Allgemeines

F: Was ist Amazon Inspector?

Amazon Inspector ist ein automatisierter Service zur Sicherheitsbewertung, der Ihnen beim Testen der Netzverfügbarkeit Ihrer Amazon EC2-Instances und des Sicherheitsstatus der auf diesen Instances ausgeführten Anwendungen hilft.

Was kann ich mit Amazon Inspector tun?

Amazon Inspector ermöglicht es Ihnen, Sicherheitslücken innerhalb Ihrer Entwicklungs- und Bereitstellungs-Pipeline sowie in statischen Produktionssystemen automatisch zu bewerten. Sie können dadurch Sicherheitstests regelmäßig im Rahmen der Entwicklungs- und IT-Vorgänge ausführen. Amazon Inspector ist ein über APIs bedienter Service mit optionalem Agenten, der die Bereitstellung, Verwaltung und Automatisierung vereinfacht. Amazon Inspector-Bewertungen werden als vordefinierte Regelpakete passend zu bewährten Sicherheitsmethoden und Schwachstellendefinitionen bereitgestellt.

Was beinhaltet der Amazon Inspector-Service?

Amazon Inspector besteht aus einer Technologie, die Ihre Netzwerkkonfigurationen in AWS auf Erreichbarkeit prüft, einen von Amazon entwickelten Agenten, der im Betriebssystem Ihrer Amazon EC2-Instance installiert wird, sowie einem Sicherheitsbewertungsservice, der Ihre Instances mithilfe der Telemetrie des Agenten und der AWS-Konfiguration hinsichtlich Sicherheitsrisiken und Schwachstellen untersucht.

Was ist eine Bewertungsvorlage?

Eine Bewertungsvorlage ist eine Konfiguration, die Sie in Amazon Inspector erstellen, um den Bewertungsvorgang zu definieren. Diese Bewertungsvorlage enthält ein Regelpaket, mit dem Sie Amazon Inspector anweisen, folgendes zu bewerten: Ihr Bewertungsziel, die Dauer des Bewertungsvorgangs, Themen des Amazon Simple Notification Service (SNS), an die Amazon Inspector Benachrichtigungen zum Status und den Ergebnissen des Bewertungsvorgangs senden soll, sowie Amazon Inspector-spezifische Attribute (Schlüssel/Wert-Paare), die Sie den Ergebnissen des Bewertungsvorgangs zuweisen können.

Was ist ein Bewertungsvorgang?

Mit einem Bewertungsvorgang ermitteln Sie potenzielle Sicherheitsrisiken. Zu diesem Zweck werden die Konfiguration, das Verhalten und die installierte Software des Bewertungsziels anhand spezieller Regelpakete analysiert. Wenn das Regelpaket zur Untersuchung der Netzverfügbarkeit enthalten ist, analysiert Inspector Ihre Netzwerkkonfigurationen in AWS auf Erreichbarkeit Ihrer EC2-Instances im Netzwerk. Ist der Inspector-Agent auf einer Instance installiert, erfasst und überträgt er die Software- und Konfigurationsdaten der Hosts. Diese Daten analysiert und vergleicht der Inspector-Service mit den angegebenen Regelpaketen. Ein abgeschlossener Bewertungsvorgang liefert eine Liste mit potenziellen Sicherheitsrisiken.

Wird die Leistung durch eine Amazon Inspector-Bewertung beeinträchtigt?

Die agentenlose Bewertung der Netzverfügbarkeit anhand der Regelpakete beeinträchtigt die Anwendungsleistung nicht. Die Erfassung der Daten durch den Amazon Inspector-Agenten wirkt sich geringfügig auf die Leistung aus.

Was ist ein Bewertungsziel?

Ein Bewertungsziel repräsentiert eine Sammlung von Amazon EC2-Instances, die Sie überprüfen lassen wollen. In der Regel geben Sie hier Instances an, die gemeinsam zum Erreichen Ihrer Geschäftsziele beitragen. Amazon Inspector überprüft den Sicherheitsstatus Ihrer EC2-Instances. Als Bewertungsziel können Sie alle Ihre Instances oder mittels Amazon EC2-Tags auch nur einen Teilsatz davon angeben.

Was ist ein Bewertungsergebnis?

Ein Bewertungsergebnis ist ein potenzielles Sicherheitsrisiko, das während des Bewertungsvorgangs von Amazon Inspector für das angegebene Ziel ermittelt wurde. Bewertungsergebnisse werden in der Amazon Inspector-Konsole angezeigt oder über die API abgerufen. Sie enthalten neben einer detaillierten Beschreibung des Sicherheitsrisikos auch eine Empfehlung zur Behebung des Problems.

Was ist ein Regelpaket?

Ein Regelpaket ist eine Sammlung von Sicherheitsprüfungen, die im Rahmen einer Bewertungsvorlage und eines Bewertungsvorgangs konfiguriert werden können. Amazon Inspector bietet zwei Arten von Regelpaketen, eines mit Regeln zur Überprüfung der Netzverfügbarkeit Ihrer Amazon EC2-Instances sowie Regelpakete zur Hostbewertung, die Ihre Amazon EC2-Instances auf Schwachstellen und unsichere Konfigurationen untersuchen. Die Regelpakete zur Hostbewertung beinhalten Prüfungen auf häufige Sicherheitslücken und Exploits (Common Vulnerabilities and Exploits, CVEs), CIS-Benchmarks für Betriebssystemkonfigurationen sowie bewährte Sicherheitsmethoden. Eine vollständige Liste der verfügbaren Regelpakete finden Sie in der Dokumentation zu Amazon Inspector.

Kann ich eigene Regeln für Bewertungsvorlagen festlegen?

Nein. Derzeit können für Bewertungsvorgänge nur die vordefinierten Regeln verwendet werden.

Welche auf Hosts installierten Softwarepakete kann Inspector auf Schwachstellen untersuchen?

Amazon Inspector findet Anwendungen durch Abfragen des Paket-Managers oder des Softwareinstallationssystems auf dem Betriebssystem, auf dem der Agent installiert ist. Das bedeutet, dass Software, die durch den Paket-Manager installiert wurde, hinsichtlich Schwachstellen analysiert wird. Die Version und die Patch-Stufe von Software, die nicht durch diese Methoden installiert wurde, werden von Inspector nicht erkannt. Beispiel: Software, die über apt, yum oder Microsoft Installer installiert wurde, wird von Inspector analysiert. Software, die durch "make config"/"make install" installiert wird oder durch Binärdateien, die direkt mithilfe von Automatisierungssoftware wie Puppet oder Ansible auf das System kopiert werden, werden von Inspector nicht analysiert.

Was ist ein Bewertungsbericht und was beinhaltet er?

Ein Amazon Inspector-Bewertungsbericht kann nach Abschluss einer erfolgreichen Bewertung generiert werden. In einem Bewertungsbericht finden Sie Details zu den bewerteten Faktoren sowie den Ergebnissen. Die Ergebnisse Ihrer Bewertung werden in einem Standardbericht formatiert, den Sie mit Ihrem Team teilen können, um direkt Maßnahmen zu ergreifen. Er eignet sich auch als Ergänzung für komplexe Prüfdaten oder zur Speicherung als spätere Referenz.

Es stehen Ihnen für die Bewertung zwei Berichtstypen zur Verfügung: ein Ergebnisbericht und ein vollständiger Bericht. Der Ergebnisbericht enthält eine Zusammenfassung der Bewertung, die bewerteten Instances, die getesteten Regelpakete, die für die Ergebnisgenerierung verwendeten Regeln sowie detaillierte Informationen zu jeder dieser Regeln zusammen mit der Liste der Instances, bei denen während der Prüfung ein Fehler aufgetreten ist. Der vollständige Bericht enthält zusätzlich zu den Informationen des Ergebnisberichts die Liste der Regeln, die bei allen Instances geprüft und erfüllt wurden.

Was geschieht, wenn einige meiner Agenten während einer Prüfung nicht verfügbar sind?

Amazon Inspector-Bewertungen mit dem Regelpaket zur Netzverfügbarkeit können für jede Amazon EC2-Instance ohne Agenten ausgeführt werden. Für die Regelpakete zur Hostbewertung ist der Agent hingegen erforderlich. Amazon Inspector erfasst die Schwachstellendaten aller verfügbaren Agenten und gibt Informationen zu den jeweiligen Sicherheitsproblemen zurück. Darüber hinaus generiert Inspector Ausnahmen, die auf EC2-Instances hinweisen, auf denen entweder kein Agent installiert ist oder deren Agent beschädigt ist.

Wie werden Agenten nicht mehr verfügbar?

Amazon Inspector-Agenten können aus einer Reihe von Gründen nicht verfügbar sein, beispielsweise aus den folgenden: Die EC2-Instance ist heruntergefahren oder antwortet nicht, auf der Ziel-Instance ist kein Agent installiert, der installierte Agent ist nicht verfügbar oder er kann keine Schwachstellendaten zurückgeben.

Was kostet Amazon Inspector?

Die Preise für Amazon Inspector richten sich nach der Anzahl der bewerteten Amazon EC2-Instances und den für die Bewertungen ausgewählten Regelpaketen. Für Ihre Inspector-Bewertungen können Sie beliebige Kombinationen der Regelpakete zur Hostbewertung und zur Überprüfung der Netzverfügbarkeit wählen. Die Regelpakete zur Hostbewertung beinhalten Prüfungen auf häufige Sicherheitslücken und Exploits (Common Vulnerabilities and Exploits, CVEs), CIS-Benchmarks, bewährte Sicherheitsmethoden sowie Analysen des Laufzeitverhaltens. Wenn Ihre Bewertungen sowohl Hostbewertungen als auch die Überprüfung der Netzverfügbarkeit beinhalten, werden Ihnen diese beiden Regeltypen getrennt in Rechnung gestellt. Der Abrechnungszeitraum für die bedarfsabhängige Zahlungsweise beträgt einen Kalendermonat. Sämtliche Preisangaben finden Sie auf der Seite mit der Preisübersicht zu Amazon Inspector.

Preisbeispiel:

Dieses Beispiel geht von einem Szenario mit folgenden Bewertungsvorgängen innerhalb eines Monats aus, wobei sämtliche Bewertungsvorgänge sowohl Regelpakete zur Hostbewertung als auch das Regelpaket zur Überprüfung der Netzverfügbarkeit beinhalten. Auf allen EC2-Instances ist der Inspector-Agent installiert.

1 Bewertungsvorgang an 1 Instance
1 Bewertungsvorgang an 10 Instances
10 Bewertungsvorgänge an je 2 Instances
30 Bewertungsvorgänge an je 10 Instances

Für die oben aufgeführten Amazon Inspector-Bewertungsvorgänge innerhalb eines gegebenen Abrechnungszeitraum würden insgesamt 331 Hostagentenbewertungen und 331 Überprüfungen der Netzverfügbarkeit einer Instance berechnet werden.

Der Preis jeder einzelnen Host- und Netzverfügbarkeitsbewertung basiert auf einem gestaffelten Preismodell. Je mehr Agentenbewertungen Sie in einem gegebenen Abrechnungszeitraum ausführen, desto günstiger wird der Preis pro Agentenbewertung.

Die Gebühren für Amazon Inspector innerhalb eines Abrechnungszeitraums staffeln sich in diesem Szenario wie folgt:

Für die Regelpakete zur Hostbewertung:
Erste 250 Agentenbewertungen zu 0,30 USD pro Agentenbewertung
Nächste 81 Agentenbewertungen zu 0,25 USD pro Agentenbewertung

Für das Regelpaket zur Überprüfung der Netzverfügbarkeit:
Erste 250 Instance-Bewertungen zu 0,15 USD pro Instance-Bewertung
Nächste 81 Instance-Bewertungen zu 0,13 USD pro Instance-Bewertung

Die Gebühren für Amazon Inspector beliefen sich in diesem Abrechnungszeitraum also auf 143,28 USD (95,25 USD für die Hostagentenbewertungen und 48,03 USD für die Überprüfung der Netzverfügbarkeit der Instances).

Gibt es eine kostenlose Testversion von Amazon Inspector?

Ja. Für Konten, für die noch nie eine Amazon Inspector-Bewertung ausgeführt wurde, gibt es ein kostenloses Kontingent für 250 Agentenbewertungen mit Host-Regelpaketen und 250 Instance-Bewertungen mit dem Regelpaket zur Überprüfung der Netzverfügbarkeit. Dieses Kontingent muss innerhalb von 90 Tagen aufgebraucht werden.

Welche Betriebssysteme unterstützt Amazon Inspector?

Eine aktuelle Liste der von Amazon Inspector unterstützten Betriebssysteme finden Sie in der Dokumentation zu Amazon Inspector. Bewertungen mit dem Regelpaket zur Netzverfügbarkeit können unabhängig vom Betriebssystem für jede Amazon EC2-Instance ohne Agenten ausgeführt werden. Allerdings gibt die Bewertung bei installiertem Inspector-Agent genauere Ergebnisse zurück, die auch die auf Ihren EC2-Instances erreichbaren Softwareprozesse enthalten.

In welchen Regionen ist Amazon Inspector verfügbar?

Eine aktuelle Liste der unterstützten Regionen finden Sie in der Amazon Inspector Dokumentation.

Welche Linux-Kernelversionen werden für Amazon Inspector-Bewertungen unterstützt?

Für eine EC2-Instance mit Linux-basiertem Betriebssystem können Sie mit den Regelpaketen für die Überprüfung der Netzverfügbarkeit, für Common Vulnerabilities and Exposures (CVE), für CIS-Benchmarks oder für bewährte Sicherheitsmethoden unabhängig von der Kernelversion erfolgreiche Bewertungen ausführen. Für eine Bewertung mit dem Regelpaket zur Analyse des Laufzeitverhaltens (Runtime Behavior Analysis) muss Ihre Linux-Instance dagegen eine Kernelversion aufweisen, die Amazon Inspector unterstützt. Eine aktuelle Liste der Linux-Kernelversionen, die für Amazon Inspector-Analysen unterstützt werden, finden Sie hier.

Amazon Inspector klingt großartig, was sind die ersten Schritte?

Registrieren Sie sich über die AWS-Managementkonsole bei Amazon Inspector. Auf der Begrüßungsseite können Sie mit nur einem Mausklick geplante Überprüfungen der Netzverfügbarkeit für Ihr gesamtes Konto aktivieren. Hier können Sie auch den optionalen Inspector-Agenten auf Ihren EC2-Instances installieren, um die Regelpakete zur Hostbewertung zu aktivieren. Mit den erweiterten Setup-Optionen können Sie die zu bewertenden EC2-Instances, die Auswahl der Regelpakete und die Benachrichtigungen über die Bewertungsergebnisse anpassen. Nach jedem Bewertungsvorgang gibt Inspector die Ergebnisse mit den in Ihrer Umgebung vorgefundenen Sicherheitsproblemen zurück.

Muss der Amazon Inspector-Agent auf allen zu bewertenden EC2-Instances installiert sein?

Nein. Amazon Inspector-Bewertungen mit dem Regelpaket zur Netzverfügbarkeit können für jede Amazon EC2-Instance ohne Agenten ausgeführt werden. Für die Regelpakete zur Hostbewertung ist der Agent hingegen erforderlich.

Wie wird der Amazon Inspector-Agent installiert?

Es gibt mehrere Möglichkeiten, den Agenten zu installieren. Für einfache Installationen kann er manuell auf den einzelnen Instanzen installiert oder mit dem AWS Systems Manager Run Command Dokument (AmazonInspector-ManageAWSAgent) einmalig geladen werden. Bei größeren Bereitstellungen können Sie beim Konfigurieren der Instanzen mit der EC2-Benutzerdatenfunktion die Agenteninstallationen automatisieren oder mit AWS Lambda automatische Installationen erstellen. Sie können eine EC2 Instance zudem mit dem Amazon Linux-AMI über den vorinstallierten Amazon Inspector-Agenten der EC2-Konsole oder den AWS Marketplacestarten.

Wie prüfe ich, ob der Amazon Inspector-Agent auf meinen EC2 Instances installiert wurde und fehlerfrei ist?

Sie können den Status des Amazon Inspector-Agenten für alle EC2 Instances Ihres Bewertungsziels mit der Funktion "Vorschau für Ziele anzeigen" der Inspector-Konsole sowie über eine Abfrage der PreviewAgents-API anzeigen. Der Agentenstatus gibt an, ob der Agent auf der EC2 Instance installiert wurde, und ob er sich in fehlerfreiem Zustand befindet. Neben dem Status des Inspector-Agenten auf der Ziel-EC2 Instance werden für die einzelnen Instanzen die Instanz-ID, der öffentliche Hostname, (sofern definiert) die öffentliche IP-Adresse sowie Links zur EC2-Konsole angezeigt.

Greift Amazon Inspector auf andere AWS-Services meines Kontos zu?

Amazon Inspector muss Ihre EC2-Instances und -Tags auflisten, um die für das Bewertungsziel angegebenen Instances zu identifizieren und Ihre AWS-Netzwerkkonfigurationen zu lesen. Zugriff auf diese Daten erhält Amazon Inspector über eine mit dem Service verknüpfte Rolle, die in Ihrem Namen erstellt wird, wenn Sie Inspector zum ersten Mal als neuer Kunde oder in einer neuen Region verwenden. Die serviceverknüpfte Inspector-Rolle wird von Amazon Inspector verwaltet, Sie müssen sich also keine Sorgen um das versehentliche Widerrufen von Berechtigungen machen, die vom Amazon Inspector benötigt werden. Für einige vorhandene Kunden wird möglicherweise eine beim erstmaligen Starten von Inspector registrierte IAM-Rolle dazu verwendet, solange auf andere AWS-Services zuzugreifen, bis die dienstverknüpfte Inspector-Rolle erstellt wurde. Sie können die dienstverknüpfte Inspector-Rolle über die Dashboard-Seite der Inspector-Konsole erstellen.

Ich verwende eine Netzwerkadressenübersetzung (Network Address Translation, NAT) für meine Instances. Funktioniert Amazon Inspector mit diesen Instances?

Ja. Instances, die eine NAT verwenden, werden von Amazon Inspector ohne durch Sie erforderliche Aktionen unterstützt.

Ich verwende einen Proxy für meine Instances. Funktioniert Amazon Inspector mit diesen Instances?

Ja. Der Amazon Inspector-Agent unterstützt Proxy-Umgebungen. Für Linux-Instances unterstützen wir HTTPS-Proxy und für Windows-Instances unterstützen wir WinHTTP-Proxy. Anweisungen zum Konfigurieren der Proxy-Unterstützung für den Amazon Inspector-Agenten finden Sie im Amazon Inspector Benutzerhandbuch.

Ich möchte die regelmäßige Bewertung meiner Infrastruktur automatisieren. Können Bewertungen automatisch eingerichtet werden?

Ja. Amazon Inspector bietet eine vollständige API, auf der Sie automatisch Anwendungsumgebungen, Bewertungen, Richtlinienausnahmen und Filter erstellen, Richtlinien auswerten und Ergebnisse abrufen können. Amazon Inspector-Bewertungen können auch durch AWS CloudFormation-Vorlagen konfiguriert und ausgelöst werden.

Kann ich Sicherheitsbewertungen für die Ausführung an bestimmten Tagen und Uhrzeiten planen?

Ja. In Ihrer Bewertungsvorlage können Sie einen einfachen wiederkehrenden Bewertungszeitplan einrichten. Außerdem können Inspector-Bewertungen durch Amazon CloudWatch Events ausgelöst werden. Mit CloudWatch Events können Sie angepasste Zeitpläne mit einem festen Wiederholungsintervall oder einem komplexeren Cron-Ausdruck einrichten.

Können Sicherheitsbewertungen anhand von Ereignissen ausgelöst werden?

Ja. Sie können mithilfe von Amazon CloudWatch Events Ereignismuster erstellen, die andere AWS-Services auf Aktionen überwachen, anhand derer eine Bewertung ausgelöst wird. So können Sie beispielsweise ein Ereignis erstellen, dass das AWS Auto Scaling für neu gestartete Amazon EC2 Instances oder AWS CodeDeploy-Benachrichtigungen nach erfolgreichem Abschluss einer Codebereitstellung überwacht. Sobald CloudWatch-Ereignisse anhand von Amazon Inspector-Vorlagen konfiguriert wurden, werden diese Bewertungsereignisse in der Inspector-Konsole als Teil Ihrer Bewertungsvorlagen angezeigt. Auf diese Weise können Sie alle automatisierten Auslöser für diese Bewertung anzeigen.

Kann ich Amazon Inspector-Bewertungen über AWS CloudFormation einrichten?

Ja, Sie können Amazon Inspector-Ressourcengruppen sowie Bewertungsziele und -vorlagen mit AWS CloudFormation-Vorlagen erstellen. Dies ermöglicht Ihnen, Sicherheitsbewertungen für Ihre EC2-Instances automatisch einzurichten, während sie bereitgestellt werden. Sie können in Ihrer CloudFormation-Vorlage auch eine Bootstrap-Installation des Inspector-Agenten auf EC2-Instances durchführen, indem Sie Befehle für die agent Installationskommandos in entwederAWS::CloudFormation::Init oder EC2 user data verwenden. Alternativ können Sie EC2-Instances in Ihrer CloudFormation-Vorlage unter Verwendung eines AMI mit dem vorinstallierten Inspector-Agenten erstellen.

Wo finde ich Metrikinformationen zu meinen Amazon Inspector-Analysen?

Amazon Inspector veröffentlicht automatisch Metrikdaten zu Ihren Analysen in Amazon CloudWatch. Als CloudWatch-Benutzer werden Ihre Inspector-Analysestatistiken automatisch an CloudWatch geleitet. Folgende Inspector-Metriken sind derzeit verfügbar: Anzahl der Analysedurchläufe, anvisierte Agents und generierte Ergebnisse. Weitere Informationen zu den in CloudWatch veröffentlichten Analysemetriken finden Sie in der Amazon Inspector documentation.

Kann Amazon Inspector in andere AWS-Services für die Protokollerstellung oder Benachrichtigungen integriert werden?

Amazon Inspector kann in Amazon SNS integriert werden, um Benachrichtigung zu verschiedenen Ereignissen wie der Überwachung von Meilensteinen, Fehlern oder dem Ablauf von Ausnahmen zu senden. Darüber hinaus ist der Service in AWS CloudTrail integrierbar, um Aufrufe an Amazon Inspector zu protokollieren.

Was ist das Regelpaket zur Überprüfung der Netzverfügbarkeit?

Das Regelpaket zur Überprüfung der Netzverfügbarkeit überprüft, welche Ports und Services in Ihren Amazon EC2-Instances von außerhalb Ihrer VPC erreichbar sind. Wenn Sie eine Bewertung mit diesem Regelpaket ausführen, fragt Inspector AWS-APIs zum Einlesen der Netzwerkkonfigurationen Ihres Kontos ab. Die erfassten Informationen beinhalten zum Beispiel die Konfigurationen Ihrer Amazon Virtual Private Clouds (VPCs), Ihrer Sicherheitsgruppen, der Zugriffskontrolllisten (ACLs) Ihres Netzwerks und Ihrer Routing-Tabellen. Diese Konfigurationen analysiert Inspector, um die Erreichbarkeit der Ports überprüfen zu können. Als Ergebnis werden die Netzwerkkonfigurationen zurückgegeben, die Zugriff auf einen erreichbaren Port zulassen. Sie können diesen Zugriff dann nach Bedarf einschränken. Der Amazon Inspector-Agent ist für Bewertungen mit dem Regelpaket zur Überprüfung der Netzverfügbarkeit nicht erforderlich. Allerdings sind die Ergebnisse bei Instances, auf denen der Inspector-Agent installiert ist, genauer. Sie geben dann auch an, welche Prozesse an den zugänglichen Ports empfangsbereit sind.


Welche Vorteile hat die Verwendung des Inspector-Agenten für das Regelpaket zur Überprüfung der Netzverfügbarkeit?

Der Amazon Inspector-Agent ist für Bewertungen mit dem Regelpaket zur Überprüfung der Netzverfügbarkeit nicht erforderlich. Allerdings sind die Ergebnisse bei Instances, auf denen der Inspector-Agent installiert ist, genauer. Sie geben dann auch an, welche Prozesse an den zugänglichen Ports empfangsbereit sind.

Was ist das "CIS Operating System Security Configuration Benchmarks"-Regelpaket?

CIS Security Benchmarks werden vom Center for Internet Security bereitgestellt und sind die einzigen konsensbasierten Leitfäden zur Sicherheit mit bewährten Methoden, die beide von Regierung, Geschäft, Industrie und Hochschulen akzeptiert sind. Amazon Web Services ist Mitglied der CIS Security Benchmarks. Die Liste der Amazon Inspector-Zertifizierungen kann hier angezeigt werden. CIS Benchmark-Regeln werden zur Durchführung von Sicherheitsprüfungen entwickelt. Für jede fehlgeschlagene CIS-Prüfung generiert Inspector ein Ergebnis mit dem Schweregrad "High" (Hoch). Zusätzlich wird für jede Instanz ein Ergebnis mit der Kennzeichnung "Informational" (Information) generiert, das alle geprüften CIS-Regeln und das Ergebnis (bestanden/durchgefallen) für jede Regel auflistet.

Was ist das Regelpaket für "Common Vulnerabilities and Exposures" (gängige Sicherheitslücken und Expositionen)?

Die Common Vulnerabilities and Exposures oder CVE-Regeln prüfen öffentlich bekannte Informationen auf Schwachstellen und Exponierungen. Details zu CVE-Regeln sind öffentlich in der National Vulnerability Database (NVD) verfügbar. Wir verwenden das NVD's Common Vulnerability Scoring System (CVSS) als primäre Quelle für Informationen zum Schweregrad. Falls ein CVE von NVD nicht eingestuft wird, jedoch in Amazon Linux AMI Security Advisory (ALAS) enthalten ist, verwenden wie den Schweregrad vom Amazon Linux-Beirat. Falls keine dieser Einstufungen für ein CVE verfügbar ist, melden wir diese CVE nicht als Ergebnis. Wir prüfen täglich, ob aktuelle Informationen von NVD und ALAS verfügbar sind und aktualisieren unsere Regelpakete entsprechend.

Was ist der Schweregrad eines Ergebnisses?

Jede Amazon Inspector-Regel verfügt über einen zugewiesenen Schweregrad, den Amazon als High (Hoch), Medium (Mittel), Low (Gering) oder Informational (Information) einstuft. Über den Schweregrad können Sie Ihre Reaktionen auf Ergebnisse priorisieren.

Wie wird der Schweregrad ermittelt?

Der Schweregrad einer Regel basiert auf den potenziellen Auswirkungen des entdeckten Sicherheitsproblems. Auch wenn einige Regelpakete als Teil der bereitgestellten Regeln Schweregrade anbieten, können diese oftmals durch festgelegte Regeln abweichen. Amazon Inspector hat den Schweregrad für Ergebnisse über alle verfügbaren Regelpakete hinweg normalisiert, indem es die einzelnen Schweregrade den Klassifikationen High (Hoch), Medium (Mittel), Low (Gering) und Informational (Information) zuordnet. Für die Sicherheitsergebnisse "High" (Hoch), "Medium" (Mittel) und "Low" (Gering) gilt, je höher der Schweregrad des Ergebnisses, desto größer ist die Sicherheitsauswirkung des zugrundeliegenden Problems. Ergebnisse, die als "Informational" klassifiziert werden, dienen dazu, Sie über Sicherheitsprobleme zu informieren, die nicht unbedingt eine sofortige Auswirkung auf die Sicherheit haben.

Für AWS-gestützte Regelpakete wird der Schweregrad durch das AWS-Sicherheitsteam bestimmt.

Die Ergebnisse des CIS Benchmarks-Regelpakets haben immer den Schweregrad "High" (Hoch).

Für das Common Vulnerabilities & Exploits (CVE)-Regelpaket hat Amazon Inspector die bereitgestellte CVSS Base-Einstufung zugeordnet und ALAS-Schweregrade angegeben:

Amazon Inspector Schweregrad CVSS Base Score  ALAS Severity (wenn CVSS nicht bewertet ist)
Hoch >= 5  Kritisch oder wichtig
Medium < 5 und >= 2,1  Medium
Gering < 2,1 und >= 0,8  Gering
Zur Information < 0,8 N/A

Wenn ich Ergebnisse über die API (DescribeFindings) beschreibe, verfügt jedes Ergebnis über ein "numericSeverity"-Attribut. Was gibt dieses Attribut an?

Das "numericSeverity"-Attribut ist die numerische Darstellung des Schweregrads eines Fundes. Die numerischen Werte für den Schweregrad sind wie folgt:

 Informational = 0,0
 Gering = 3,0
 Mittel = 6,0
 Hoch = 9,0

Ist Amazon Inspector mit AWS-Partnerlösungen kompatibel?

Ja, Amazon Inspector bietet öffentliche APIs, die von Kunden und AWS-Partnern genutzt werden können. Einige Partner haben ihre Lösungen in Amazon Inspector integriert, um Ergebnisse für E-Mail-Anwendungen, Ticketsysteme, Pager-Plattformen oder umfangreichere Sicherheits-Dashboards zu erhalten. Details zu unterstützenden Partnern finden Sie auf der Partnerseite von Amazon Inspector.

Ist Amazon Inspector ein HIPAA-geeigneter Service?

Ja, Amazon Inspector ist ein HIPAA-geeigneter Service, der dem AWS Business Associate Addendum (BAA) hinzugefügt wurde. Wenn Sie ein BAA mit AWS ausgeführt haben, können Sie Inspector auf EC2-Instances ausführen, die geschützte Gesundheitsdaten (Protected Health Information, PHI) enthalten.

Welche Compliance- und Bewertungsprogramme werden von Amazon Inspector unterstützt?

Inspector unterstützt SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 und HIPAA. Inspector erfüllt die Kontrollen für FedRAMP und wir erwarten derzeit den Abschluss des Prüfberichts. Falls Sie mehr über die AWS-Services erfahren möchten, die im Rahmen des Compliance-Programms geprüft werden, besuchen Sie die Seite mit den AWS Services auf der Scope Seite.

Erfahre über die Amazon Inspector Kunden

Besuche die Kundenseite
Bereit zum Entwickeln?
Erste Schritte mit Amazon Inspector
Haben Sie noch Fragen?
Kontakt
Inhalt
Allgemeines