Amazon Inspector – Häufig gestellte Fragen
Allgemeines
F: Was ist Amazon Inspector?
Amazon Inspector ist ein automatisierter Schwachstellen-Management-Service, der Amazon Elastic Compute Cloud (EC2), AWS-Lambda-Funktionen und Container-Images in Amazon ECR und innerhalb von CI/CD-Tools (Continuous Integration and Continuous Delivery) kontinuierlich und nahezu in Echtzeit auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdungen scannt.
F: Was sind die wichtigsten Vorteile von Amazon Inspector?
Amazon Inspector entfernt die Betriebskosten, die mit dem Bereitstellen und Konfigurieren einer Schwachstellen-Verwaltungs-Lösung einhergehen, indem es Ihnen erlaubt, Amazon Inspector in allen Konten mit nur einem Schritt bereitzustellen. Zusätzliche Vorteile:
- Automatisierte Entdeckung und kontinuierliches Scannen, das Ergebnisse zu Schwachstellen in nahezu Echtzeit liefert
- Zentrale Verwaltung, Konfiguration und Ansicht der Ergebnisse für alle Konten Ihrer Organisation durch die Einrichtung eines Delegated Administrator (DA)-Kontos
- Eine stark kontextorientierte und aussagekräftige Amazon-Inspector-Risikobewertung für jedes Ergebnis, die Ihnen hilft, genauere Reaktionsprioritäten festzulegen
- Ein intuitives Amazon-Inspector-Dashboard für Abdeckungsmetriken, einschließlich Konten, Amazon-EC2-Instances, Lambda-Funktionen und Container-Images in Amazon ECR und in CI/CD-Tools, nahezu in Echtzeit.
- Maximieren Sie die Abdeckung bei der Schwachstellenbewertung, indem Sie EC2-Instances nahtlos scannen und zwischen agentenbasiertem Scannen und Scannen ohne Kundendienstmitarbeiter wechseln (Vorschau).
- Verwalten Sie die Exporte von Software-Stücklisten (SBOM) für alle überwachten Ressourcen zentral.
- Integriert mit AWS Security Hub und Amazon EventBridge zur Automatisierung von Workflows und Ticket-Routing
F: Wie migriere ich von Amazon Inspector Classic zum neuen Amazon Inspector?
F: Sie können Amazon Inspector Classic deaktivieren, indem Sie alle Bewertungsvorlagen in Ihrem Konto löschen. Um die Ergebnisse für bestehende Bewertungen abzurufen, können Sie sie als Berichte herunterladen oder mit der Amazon-Inspector-API exportieren. Sie können den neuen Amazon Inspector mit wenigen Schritten in der AWS-Managementkonsole aktivieren – oder mit den neuen Amazon-Inspector-APIs. Sie finden die detaillierten Migrationsschritte im Benutzerhandbuch für Amazon Inspector Classic.
F: Wie unterscheidet sich Amazon Inspector von Amazon Inspector Classic?
Amazon Inspector ist nach einem Architekturwechsel neu entwickelt worden, um einen neuen Schwachstellen-Verwaltungs-Service zu schaffen. Hier sind die wichtigsten Verbesserungen im Vergleich zu Amazon Inspector Classic:
- Für Skalierbarkeit entwickelt: Der neue Amazon Inspector ist für Skalierbarkeit und die dynamische Cloud-Umgebung entwickelt worden. Es gibt keine Einschränkung der Anzahl von Instances oder Images, die auf einmal gescannt werden können.
- Unterstützung für Container-Images und Lambda-Funktionen: Der neue Amazon Inspector scannt auch Container-Images in Amazon ECR und innerhalb von CI/CD-Tools und Lambda-Funktionen auf Software-Schwachstellen. Container-bezogene Ergebnisse werden auch in die Amazon-ECR-Konsole verschoben.
- Unterstützung für Multi-Konto-Verwaltung: Der neue Amazon Inspector ist mit AWS Organizations integriert, wodurch Sie ein Administrator-Konto für Amazon Inspector für Ihre Organisation delegieren können. Dieses Delegated-Administrator (DA)-Konto ist ein zentrales Konto, dass alle Ergebnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.
- AWS Systems Manager Agent: Mit dem neuen Amazon Inspector müssen Sie nicht mehr einen alleinstehenden Amazon-Inspector-Agent auf allen Ihren Amazon-EC2-Instances installieren und warten. Der neue Amazon Inspector nutzt den weitverbreiteten AWS Systems Manager Agent (SSM Agent), der diese Notwendigkeit entfernt.
- Automatisiertes und kontinuierliches Scannen: Der neue Amazon Inspector erkennt automatisch alle neu gestartete Amazon-EC2-Instances, Lambda-Funktionen und berechtigte Container-Images, die nach Amazon ECR verschoben wurden, und scannt diese sofort auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Wenn ein Ereignis stattfindet, das eine neue Schwachstelle einführen könnte, werden die beteiligten Ressourcen automatisch erneut gescannt. Zu den Ereignissen, die das erneute Scannen einer Ressource initiieren, gehören die Installation eines neuen Pakets in einer EC2 Instance, die Installation eines Patches und die Veröffentlichung neuer Schwachstellen und Gefahren (CVE, Common Vulnerabilities and Exposures), die sich auf die Ressource auswirken.
- Amazon-Inspector-Risikobewertung: Der neue Amazon Inspector berechnet eine Inspector-Risikobewertung indem er aktuelle CVE-Informationen mit temporalen und Umgebungs-Faktoren wie Netzwerk-Zugänglichkeit und Verwertbarkeit korreliert, um es Ihnen mit zusätzlichem Kontext zu erleichtern, Prioritäten zu setzen.
- Abdeckung der Schwachstellenbewertung: Der neue Amazon Inspector verbessert die Schwachstellenbewertung, indem er EC2-Instances nahtlos scannt und zwischen Kundendienstmitarbeiterbasiertem Scannen und Scannen ohne Kundendienstmitarbeiter wechselt (Vorschauversion).
- Export von Software-Stücklisten (SBOM): Der neue Amazon Inspector verwaltet und exportiert SBOM für alle überwachten Ressourcen zentral.
F: Kann ich Amazon Inspector und Amazon Inspector Classic gleichzeitig im selben Konto verwenden?
Ja, Sie können beide gleichzeitig im selben Konto verwenden.
F: Wie unterscheidet sich der Container-Image-Scan-Service für Amazon ECR von Amazon Inspector von der Clair-basierten Lösung von Amazon ECR?
Container-Image-Scannen von Amazon Inspector | Clair-basierte Lösung von Amazon ECR | |
---|---|---|
Scanning-Engine |
Amazon Inspector ist ein von AWS entwickelter Schwachstellen-Verwaltungsservice mit integriertem Support für Container-Images in Amazon ECR |
Amazon ECR bietet ein verwaltetes, Open-Source-Clair-Projekt als die grundsätzliche Scan-Lösung |
Paketabdeckung |
Identifiziert Schwachstellen in Betriebssystem (OS)-Paketen und Programmiersprachen-Paketen (z. B. Python, Java oder Ruby) |
Identifiziert Software-Schwachstellen nur in OS-Paketen |
Scan-Frequenz |
Bietet kontinuierliches Scannen und On-Push-Scannen |
Bietet nur On-Push-Scannen |
Intelligente Schwachstellen | Bietet erweiterte Informationen zu Schwachstellen, z. B. ob ein Exploit für ein CVE verfügbar ist und in der Paketversion eine Anleitung zur Behebung enthalten ist |
Liefert nur grundlegende Informationen über eine Softwareschwachstelle |
Ergebnisse |
Ergebnisse sind in der Amazon-Inspector-Konsole und der Amazon-ECR-Konsole verfügbar, sowie in den Programmierschnittstellen (APIs) von Amazon Inspector und Amazon ECR, und im Software Development Kit (SDK) |
Ergebnisse sind in der Amazon-ECR-Konsole und den Amazon-ECR-APIs sowie im SDK verfügbar |
Schwachstellen-Bewertung |
Bietet eine kontextbezogene Inspector-Bewertung und Bewertungen nach dem Common Vulnerability Scoring System (CVSS) v2 und v3 aus dem National Vulnerability Database (NVD) und von Anbietern |
Nur CVSS-v2-Bewertungen |
AWS-Service-Integrationen |
Integriert mit with AWS Security Hub, AWS Organizations und AWS EventBridge |
Keine eingebauten Integrationen mit anderen AWS-Services verfügbar |
F: Wie sieht das Preisangebot für Amazon Inspector aus?
Sämtliche Preisangaben finden Sie auf der Seite mit der Preisübersicht zu Amazon Inspector.
F: Gibt es eine kostenlose Testversion von Amazon Inspector?
Alle Konten, die neu bei Amazon Inspector sind, haben Anspruch auf eine kostenlose 15-tägige Probezeit, um den Service zu testen und seine Kosten abzuschätzen. Während der Laufzeit des Testprogramms werden alle berechtigten Amazon-EC2-Instances, AWS-Lambda-Funktionen und Container-Images, die nach Amazon ECR verschoben werden, kostenlos kontinuierlich gescannt. Sie können auch die geschätzten Ausgaben in der Amazon-Inspector-Konsole überprüfen.
F: In welchen Regionen ist Amazon Inspector verfügbar?
Amazon Inspector ist weltweit erhältlich. Spezifische Verfügbarkeit nach Region wird hier angeführt.
Erste Schritte
F: Was sind meine ersten Schritte?
Sie können Amazon Inspector mit wenigen Schritten in der AWS-Managementkonsole für Ihre gesamte Organisation oder für ein individuelles Konto aktivieren. Nach der Aktivierung entdeckt Amazon Inspector automatisch laufende Amazon-EC2-Instances, Lambda-Funktionen und Amazon-ECR-Repositorys und beginnt sofort mit dem kontinuierlichen Scannen von Workloads auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Wenn Sie neu bei Amazon Inspector sind, gibt es auch eine kostenlose 15-tägige Probezeit.
F: Was ist ein Amazon-Inspector-Ergebnis?
Ein Amazon-Inspector-Ergebnis ist eine potenzielle Sicherheits-Schwachstelle. Zum Beispiel, wenn Amazon Inspector Software-Schwachstellen oder offene Netzwerkpfade zu Ihren Computing-Ressourcen erkennt, erstellt es Sicherheits-Ergebnisse.
F: Kann ich Amazon Inspector mit meiner AWS-Organizations-Struktur verwalten?
Ja. Amazon Inspector ist mit AWS Organizations integriert. Sie können ein DA-Konto für Amazon Inspector zuordnen, das als primäres Administratorkonto für Amazon Inspector fungiert und Amazon Inspector zentral verwalten und konfigurieren kann. Das DA-Konto kann Ergebnisse für alle Konten, die ein Teil Ihrer AWS-Organisation sind, zentral anzeigen und verwalten.
F: Wie kann ich einen Administrator für den Amazon-Inspector-Service delegieren?
Das AWS-Organizations-Verwaltungskonto kann ein DA-Konto für Amazon Inspector in der Amazon-Inspector-Konsole zuordnen oder mithilfe der Amazon-Inspector-APIs.
F: Muss ich spezifische Scan-Typen aktivieren (Amazon-EC2-Scannen, Scannen von Lambda-Funktionen oder Amazon-ECR-Container-Image-Scannen)?
Wenn Sie Amazon Inspector zum ersten Mal starten, sind standardmäßig alle Scan-Typen aktiviert: EC2-Scannen, Lambda-Scannen und das Scannen von ECR-Container-Images. Sie haben jedoch die Möglichkeit, einzelne oder alle Typen für alle Konten Ihrer Organisation zu deaktivieren. Bestehende Benutzer können neue Funktionen in der Amazon-Inspector-Konsole oder durch den Einsatz von Amazon-Inspector-APIs aktivieren.
F: Brauche ich irgendwelche Kundendienstmitarbeiter, um Amazon Inspector zu verwenden?
Nein, Sie benötigen keinen Kundendienstmitarbeiter zum Scannen. Für das Scannen von Sicherheitslücken von Amazon-EC2-Instances können Sie den AWS Systems Manager Agent (SSM Agent) für eine Kundendienstmitarbeiter-basierte Lösung verwenden. Amazon Inspector bietet auch Scannen ohne Kundendienstmitarbeiter (Vorschau), falls Sie den SSM-Kundendienstmitarbeiter nicht installiert oder konfiguriert haben. Für die Überprüfung der Netzwerkerreichbarkeit von Amazon-EC2-Instances, die Überprüfung von Container-Images auf Sicherheitslücken oder die Überprüfung von Lambda-Funktionen auf Sicherheitslücken sind keine Kundendienstmitarbeiter erforderlich.
F: Wie kann ich den Amazon-Systems-Manager-Agent installieren und konfigurieren?
Um erfolgreich Amazon-EC2-Instances auf Software-Schwachstellen zu scannen, erfordert Amazon Inspector, dass diese Instances vom AWS Systems Manager und dem SSM Agent verwaltet werden. Anleitungen zum Aktivieren und Konfigurieren von AWS Systems Manager finden Sie unter Systems-Manager-Voraussetzungen im Benutzerhandbuch für Systems Manager. Informationen über verwaltete Instances finden Sie im Abschnitt über Verwaltete Instances im AWS-Systems-Manager-Benutzerhandbuch.
F: Wie weiß ich, welche Amazon-ECR-Repositorys für das Scannen konfiguriert sind? Wie verwalte ich, welche Repositorys zum Scannen konfiguriert werden sollen?
Amazon Inspector unterstützt das Konfigurieren von Inklusionsregeln, um auszuwählen, welche Amazon-ECR-Repositorys gescannt werden. Inklusionsregeln können unter der Seite mit Registry-Einstellungen in der ECR-Konsole erstellt und verwaltet werden, oder mithilfe der ECR-APIs. Die ECR-Repositorys, die mit den Inklusions-Regeln übereinstimmen, werden zum Scannen konfiguriert. Der detaillierte Scan-Status von Repositorys ist in den ECR- und Amazon-Inspector-Konsolen verfügbar.
Arbeiten mit Amazon Inspector
F: Wie weiß ich, ob meine Ressourcen aktiv gescannt werden?
Der Bereich für die Umweltdeckung im Amazon-Inspector-Dashboard zeigt die Metriken für Konten, Amazon-EC2-Instances, Lambda-Funktionen und ECR-Repositorys an, die aktiv von Amazon Inspector gescannt werden. Jede Instance und jedes Image hat einen Scan-Status: wird gescannt oder wird nicht gescannt. Wird gescannt bedeutet, dass die Ressource kontinuierlich in nahezu Echtzeit gescannt wird. Ein Status von Wird nicht gescannt könnte bedeuten, dass der erste Scan noch nicht ausgeführt ist, dass das OS nicht unterstützt wird, oder dass etwas anderes den Scan verhindert.
F: Wie oft werden die erneuten automatischen Scans ausgeführt?
Alle Scans werden automatisch anhand von Ereignissen ausgeführt. Alle Workloads werden zuerst bei der Auffindung gescannt und danach erneut gescannt.
- Für Amazon EC2 Instances: Bei SSM-Agenten-basierten Scans werden erneute Scans gestartet, wenn ein neues Softwarepaket auf einer Instanz installiert oder deinstalliert wird, wenn ein neues CVE veröffentlicht wird und nachdem ein anfälliges Paket aktualisiert wurde (um zu bestätigen, dass es keine weiteren Sicherheitslücken gibt). Bei Scans ohne Kundendienstmitarbeiter werden die Scans alle 24 Stunden durchgeführt.
- Für Amazon-ECR-Container-Images: Automatisierte Rescans werden für berechtigte Container-Images gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Die automatischen Rescan für Container-Images basieren auf den Rescan-Dauern, die sowohl für das Push- als auch für das Pull-Datum des Images in der Amazon-Inspector-Konsole oder den APIs konfiguriert wurden. Wenn das Push-Datum eines Images kürzer ist als die konfigurierte "Push-Datum-Rescan-Dauer" und das Image innerhalb der konfigurierten "Pull-Datum-Rescan-Dauer" gezogen wurde, wird das Container-Image weiterhin überwacht und automatische Rescan werden gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang.
- Für Lambda-Funktionen: Alle neuen Lambda-Funktionen werden zunächst bei ihrer Entdeckung bewertet und laufend neu bewertet, wenn es eine Aktualisierung der Lambda-Funktion gibt oder ein neues CVE veröffentlicht wird.
F: Wie lange werden Container-Images mit Amazon Inspector kontinuierlich erneut gescannt?
- Wenn Amazon-Inspector-ECR-Scanning aktiviert ist, nimmt Amazon Inspector nur Images auf, die in den letzten 30 Tagen gepusht oder gezogen wurden, und scannt sie kontinuierlich für die für das Push- und Pull-Datum konfigurierte Rescan-Dauer, d. h. 90 Tage (standardmäßig), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Wenn das Push-Datum eines Images kürzer ist als die konfigurierte „Push-Datum-Rescan-Dauer“ UND das Image innerhalb der konfigurierten „Pull-Datum-Rescan-Dauer“ gezogen wurde, wird das Container-Image weiterhin überwacht und automatische Rescans werden gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Wenn Sie zum Beispiel das Amazon-Inspector-ECR-Scanning aktivieren, wird Amazon Inspector die Images, die in den letzten 30 Tagen verschoben oder gezogen wurden, zum Scannen auswählen. Wenn Sie jedoch nach der Aktivierung für die Konfigurationen „Push-Datum“ und „Pull-Datum“ eine Dauer von 180 Tagen für die erneute Überprüfung auswählen, wird Amazon Inspector die Images weiterhin überprüfen, wenn sie in den letzten 180 Tagen gepusht wurden oder mindestens einmal in den letzten 180 Tagen gezogen wurden. Wenn ein Image in den letzten 180 Tagen nicht gepusht oder abgerufen wurde, stoppt Amazon Inspector die Überwachung.
- Alle Bilder, die nach der Aktivierung des Amazon-Inspector-ECR-Scans an ECR übertragen werden, werden kontinuierlich für die Dauer gescannt, die unter „Push-Datum-Rescan-Dauer“ und „Pull-Datum-Rescan-Dauer“ eingestellt ist. Die verfügbaren Konfigurationen für die Dauer des Rescans sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die Dauer des automatischen Rescans wird auf der Grundlage des letzten Push- oder Pull-Datums eines Container-Images berechnet. Wenn Sie z. B. nach der Aktivierung des Amazon-Inspector-ECR-Scans für die Push- und Pull-Datum-Konfigurationen eine Rescan-Dauer von 180 Tagen wählen, wird Amazon Inspector die Images weiterhin scannen, wenn sie in den letzten 180 Tagen gepusht wurden oder mindestens einmal in den letzten 180 Tagen gezogen worden sind. Wenn ein Image jedoch in den letzten 180 Tagen nicht gepusht oder gezogen wurde, hört Amazon Inspector auf, es zu überwachen.
- Wenn sich das Bild im Status „Scanberechtigung abgelaufen“ befindet, können Sie das Bild zurückziehen, um es wieder unter die Überwachung von Amazon Inspector zu bringen. Das Image wird für die eingestellte Dauer ab dem letzten Abrufdatum kontinuierlich gescannt.
F: Kann ich meine Ressourcen vom Scan ausschließen?
- Für Amazon-EC2-Instances: Ja, eine EC2-Instance kann durch Hinzufügen eines Ressourcen-Tags vom Scannen ausgeschlossen werden. Sie können den Schlüssel 'InspectorEc2Exclusion' verwenden, und der Wert ist <optional>.
- Für Container-Images in Amazon ECR: Ja. Obwohl Sie auswählen können, welche Amazon-ECR-Repositorys zum Scannen konfiguriert werden, werden alle Images in einem Repository gescannt. Sie können Einschlussregeln erstellen, um auszuwählen, welche Repositorys gescannt werden sollen.
- Für Lambda-Funktionen: Ja, eine Lambda-Funktion kann vom Scannen ausgeschlossen werden, indem ein Ressourcen-Tag hinzugefügt wird. Verwenden Sie für den Standardscan den Schlüssel „InspectorExclusion“ und den Wert „LambdaStandardScanning“. Verwenden Sie zum Code-Scannen den Schlüssel „InspectorCodeExclusion“ und den Wert „LambdaCodeScanning“.
F: Wie kann ich meine Lambda-Funktionen mithilfe von Amazon Inspector auf Sicherheitslücken überprüfen?
In einer Multi-Account-Struktur können Sie Amazon Inspector für die Prüfung auf Lambda-Schwachstellen für alle Ihre Konten in der AWS-Organization aktivieren – entweder über die Amazon-Inspector-Konsole oder mithilfe von APIs über das Delegated Administrator (DA)-Konto. Andere Mitgliederkonten können Amazon Inspector für ihr eigenes Konto aktivieren, wenn das zentrale Sicherheitsteam das nicht bereits für sie getan hat. Konten, die nicht zur AWS-Organisation gehören, können Amazon Inspector über die Amazon-Inspector-Konsole oder mithilfe von APIs für das jeweilige Konto aktivieren.
F: Wenn es von einer Lambda-Funktion mehrere Versionen gibt, welche Version prüft Amazon Inspector dann?
Amazon Inspector beobachtet und prüft nur die $LATEST-Version fortlaufend. Die automatisierten erneuten Scans werden nur für die neueste Version durchgeführt, sodass nur für diese neueste Version Ergebnisse generiert werden. In der Konsole können Sie die Ergebnisse aller Versionen anzeigen, indem Sie die gewünschte Version aus dem Dropdown-Menü auswählen.
F: Kann ich das Scannen des Lambda-Codes aktivieren, ohne das Standard-Scannen von Lambda zu aktivieren?
Nein. Sie haben zwei Möglichkeiten: entweder das Lambda-Standard-Scannen allein zu aktivieren oder das Lambda-Standard- und Code-Scannen zusammen zu aktivieren. Das standardmäßige Lambda-Scannen bietet einen grundlegenden Sicherheitsschutz vor anfälligen Abhängigkeiten, die in der Anwendung als Lambda-Funktionen und Zuordnungsebenen verwendet werden. Das Scannen von Lambda-Code bietet einen zusätzlichen Sicherheitswert, indem es Ihren benutzerdefinierten proprietären Anwendungscode innerhalb einer Lambda-Funktion auf Code-Sicherheitslücken wie Injektionsfehler, Datenlecks, schwache Kryptografie oder eingebettete Geheimnisse scannt.
F: Wie wirkt sich die Änderung der Häufigkeit der SSM-Inventar-Erfassung von standardmäßig 30 Minuten auf 12 Stunden auf die kontinuierliche Überprüfung durch Amazon Inspector aus?
Die Standard-SSM-Inventar-Erfassungsfrequenz zu ändern kann eine Auswirkung auf die Beständigkeit des kontinuierlichen Scannens haben. Amazon Inspector nutzt den SSM Agent zum Erfassen des Anwendungsinventars, um Ergebnisse zu generieren. Wenn die Anwendungs-Inventar-Dauer von den standardmäßigen 30 Minuten erhöht wird, wird dies die Auffindung von Änderungen am Anwendungs-Inventar verzögern, und neue Ergebnisse könnten verzögert werden.
F: Was ist der Amazon-Inspector-Risikowert?
Die Amazon Inspector Risikowertung ist eine stark kontextorientierte Wertung, die für jedes Ergebnis generiert wird, indem Informationen über allgemeine Sicherheitslücken und Gefahren (CVE) mit Netzwerk-Erreichbarkeits-Ergebnissen, Auswertbarkeits-Daten und Soziale-Medien-Trends korreliert werden. Damit können Sie einfacher Ergebnisse nach Priorität ordnen und sich auf die kritischen Ergebnisse und bedrohte Ressourcen konzentrieren. In der Inspector-Score-Registerkarte im Bereich mit den Ergebnis-Details können Sie sehen, wie die Inspector-Risikobewertung berechnet wurde und welche Faktoren mitgepielt haben.
Zum Beispiel: Es wurde eine neue CVE in Ihrer Amazon-EC2-Instance identifiziert, die nur remote ausgeschöpft werden kann. Wenn die kontinuierlichen Netzwerk-Erreichbarkeits-Scans von Amazon Inspector auch entdecken, dass die Instance aus dem Internet nicht erreichbar ist, dann weiß es, dass die Schwachstelle eine geringere Bedrohung darstellt. Deshalb korreliert Amazon Inspector die Scan-Ergebnisse mit den CVE und passt die Risikobewertung nach unten an, um die Auswirkung der CVE auf die spezifische Instance genauer darzustellen.
F: Wie wird der Schweregrad eines Ergebnisses ermittelt?
Bewertung von Amazon Inspector | Schweregrad |
---|---|
0 | Zur Information |
0,2–3,9 | Niedrig |
4,0–6,9 | Medium |
7,0–8,9 | Hoch |
9,0–10,0 | Kritisch |
F: Wie funktionieren Unterdrückungs-Regeln?
Amazon Inspector erlaubt es Ihnen, Ergebnisse anhand der benutzerdefinierten Kriterien, die Sie definieren, zu unterdrücken. Sie können Unterdrückungsregeln für Ergebnisse, die von Ihrem Unternehmen als akzeptabel gelten, erstellen.
F: Wie kann ich meine Ergebnisse exportieren, und was beinhalten diese?
Sie können in der Amazon-Inspector-Konsole oder über die Amazon-Inspector-APIs mit wenigen Schritten Berichte in mehrfachen Formaten erstellen (CSV oder JSON). Sie können einen vollständigen Bericht mit allen Ergebnissen herunterladen oder einen benutzerdefinierten Bericht erstellen und herunterladen, der auf die in der Konsole eingerichteten Anzeigefilter basiert.
F: Kann ich das Scannen des Lambda-Codes aktivieren, ohne das Standard-Scannen von Lambda zu aktivieren?
Nein. Sie haben zwei Möglichkeiten: entweder das Lambda-Standard-Scannen allein zu aktivieren oder das Lambda-Standard- und Code-Scannen zusammen zu aktivieren. Das standardmäßige Lambda-Scannen bietet einen grundlegenden Sicherheitsschutz vor anfälligen Abhängigkeiten, die in der Anwendung als Lambda-Funktionen und Zuordnungsebenen verwendet werden. Das Scannen von Lambda-Code bietet einen zusätzlichen Sicherheitswert, indem es Ihren benutzerdefinierten proprietären Anwendungscode innerhalb einer Lambda-Funktion auf Code-Sicherheitslücken wie Injektionsfehler, Datenlecks, schwache Kryptografie oder eingebettete Geheimnisse scannt.
F: Wie kann ich SBOM für meine Ressourcen exportieren und was beinhalten diese?
Sie können SBOMs für alle mit Amazon Inspector überwachten Ressourcen in mehreren Formaten (CycloneDx oder SPDX) mit wenigen Schritten in der Amazon-Inspector-Konsole oder über die Amazon-Inspector-APIs generieren und exportieren. Sie können einen vollständigen Bericht mit SBOM für alle Ressourcen herunterladen oder SBOMs für einige ausgewählte Ressourcen basierend auf den festgelegten Ansichtsfiltern selektiv generieren und herunterladen.
F: Wie aktiviere ich das Scannen ohne Kundendienstmitarbeiter für mein Konto?
Für bestehende Amazon-Inspector-Kunden, die ein einzelnes Konto verwenden, können Sie das Scannen ohne Kundendienstmitarbeiter (Vorschau) aktivieren, indem Sie die Kontoverwaltungsseite in der Amazon Inspector-Konsole aufrufen oder APIs verwenden.
Für bestehende Amazon-Inspector-Kunden, die AWS Organizations verwenden, muss Ihr delegierter Administrator entweder die gesamte Organisation vollständig auf eine Lösung ohne Kundendienstmitarbeiter migrieren oder weiterhin ausschließlich die Kundendienstmitarbeiterbasierte SSM-Lösung verwenden. Sie können die Konfiguration des Scanmodus auf der EC2-Einstellungsseite in der Konsole oder über APIs ändern.
Für neue Amazon-Inspector-Kunden werden Instances während der Vorschauphase des Scannens ohne Kundendienstmitarbeiter im Kundendienstmitarbeiter-basierten Scanmodus gescannt, wenn Sie das EC2-Scannen aktivieren. Sie können bei Bedarf in den Hybrid-Scanmodus wechseln. Im Hybrid-Scanmodus verlässt sich Amazon Inspector bei der Erfassung des Anwendungsinventars auf SSM-Kundendienstmitarbeiter, um Schwachstellenanalysen durchzuführen, und greift automatisch auf Scannen ohne Kundendienstmitarbeiter für Instances zurück, auf denen SSM-Kundendienstmitarbeiter nicht installiert oder konfiguriert sind.
F: Wie oft werden Scans ohne Kundendienstmitarbeiter durchgeführt?
Amazon Inspector löst automatisch alle 24 Stunden einen Scan für Instances aus, die für Scannen ohne Kundendienstmitarbeiter markiert sind (Vorschau). Das kontinuierliche Scanverhalten für Instances, die für SSM-Kundendienstmitarbeiter-basierte Scans markiert sind, wird sich nicht ändern.
F: Wo kann ich sehen, welche Instances mit Kundendienstmitarbeiter oder ohne Kundendienstmitarbeiter gescannt werden, wenn ich den Hybrid-Scanmodus für EC2-Scans verwende?
Sie können den Scanmodus in der Spalte „Überwachte Nutzung“ sehen, indem Sie einfach die Seiten zur Ressourcenabdeckung in der Amazon-Inspector-Konsole aufrufen oder die Amazon-Inspector-Coverage-APIs verwenden.
F: Ist es für Mitgliedskonten in einer Einrichtung mit mehreren Konten möglich, den Scanmodus für EC2-Scans für ihre jeweiligen Konten zu ändern?
Nein, in einer Einrichtung mit mehreren Konten können nur delegierte Administratoren die Konfiguration des Scanmodus für die gesamte Organisation einrichten.
F: Wie integriere ich Amazon Inspector in meine CI/CD-Tools für das Scannen von Container-Images?
Anwendungs- und Plattformteams können Amazon Inspector mithilfe speziell entwickelter Amazon Inspector-Plug-ins, die für verschiedene CI/CD-Tools wie Jenkins und TeamCity entwickelt wurden, in ihre Build-Pipelines integrieren. Diese Plugins sind auf dem Marketplace des jeweiligen CI/CD-Tools verfügbar. Sobald das Plugin installiert ist, können Sie der Pipeline einen Schritt hinzufügen, um eine Bewertung des Container-Images durchzuführen und Maßnahmen zu ergreifen, wie z. B. das Blockieren der Pipeline auf der Grundlage der Bewertungsergebnisse. Wenn bei der Bewertung Sicherheitslücken identifiziert werden, werden umsetzbare Sicherheitsergebnisse generiert. Zu diesen Ergebnissen gehören Details zu Sicherheitslücken, Empfehlungen zur Behebung und Details zur Ausnutzbarkeit. Sie werden sowohl im JSON- als auch im CSV-Format an das CI/CD-Tool zurückgegeben, das dann vom Amazon Inspector-Plugin in ein für Menschen lesbares Dashboard übersetzt oder von Teams heruntergeladen werden kann.
F: Muss ich Amazon Inspector aktivieren, um die Amazon Inspector CI/CD-Integration für das Scannen von Container-Images zu verwenden?
Nein, Sie müssen Amazon Inspector nicht aktivieren, um diese Funktion nutzen zu können, vorausgesetzt, Sie haben ein aktives AWS-Konto.
F: Kann ich meine privaten Amazon-EC2-Instances scannen, indem ich Amazon Inspector als VPC-Endpunkt einrichte?
Ja. Amazon Inspector nutzt den SSM Agent zur Erfassung des Anwendungsinventars, das als Amazon-Virtual-Private-Cloud (VPC)-Endpunkte eingerichtet werden kann, um die Übertragung von Informationen über das Internet zu vermeiden.
F: Welche Betriebssysteme unterstützt Amazon Inspector?
Eine Liste von unterstützten Betriebssysteme (OS) finden Sie hier.
F: Welche Programmiersprachen-Pakete unterstützt Amazon Inspector für das Scannen von Container-Images?
Eine Liste von unterstützten Programmiersprachen-Paketen finden Sie hier.
F: Funktioniert Amazon Inspector mit Instances, die Network Address Translation (NAT) nutzen?
Ja. Instances, die NAT nutzen werden automatisch von Amazon Inspector unterstützt.
F: Ich verwende einen Proxy für meine Instances. Funktioniert Amazon Inspector mit diesen Instances?
Ja. Weitere Informationen finden Sie unter Wie konfiguriere ich einen SSM Agent, um einen Proxy zu verwenden?
F: Kann Amazon Inspector in andere AWS-Services für die Protokollerstellung oder Benachrichtigungen integriert werden?
Amazon Inspector integriert mit Amazon EventBridge, um Benachrichtigungen für Ereignisse wie neue Ergebnisse, Statusänderungen eines Ergebnisses oder Erstellung einer Unterdrückungs-Regel zu liefern. Amazon Inspector integriert auch mit AWS CloudTrail für die Aufruf-Protokollierung.
F: Bietet Amazon Inspector „CIS Operating System Security Configuration Benchmarks“-Scans?
Ja. Sie können Amazon Inspector ausführen, um bei Bedarf gezielte Bewertungen anhand von CIS-Konfigurations-Benchmarks auf Betriebssystemebene für Amazon-EC2-Instances in Ihrer AWS-Organisation durchzuführen.
F: Ist Amazon Inspector mit AWS-Partnerlösungen kompatibel?
Ja. Siehe Amazon-Inspector-Partner für weitere Informationen.
F: Kann ich Amazon Inspector deaktivieren?
Ja. Sie können alle Scan-Typen (Amazon-EC2-Scannen, Scannen von Amazon-ECR-Container-Images und Scannen von Lambda-Funktionen) deaktivieren, indem Sie den Amazon-Inspector-Service deaktivieren. Alternativ lässt sich jeder Scan-Typ einzeln für ein Konto deaktivieren.
F: Kann ich Amazon Inspector anhalten?
Nein. Amazon Inspector unterstützt keinen angehalteten Zustand.