는 경우, 모든 Amazon EC2 인스턴스에서 AWS-GatherSoftwareInventory 문서를 실행합니다. 스캔하지 않은 Amazon EC2 인스턴스에 대한 연결 id를 선택한 다음 실행 내역 탭을 선택하여 자세한 내용을 확인합니다.

  5. InspectorInventoryCollection-do-not-delete 연결 Status실패인 경우 연결 id를 선택한 다음 지금 연결 적용을 선택합니다.

  6. InspectorInventoryCollection-do-not-delete 연결 Status를 다시 확인하여 Failed에서 Success로 변경되었는지 확인합니다.

참고: Windows의 경우, Windows EC2 인스턴스를 스캔하려면 Amazon Inspector SSM 플러그인이 필요합니다. EC2 스캔이 활성화되면 Amazon Inspector는 Windows 리소스에 대해 새 SSM 연결 InspectorDistributor-do-not-delete, InspectorInventoryCollection-do-not-deleteInvokeInspectorSsmPlugin-do-not-delete을 생성합니다. 이러한 연결 Status 중 하나라도 Failed인 경우 연결을 다시 적용해 보세요. InspectorSsmPlugin.exe 파일이 삭제된 경우 InspectorDistributor-do-not-delete SSM 연결은 다음 Windows 검사 시 플러그인을 다시 설치합니다. 자세한 내용은 Amazon Inspector로 Windows EC2 인스턴스 스캔하기를 참조하세요.

소프트웨어 애플리케이션이 노드에 있는지 확인합니다.

Amazon EC2 인스턴스에 대한 인벤토리에 소프트웨어 패키지가 있는지 확인합니다.

  1. Amazon Inspector 및 Amazon EC2 인스턴스와 동일한 리전에서 Systems Manager 콘솔을 엽니다.

  2. 탐색 창에서 Fleet Manager를 선택합니다.

  3. 관리형 노드에서 노드 ID를 선택한 다음 인벤토리 탭을 선택하여 소프트웨어 애플리케이션을 확인합니다.

소프트웨어 애플리케이션 인벤토리 비율 확인

인벤토리 수집 속도를 30분마다 실행하도록 설정하는 것이 가장 좋습니다. InspectorInventoryCollection-do-not-delete 연결을 편집하고 크론 표현식 속도를 30분으로 설정합니다.

관련 정보

AWS 환경의 Amazon Inspector 적용 범위 평가

Amazon EC2 인스턴스에서 보안 평가를 실행하도록 Amazon Inspector Classic을 설정하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음