F: Was ist Amazon Inspector?
Amazon Inspector ist ein automatisierter Service zur Sicherheitsbewertung, der es Ihnen erleichtert, den Sicherheitsstatus Ihrer in Amazon EC2 ausgeführten Anwendungen zu testen.

F: Was kann ich mit Amazon Inspector tun?
Amazon Inspector ermöglicht es Ihnen, Sicherheitslücken innerhalb Ihrer Entwicklungs- und Bereitstellungs-Pipeline sowie in statischen Produktionssystemen automatisch zu bewerten. Sie können dadurch Sicherheitstests regelmäßig im Rahmen der Entwicklungs- und IT-Vorgänge ausführen. Amazon Inspector ist agentenbasiert und API-gesteuert. Er wird in Form eines Service geliefert, der sich einfach bereitstellen, verwalten und automatisieren lässt.

Erste Schritte mit Amazon Inspector

Kostenloses Konto erstellen

F: Was ist eine Bewertungsvorlage?
Eine Bewertungsvorlage ist eine Konfiguration, dies Sie in Amazon Inspector erstellen, um den Bewertungsvorgang zu definieren. Diese Bewertungsvorlage enthält ein Regelpaket, mit dem Sie Amazon Inspector anweisen, Folgendes zu bewerten: Ihr Bewertungsziel, die Dauer des Bewertungsvorgangs, Themen des Amazon Simple Notification Service (SNS), an die Amazon Inspector Benachrichtigungen zum Status und den Ergebnissen des Bewertungsvorgangs senden soll, sowie Amazon Inspector-spezifische Attribute (Schlüssel/Wert-Paare), die Sie den Ergebnissen des Bewertungsvorgangs zuweisen können.

F: Was ist ein Bewertungsvorgang?
Mit einem Bewertungsvorgang ermitteln Sie potenzielle Sicherheitsrisiken. Zu diesem Zweck werden die Konfiguration und das Verhalten des Bewertungsziels anhand spezieller Regelpakete analysiert. Während eines Bewertungsvorgangs überwacht, sammelt und analysiert der Agent Verhaltensdaten (Telemetrie) innerhalb des angegebenen Ziels. Hierzu zählen die Verwendung sicherer Kanäle, der Netzwerkdatenverkehr zwischen ausgeführten Prozessen sowie Details zur Kommunikation mit AWS-Services. Anschließend analysiert der Agent die Daten und vergleicht sie mit einer Reihe von Sicherheitsregelpaketen. Diese sind in der für den Bewertungsvorgang verwendeten Bewertungsvorlage angegeben. Ein abgeschlossener Bewertungsvorgang liefert eine Liste mit potenziellen Sicherheitsrisiken unterschiedlichen Schweregrads.

F: Was ist ein Bewertungsziel?
Ein Bewertungsziel repräsentiert eine Sammlung von AWS-Ressourcen, die gemeinsam zum Erreichen Ihrer Geschäftsziele beitragen. Amazon Inspector bewertet den Sicherheitsstatus der Ressourcen, aus denen das Bewertungsziel besteht. Zum Erstellen eines Bewertungsziels verwenden Sie Amazon EC2-Tags. Anschließend können Sie diese getaggten Ressourcen in der Bewertungsvorlage als Bewertungsvorgang definieren.

F: Was ist ein Bewertungsergebnis?
Ein Bewertungsergebnis ist ein potenzielles Sicherheitsrisiko, das während des Bewertungsvorgangs von Amazon Inspector für das angegebene Ziel ermittelt wurde. Bewertungsergebnisse werden in der Amazon Inspector-Konsole angezeigt oder über die API abgerufen. Sie enthalten neben einer detaillierten Beschreibung des Sicherheitsrisikos auch eine Empfehlung zur Behebung des Problems.

F: Was ist ein Regelpaket?
Ein Regelpaket ist eine Sammlung von Sicherheitstests, die im Rahmen einer Bewertungsvorlage und eines Bewertungsvorgangs konfiguriert werden können. Amazon Inspector enthält zahlreiche Regelpakete mit gängigen Sicherheitslücken und Exploits (Common Vulnerabilities and Exploits, CVEs), Benchmarks für CIS-Betriebssystemkonfigurationen sowie bewährte Methoden zu Sicherheitsmaßnahmen. Eine vollständige Liste der verfügbaren Regelpakete finden Sie in der Dokumentation zu Amazon Inspector.

F: Was ist ein Bewertungsbericht und was beinhaltet er?
Ein Amazon Inspector-Bewertungsbericht kann nach Abschluss einer erfolgreichen Bewertung generiert werden. In einem Bewertungsbericht finden Sie Details zu den bewerteten Faktoren sowie den Ergebnissen. Die Ergebnisse Ihrer Bewertung werden in einem Standardbericht formatiert, den Sie mit Ihrem Team teilen können, um direkt Maßnahmen zu ergreifen. Er eignet sich auch als Ergänzung für komplexe Prüfdaten oder zur Speicherung als spätere Referenz.

Es stehen Ihnen für die Bewertung zwei Berichtstypen zur Verfügung: ein Ergebnisbericht und ein vollständiger Bericht. Der Ergebnisbericht enthält eine Zusammenfassung der Bewertung, die bewerteten Instances, die getesteten Regelpakete, die für die Ergebnisgenerierung verwendeten Regeln sowie detaillierte Informationen zu jeder dieser Regeln zusammen mit der Liste der Instances, bei denen während der Prüfung ein Fehler aufgetreten ist. Der vollständige Bericht enthält zusätzlich zu den Informationen des Ergebnisberichts die Liste der Regeln, die bei allen Instances geprüft und erfüllt wurden.

F: Was geschieht, wenn einige meiner Ziele nicht verfügbar sind, während ich eine Prüfung ausführe?
Amazon Inspector sammelt bei allen verfügbaren Zielen, die für die Prüfvorlage konfiguriert sind, Daten zu ihrer Anfälligkeit und gibt entsprechende Ergebnisse zur Sicherheitslage der verfügbaren Ziele zurück. Wenn beim Start der Prüfvorlage keine Ziele verfügbar sind, meldet das System, dass der Prüflauf nicht durchgeführt werden konnte, und gibt die Nachricht zurück, dass der Prüfdurchgang zum gegenwärtigen Zeitpunkt nicht durchgeführt werden konnte, da keine der für die ausgewählte Prüfvorlage vorgesehenen Instances verfügbar waren ("The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template.").

F: Wie kommt es, dass Ziele nicht mehr verfügbar sind?
Ziele, die für eine Prüfung vorgesehen wurden, können aus einer Reihe von Gründen nicht verfügbar sein, wie zum Beispiel den folgenden: Die EC2-Instance ist heruntergefahren oder antwortet nicht, auf der (als Ziel) markierten Instance ist kein Amazon Inspector-Agent installiert, der installierte Amazon Inspector-Agent ist nicht verfügbar oder kann keine Daten über Schwachstellen zurückgeben.

F: Wie sieht das Preisangebot für Amazon Inspector aus?
Die Preise für Amazon Inspector richten sich nach der Anzahl der Bewertungsvorgänge und der Anzahl der Agenten oder Systeme, die während dieser Vorgänge bewertet werden. Wir bezeichnen dies als "Agentenbewertungen". Ein bedarfsabhängiger Abrechnungszeitraum beträgt wie bei allen AWS-Services einen Kalendermonat. Beispiel:

     1 Bewertungsvorgang für 1 Agenten = 1 Agentenbewertung
     1 Bewertungsvorgang für 10 Agenten = 10 Agentenbewertungen
     10 Bewertungsvorgänge für je 2 Agenten = 20 Agentenbewertungen
     30 Bewertungsvorgänge für je 10 Agenten = 300 Agentenbewertungen

Für die oben aufgeführten Amazon Inspector-Bewertungsvorgänge innerhalb eines gegebenen Abrechnungszeitraum würden insgesamt 331 Agentenbewertungen berechnet.

Der Preis für jede einzelne Agentenbewertung basiert auf einem Preisstaffelungsmodell. Je mehr Agentenbewertungen Sie in einem gegebenen Abrechnungszeitraum ausführen, desto günstiger wird der Preis pro Agentenbewertung. Hier die ersten beiden Preisstaffeln der Agentenbewertung:

     Erste 250 Agentenbewertungen = 0,30 USD pro Agentenbewertung
     Nächste 750 Agentenbewertungen = 0,25 USD pro Agentenbewertung

In unserem Beispiel mit insgesamt 331 Agentenbewertungen innerhalb eines gegebenen Abrechnungszeitraums würden für die ersten 250 Bewertungen 0,30 USD und für die nächsten 81 Bewertungen 0,25 USD bzw. insgesamt 95,25 USD berechnet. Die vollständige Preistabelle finden Sie auf der Seite mit der Preisübersicht zu Amazon Inspector.

F: Gibt es eine kostenlose Testversion von Amazon Inspector?
Ja. Amazon Inspector bietet innerhalb der ersten 90 Tage der Servicenutzung die ersten 250 Agentenbewertungen kostenlos an. Dieses Angebot gilt für alle AWS-Konten, die den Amazon Inspector-Service zum ersten Mal nutzen.

F: In welchen Regionen ist Amazon Inspector verfügbar?
Amazon Inspector ist derzeit in den Regionen Asien-Pazifik (Mumbai), Asien-Pazifik (Seoul), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), EU (Irland), USA Ost (Nord-Virginia), USA West (Nordkalifornien) und USA West (Oregon) verfügbar.

F: Welche Linux-Kernelversionen werden von Amazon Inspector unterstützt?
Eine aktuelle Liste der Linux-Kernelversionen, die für Amazon Inspector-Analysen unterstützt werden, finden Sie hier.

F: Was beinhaltet der Amazon Inspector-Service?
Amazon Inspector beinhaltet einen von Amazon entwickelten Agenten, der im Betriebssystem Ihrer Amazon EC2-Instances installiert wird, sowie eine IAM-Service-Rolle. Diese wird während des Setups des Amazon Inspector-Service per Mausklick erstellt. Die Service-Rolle bietet in Amazon Inspector Zugriff auf zahlreiche Instances und Tags zum Festlegen von Bewertungszielen. Eine aktuelle Liste der unterstützten Betriebssysteme finden Sie in der Dokumentation zu Amazon Inspector.

F: Wie kann ich Amazon Inspector nutzen?
Registrieren Sie sich einfach über AWS Management Console bei Amazon Inspector. Im Anschluss an die Registrierung installieren Sie den entsprechenden Amazon Inspector-Agenten auf Ihren Amazon EC2-Instances, erstellen eine neue Bewertungsvorlage, wählen die gewünschten Regelpakete aus und planen einen Bewertungsvorgang. Daraufhin wird ein Ergebnisbericht zu allen innerhalb Ihrer Umgebung ermittelten Probleme generiert.

F: Ist Amazon Inspector mit AWS-Partnerlösungen kompatibel?
Ja, Amazon Inspector bietet öffentliche APIs, die von Kunden und AWS-Partnern genutzt werden können. Einige Partner haben ihre Lösungen in Amazon Inspector integriert, um Ergebnisse für E-Mail-Anwendungen, Ticketsysteme, Pager-Plattformen oder umfangreichere Sicherheits-Dashboards zu erhalten. Details zu unterstützenden Partnern finden Sie auf der Partnerseite von Amazon Inspector.

F: Ich verwende eine Netzwerkadressenübersetzung (Network Address Translation, NAT) für meine Instances. Funktioniert Amazon Inspector mit diesen Instances?
Ja. Instances, die eine NAT verwenden, werden von Amazon Inspector ohne durch Sie erforderliche Aktionen unterstützt.

F: Ich verwende einen Proxy für meine Instances. Funktioniert Amazon Inspector mit diesen Instances?
Ja. Der Amazon Inspector-Agent unterstützt Proxy-Umgebungen. Für Linux-Instances unterstützen wir HTTPS-Proxy und für Windows-Instances unterstützen wir WinHTTP-Proxy. Anweisungen zum Konfigurieren der Proxy-Unterstützung für den Amazon Inspector-Agenten finden Sie im Amazon Inspector-Benutzerhandbuch.

F: Welche Anwendungen kann Inspector hinsichtlich Schwachstellen analysieren?
Amazon Inspector findet Anwendungen durch Abfragen des Paket-Managers oder des Softwareinstallationssystems auf dem Betriebssystem, auf dem der Agent installiert ist. Das bedeutet, dass Software, die durch den Paket-Manager installiert wurde, hinsichtlich Schwachstellen analysiert wird. Die Version und die Patch-Stufe von Software, die nicht durch diese Methoden installiert wurde, werden von Inspector nicht erkannt. Beispiel: Software, die über apt, yum oder Microsoft Installer installiert wurde, wird von Inspector analysiert. Software, die durch "make config"/"make install" installiert wird oder durch Binärdateien, die direkt mithilfe von Automatisierungssoftware wie Puppet oder Ansible auf das System kopiert werden, werden von Inspector nicht analysiert.

F: Wo finde ich Metrikinformationen zu meinen Amazon Inspector-Analysen?
Amazon Inspector veröffentlicht automatisch Metrikdaten zu Ihren Analysen in Amazon CloudWatch. Als CloudWatch-Benutzer werden Ihre Inspector-Analysestatistiken automatisch an CloudWatch geleitet. Folgende Inspector-Metriken sind derzeit verfügbar: Anzahl der Analysedurchläufe, anvisierte Agents und generierte Ergebnisse. Weitere Informationen zu den in CloudWatch veröffentlichten Analysemetriken finden Sie in der Amazon Inspector-Dokumentation.

F: Kann Amazon Inspector in andere AWS-Services für die Protokollerstellung oder Benachrichtigungen integriert werden?
Amazon Inspector kann in SNS integriert werden, um Benachrichtigung zu verschiedenen Ereignissen wie der Überwachung von Meilensteinen, Fehlern oder dem Ablauf von Ausnahmen zu senden. Darüber hinaus ist der Service in AWS CloudTrail integrierbar, um Aufrufe an Amazon Inspector zu protokollieren.

F: Ich möchte die regelmäßige Bewertung meiner Infrastruktur automatisieren. Können Bewertungen automatisch ausgeführt werden?
Ja. Amazon Inspector bietet eine vollständige API, auf der Sie automatisch Anwendungsumgebungen, Bewertungen, Richtlinienausnahmen und Filter erstellen, Richtlinien auswerten und Ergebnisse abrufen können.

F: Kann ich Sicherheitsprüfungen für die Ausführung an bestimmten Tagen und Uhrzeiten einplanen?
Ja. Amazon Inspector hat ein AWS Lambda-Muster zur Verfügung gestellt, mit dem Sie wiederkehrende geplante Ereignisse erstellen können. Sobald Sie eine Prüfungsvorlage für die auszuführende Sicherheitsprüfung erstellt haben, müssen Sie in der AWS Management Console einfach nur AWS Lambda aufrufen. Klicken Sie in AWS Lambda auf "Create a Lambda function" und wählen Sie das Muster "inspector-scheduled-run" aus. Das Muster führt Sie durch die Erstellung eines wiederkehrenden Zeitplans für die Ausführung Ihrer Prüfung.

F: Kann Amazon Inspector ohne Ressourcen-Tagging ausgeführt werden?
Nein. Damit Sie mit Amazon Inspector Bewertungen ausführen können, müssen Sie Amazon EC2-Instance-Tags verwenden.

F: Wirken sich Amazon Inspector-Scans in irgendeiner Form auf die Leistung aus?
Amazon Inspector und der Amazon Inspector-Agent wurden so konzipiert, dass sich Bewertungsvorgänge unmerklich auf die Leistung auswirken.

F: Kann ich eigene Regeln für Bewertungsvorlagen festlegen?
Nein. Derzeit können für Bewertungsvorgänge nur die vordefinierten Regeln verwendet werden. Wir untersuchen jedoch im Lauf der Zeit die Einbeziehung von Premium-Regelsätzen von Anbietern im AWS Marketplace sowie von benutzerdefinierten Regeln.

F: Was ist der Schweregrad eines Ergebnisses?
Jede Amazon Inspector-Regel verfügt über einen zugewiesenen Schweregrad, den Amazon als High (Hoch), Medium (Mittel), Low (Gering) oder Informational (Information) einstuft. Über den Schweregrad können Sie Ihre Reaktionen auf Ergebnisse priorisieren.

F: Was ist das "CIS Operating System Security Configuration Benchmarks"-Regelpaket?
CIS Security Benchmarks werden vom Center for Internet Security bereitgestellt und sind die einzigen konsensbasierten Leitfäden zur Sicherheit mit bewährten Methoden, die beide von Regierung, Geschäft, Industrie und Hochschulen akzeptiert sind. Amazon Web Services ist Mitglied der CIS Security Benchmarks. Die Liste der Amazon Inspector-Zertifizierungen kann hier aufgerufen werden. CIS Benchmark-Regeln werden zur Durchführung von Sicherheitsprüfungen entwickelt. Für jede fehlgeschlagene CIS-Prüfung generiert Inspector ein Ergebnis mit dem Schweregrad "High" (Hoch). Zusätzlich wird für jede Instanz ein Ergebnis mit der Kennzeichnung "Informational" (Information) generiert, das alle geprüften CIS-Regeln und das Ergebnis (bestanden/durchgefallen) für jede Regel auflistet.

F: Was ist das Regelpaket für "Common Vulnerabilities and Exposures" (gängige Sicherheitslücken und Expositionen)?
Die Common Vulnerabilities and Exposures oder CVE-Regeln prüfen öffentlich bekannte Informationen auf Schwachstellen und Exponierungen. Details zu CVE-Regeln sind öffentlich in der National Vulnerability Database (NVD) verfügbar. Wir verwenden das NVD's Common Vulnerability Scoring System (CVSS) als primäre Quelle für Informationen zum Schweregrad. Falls ein CVE von NVD nicht eingestuft wird, jedoch in Amazon Linux AMI Security Advisory (ALAS) enthalten ist, verwenden wie den Schweregrad vom Amazon Linux-Beirat. Falls keine dieser Einstufungen für ein CVE verfügbar ist, melden wir diese CVE nicht als Ergebnis. Wir prüfen täglich, ob aktuelle Informationen von NVD und ALAS verfügbar sind und aktualisieren unsere Regelpakete entsprechend.

F: Wie wird der Schweregrad ermittelt?
Der Schweregrad einer Regel basiert auf den potenziellen Auswirkungen des entdeckten Sicherheitsproblems. Auch wenn einige Regelpakete als Teil der bereitgestellten Regeln Schweregrade anbieten, können diese oftmals durch festgelegte Regeln abweichen. Amazon Inspector hat den Schweregrad für Ergebnisse über alle verfügbaren Regelpakete hinweg normalisiert, indem es die einzelnen Schweregrade den Klassifikationen High (Hoch), Medium (Mittel), Low (Gering) und Informational (Information) zuordnet. Für die Sicherheitsergebnisse "High" (Hoch), "Medium" (Mittel) und "Low" (Gering) gilt, je höher der Schweregrad des Ergebnisses, desto größer ist die Sicherheitsauswirkung des zugrundeliegenden Problems. Funde, die als "Informational" klassifiziert werden, dienen dazu, Sie über Sicherheitsprobleme zu informieren, die nicht unbedingt eine sofortige Auswirkung auf die Sicherheit haben.

  • Für AWS-gestützte Regelpakete wird der Schweregrad durch das AWS-Sicherheitsteam bestimmt.
  • Die Ergebnisse des CIS Benchmarks-Regelpakets haben immer den Schweregrad "High" (Hoch).
  • Für das Common Vulnerabilities & Exploits (CVE)-Regelpaket hat Amazon Inspector die bereitgestellte CVSS Base-Einstufung zugeordnet und ALAS-Schweregrade angegeben:
            Amazon Inspector-Schweregrad        CVSS-Basiseinstufung           ALAS-Schweregrad (falls CVSS nicht eingestuft)
            High (Hoch)                                               >= 5                                  Critical (Kritisch) oder Important (Wichtig)
            Medium (Mittel)                                         < 5 und >= 2.1                     Medium (Mittel)
            Low (Gering)                                               < 2,1 und >= 0,8               Low (Gering)
            Informational (Information)                                 < 0,8                                 N/V

 

F: Wenn ich Funde über die API (DescribeFindings) beschreibe, verfügt jeder Fund über ein "numericSeverity"-Attribut. Was gibt dieses Attribut an?
Das "numericSeverity"-Attribut ist die numerische Darstellung des Schweregrads eines Fundes. Die numerischen Werte für den Schweregrad sind wie folgt:
            Informational = 0.0
            Low = 3.0
            Medium = 6.0
            High = 9.0