Allgemeines

F: Was ist Amazon Inspector?

Amazon Inspector ist ein automatisierter Service zur Verwaltung von Schwachstellen, der Amazon-Elastic-Compute-Cloud (EC2)- und Container-Workloads kontinuierlich auf Software-Schwachstellen und unbeabsichtigten Netzwerk-Zugriff scannt.

F: Was sind die wichtigsten Vorteile von Amazon Inspector?

Amazon Inspector entfernt die Betriebskosten, die mit dem Bereitstellen und Konfigurieren einer Schwachstellen-Verwaltungs-Lösung einhher gehen, indem es Ihnen erlaubt, Amazon Inspector in allen Konten mit nur einem Klick bereitzustellen. Zusätzliche Nutzen von Amazon Inspector umfassen:

  • Automatisierte Entdeckung und kontinuierliches Scannen, das Ergebnisse zu Schwachstellen in nahezu Echtzeit liefert
  • Zentrale Verwaltung, Konfiguration und Ansicht der Ergebnisse für alle Konten Ihrer Organisation durch die Einrichtung eines Delegated-Administrator (DA)-Kontos
  • Inspector liefert eine hochgradig kontextualisierte und sinnvolle Risikobewertung für jedes Ergebnis, damit Sie genauer Prioritäten für die Reaktion setzen können
  • Ein intuitives Amazon-Inspector-Dashboard zur Abdeckung von Metriken, inklusive das Scannen von Konten, EC2-Instances und Amazon-Elastic-Container-Registry (ECR)-Repositorys durch Amazon Inspector
  • Integriert mit AWS Security Hub und Amazon EventBridge zur Automatisierung von Workflows und Ticket-Routing

F: Wie unterscheidet sich Amazon Inspector von Amazon Inspector Classic?

Amazon Inspector ist nach einem Architekturwechsel neu entwickelt worden, um einen neuen Schwachstellen-Verwaltungs-Service zu schaffen. Hier sind die wichtigsten Verbesserungen im Vergleich zu Amazon Inspector Classic:

  • Für Skalierbarkeit entwickelt: Der neue Amazon Inspector ist für Skalierbarkeit und die dynamische Cloud-Umgebung entwickelt worden. Es gibt keine Einschränkung der Anzahl von Instances oder Images, die auf einmal gescannt werden können.
  • Unterstützung für Container-Images: Der neue Amazon Inspector scannt auch Container-Images in Amazon ECR auf Software-Schwachstellen. Container-bezogene Ergebnisse werden auch an die ECR-Konsole verschoben.
  • Unterstützung für Multi-Konto-Verwaltung: Der neue Amazon Inspector ist mit AWS Organizations integriert, wodurch Sie ein Administrator-Konto für Amazon Inspector für Ihre Organisation delegieren können. Dieses Delegated-Administrator (DA)-Konto ist ein zentrales Konto, dass alle Ergebnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.
  • AWS Systems Manager Agent: Mit dem neuen Amazon Inspector müssen Sie nicht mehr einen alleinstehenden Amazon-Inspector-Agent auf allen Ihren Amazon-EC2-Instances installieren und warten. Der neue Amazon Inspector nutzt den weitverbreiteten AWS-Systems-Manager-Agent (SSM Agent), der diese Notwendigkeit entfernt.
  • Automatisiertes und kontinuierliches Scannen: Der neue Amazon Inspector erkennt automatisch alle neu gestartete Amazon-EC2-Instances und berechtigte Container-Images, die an Amazon ECR verschoben wurden und scannt diese sofort auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Wenn ein Ereignis stattfindet, das eine neue Schwachstelle einführen könnte, werden die beteiligten Ressourcen automatisch erneut gescannt. Eregnisse, die das erneute Scannen einer Ressource auslösen, sind u. a. das Installieren eines neuen Pakets in einer EC2-Instance, Installieren eines Patches, und wenn neue gemeinsame Schwachstellen und Gefahren (CVE, Common Vulnerabilities and Exposures) veröffentlicht wird, das die Ressource betrifft.
  • Inspector-Risikobewertung: Der neue Amazon Inspector berechnet eine Inspector-Risikobewertung indem er aktuelle CVE-Informationen mit temporalen und Umgebungs-Faktoren wie Netzwerk-Zugänglichkeit und Verwertbarkeit korreliert, um es Ihnen mit zusätzlichem Kontext zu erleichtern, Prioritäten zu setzen.

F: Kann ich Amazon Inspector und Amazon Inspector Classic gleichzeitig im selben Konto verwenden?

Ja, Sie können beide gleichzeitig im selben Konto verwenden.

F: Wie migriere ich von Amazon Inspector Classic zum neuen Amazon Inspector?

Sie können Amazon Inspector Classic deaktivieren, indem Sie alle Bewertungs-Vorlagen in Ihrem Konto löschen. Um die Ergebnisse für bestehende Bewertungen abzurufen, können Sie sie als Berichte herunterladen oder mit der Amazon-Inspector-API exportieren. Sie können den neuen Amazon Inspector mit wenigen Klicks in der AWS-Managementkonsole aktivieren, oder mit den neuen Amazon-Inspector-APIs. Sie finden die detaillierten Migrations-Schritte im Amazon-Inspector-Classic-Benutzerhandbuch.

F: Wie ist der Container-Image-Scan-Service für Amazon ECR von Amazon Inspector anders als die Clair-basierte Lösung von Amazon ECR?

  Container-Image-Scannen von Amazon Inspector Clair-basierte Lösung von Amazon ECR

Scanning-Engine

Amazon Inspector ist ein AWS-entwickelter Schwachstellen-Verwaltungs-Service mit integriertem Support für Container-Images in Amazon ECR

Amazon ECR bietet ein verwaltetes, Open-Source-Clair-Projekt als die grundsätzliche Scan-Lösung

Paket-Abdeckung

Identifiziert Schwachstellen in Betriebssystem (OS)-Paketen und Programmiersprachen-Pakete (z. B. Python, Java, Ruby, usw.)

Identifiziert Software-Schwachstellen nur in OS-Paketen

Scan-Frequenz

Bietet kontinuierliches Scannen und On-Push-Scannen

Bietet nur On-Push-Scannen

Ergebnisse

Ergebnisse sind in der Amazon-Inspector-Konsole und der ECR-Konsole verfügbar, sowie in den Programmierschnittstellen (APIs) von Amazon Inspector und ECR, und in dem Software Development Kit (SDK)

Ergebnisse sind in der ECR-Konsole und den ECR-APIs und der SDK verfügbar

Schwachstellen-Bewertung

Bietet eine kontextbezogene Inspector-Bewertung und Bewertungen nach dem Common Vulnerability Scoring System (CVSS) v2 und v3 aus dem National Vulnerability Database (NVD) und von Anbietern

Nur CVSS-v2-Bewertungen

AWS-Service-Integrationen

Integriert mit with AWS Security Hub, AWS Organizations und AWS EventBridge

Keine eingebauten Integrationen mit anderen AWS-Services verfügbar

 

F: Wie sieht das Preisangebot für Amazon Inspector aus?

Sämtliche Preisangaben finden Sie auf der Seite mit der Preisübersicht zu Amazon Inspector.

F: Gibt es eine kostenlose Testversion von Amazon Inspector?

Alle Konten, die neu bei Amazon Inspector sind, haben Anspruch auf eine kostenlose 15-tägige Probezeit, um den Service zu testen und seine Kosten abzuschätzen. Während der Laufzeit des Testprogramms werden alle berechtigten Amazon-EC2-Instances und Container-Images, die nach ECR verschoben werden kostenlos kontinuierlich gescannt. Sie können auch die geschätzten Ausgaben in der Amazon-Inspector-Konsole überprüfen.

F: In welchen Regionen ist Amazon Inspector verfügbar?

Amazon Inspector ist weltweit erhältlich. Spezifische Verfügbarkeit nach Region wird hier angeführt.

Erste Schritte

F: Was sind die ersten Schritte?

Sie können Amazon Inspector für Ihre gesamte Organisation oder für ein individuelles Konto mit wenigen Klicks in der AWS-Managementkonsole aktivieren. Einmal aktiviert, entdeckt Amazon Inspector automatisch laufende Amazon-EC2-Instances und Amazon-ECR-Repositorys und beginnt sofort mit dem kontinuierlichen Scannen von Workloads auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Wenn Sie neu bei Inspector sind, gibt es auch kostenlos eine kostenlose 15-tägige Probezeit.

F: Was ist ein Amazon-Inspector-Ergebnis?

Ein Amazon-Inspector-Ergebnis ist eine potenzielle Sicherheits-Schwachstelle. Zum Beispiel, wenn Amazon Inspector Software-Schwachstellen oder offene Netzwerkpfade zu Ihren Computing-Ressourcen erkennt, erstellt es Sicherheits-Ergebnisse.

F: Kann ich Amazon Inspector mit meiner AWS-Organizations-Struktur verwalten?

Ja. Amazon Inspector ist mit AWS Organizations integriert. Sie können ein DA-Konto für Amazon Inspector zuordnen, dass als primärer Administrator-Konto für Amazon Inspector fungiert und Amazon Inspector zentral verwalten und konfigurieren kann. Das DA-Konto kann Ergebnisse für alle Konten, die ein Teil Ihrer AWS-Organisation sind, zentral anzeigen und verwalten.

F: Wie kann ich einen Administrator für den Amazon-Inspector-Service delegieren?

Das AWS-Organizations-Verwaltungskonto kann ein DA-Konto für Amazon Inspector in der Amazon-Inspector-Konsole zuordnen oder mithilfe der Amazon-Inspector-APIs.

F: Muss ich spezifische Scan-Typen aktivieren (also, Amazon-EC2-Scannen oder Amazon-ECR-Container-Image-Scannen)?

Sowohl EC2-Instance- als auch ECR-Image-Scannen sind standardmäßig aktiviert. Sie können jedoch Amazon-EC2-Instance-Scannen oder Amazon-ECR-Image-Scannen, oder beides, auf Konten deaktivieren.

F: Brauche ich irgendwelche Agents, um Amazon Inspector zu verwenden?

Es hängt davon ab, welche Ressourcen Sie scannen. AWS-Systems-Manager-Agents (SSM Agents) sind erforderlich für Schwachstellen-Scans von Amazon-EC2-Instances. Es werden keine Agents für die Netzwerk-Erreichbarkeit von Amazon-EC2-Instances und Schwachstellen-Scans von Container-Images benötigt.

F: Wie kann ich den Amazon-Systems-Manager-Agent installieren und konfigurieren?

Um erfolgreich Amazon-EC2-Instances auf Software-Schwachstellen zu scannen, erfordert Amazon Inspector, dass diese Instances vom AWS Systems Manager (SSM) und dem SSM-Agent verwaltet werden. Siehe Systems-Manager-Voraussetzungen im AWS-Systems-Manager-Benutzerhandbuch für Anleitungen zum Aktivieren und Konfigurieren von AWS Systems Manager. Informationen über verwaltete Instances finden Sie im Abschnitt über Verwaltete Instances im AWS-Systems-Manager-Benutzerhandbuch.

F: Kann ich einige Amazon-EC2-Instances aus dem Scan ausschließen?

Nein. Wenn Amazon Inspector für das Amazon-EC2-Scannen aktiviert ist, werden alle EC2-Instances mit Amazon-SSM-Agents, die in einem Konto installiert und konfiguriert sind, kontinuierlich gescannt.

F: Wie weiß ich, welche Amazon-ECR-Repositorys für das Scannen konfiguriert sind? Und, wie verwalte ich, welche Repositorys zum Scannen konfiguriert werden sollen?

Amazon Inspector unterstützt das Konfigurieren von Inklusions-Regeln, um auszuwählen, welche Amazon-ECR-Repositorys gescannt werden. Inklusions-Regeln können unter der Seite mit Registry-Einstellungen in der ECR-Konsole erstellt und verwaltet werden, oder mithilfe der ECS-APIs. Die ECR-Repositorys, die mit den Inklusions-Regeln übereinstimmen, werden zum Scannen konfiguriert. Der detaillierte Scan-Status von Repositorys ist in den ECR- und Amazon-Inspector-Konsolen verfügbar.

Arbeiten mit Amazon Inspector

F: Wie weiß ich, ob meine Ressourcen aktiv gescannt werden?

Der Bereich für Umweltdeckung im Amazon-Inspector-Dashboard zeigt die Metriken für Konten, Amazon-EC2-Instances und Amazon-ECR-Repositorys an, die aktiv von Amazon Inspector gescannt werden. Jede Instance und jedes Image hat einen Scan-Satus: wird gescannt oder wird nicht gescannt. Wird gescannt bedeutet, dass die Ressource kontinuierlich in nahezu Echtzeit gescannt wird. Ein Status von Wird nicht gescannt könnte bedeuten, dass der erste Scan noch nicht ausgeführt ist, dass das OS nicht unterstützt wird, oder dass etwas anderes den Scan verhindert.

F: Wie oft werden die erneuten automatischen Scans ausgeführt?

Alle Scans werden automatisch anhand von Ereignissen ausgeführt. Alle Workloads werden zuerst bei der Auffindung gescannt und danach erneut gescannt.

  • Für Amazon-EC2-Instances: Erneute Scans werden gestartet, wenn ein neues Software-Paket auf einer Instance installiert oder deinstalliert wird, wenn eine neue CVE veröffentlicht wird, und nachdem ein Schwachstellen-Paket aktualisiert wird (zur Bestätigung, dass es keine zusätzlichen Schwachstellen gibt).
  • Für ECR-Container-Images: Automatisierte erneute Scans werden für berechtigte Container-Images gestartet, wenn eine neue CVE veröffentlicht wird, die ein Image betrifft. Die automatisierten erneuten Scans für Container-Images laufen die ersten 30 Tage, nachdem das Image verschoben wurde.

F: Wie lange werden Container-Images mit Amazon Inspector kontinuierlich erneut gescannt?

Container-Images in Amazon-ECR-Repositorys, die für kontinuierliches Scannen konfiguriert sind, werden 30 Tage lang, nachdem sie in das Repository verschoben wurden, gescannt.

F: Kann ich meine Ressourcen vom Scan ausschließen?

  • Für Amazon-EC2-Instances: Nein. Amazon Inspector findet automatisch alle EC2-Instances in einem Konto und scannt kontinuierlich alle Instances mit dem konfigurierten Amazon-SSM-Agent.
  • Für Container-Images in Amazon ECR: Ja. Obwohl Sie auswählen können, welche ECR-Repositorys zum Scannen konfiguriert werden, werden alle Images in einem Repository gescannt. Sie können Inklusions-Regeln erstellen, um auszuwählen, welche Repositorys gescannt werden sollen.

F: Welche Auswirkung hat es auf das kontinuierliche Scannen durch Amazon Inspector, wenn die SSM-Inventar-Erfassungsfrequenz von den standardmäßigen 30 Minuten auf 12 Stunden geändert wird?

Die Standard-SSM-Inventar-Erfassungsfrequenz zu ändern kann eine Auswirkung auf die Beständigkeit des kontinuierlichen Scannens haben. Amazon Inspector nutzt SSM-Agents zum Erfassen des Anwendungs-Inventars, um Ergebnisse zu generieren. Wenn die Anwendungs-Inventar-Dauer von den standardmäßigen 30 Minuten erhöht wird, wird dies die Auffindung von Änderungen am Anwendungs-Inventar verzögern und neue Ergebnisse könnten auch verzögert werden.

F: Was ist eine Inspector-Risikobewertung?

Die Inspector-Risikobewertung ist eine hoch-kontextualisierte Bewertung, die für jedes Ergebnis generiert wird, indem Informationen zu gemeinsamen Schwachstellen und Sicherheitsrisiken (CVE) mit Netzwerk-Erreichbarkeits-Ergebnissen, Auswertbarkeits-Daten und Soziale-Medien-Trends korreliert werden. Damit können Sie einfacher Ergebnisse nach Priorität ordnen und sich auf die kritischen Ergebnisse und bedrohte Ressourcen konzentrieren. In der Inspector-Score-Registerkarte im Bereich mit den Ergebnis-Details können Sie sehen, wie die Inspector-Risikobewertung berechnet wurde und welche Faktoren mitgepielt haben.

Zum Beispiel: Es wurde eine neue CVE in Ihrer Amazon-EC2-Instance identifiziert, die nur remote ausgeschöpft werden kann. Wenn die kontinuierlichen Netzwerk-Erreichbarkeits-Scans von Amazon Inspector auch entdecken, dass die Instance aus dem Internet nicht erreichbar ist, dann weiß es, dass die Schwachstelle eine geringere Bedrohung darstellt. Deshalb korreliert Amazon Inspector die Scan-Ergebnisse mit den CVE und passt die Risikobewertung nach unten an, um die Auswirkung der CVE auf die spezifische Instance genauer darzustellen.

F: Wie wird der Schweregrad eines Ergebnisses ermittelt?

Inspector-Bewertung Schweregrad
0 Zur Information
0,2–3,9 Niedrig
4,0–6,9 Medium
7,0–8,9 Hoch
9,0–10,0 Kritisch

F: Wie funktionieren Unterdrückungs-Regeln?

Amazon Inspector erlaubt es Ihnen, Ergebnisse anhand der benutzerdefinierten Kriterien, die Sie definieren, zu unterdrücken. Sie können Unterdrückungs-Regeln für Ergebnisse, die von Ihrem Unternehmen als akzeptabel gelten, erstellen.

F: Wie kann ich meine Ergebnisse exportieren, und was beinhalten diese?

Sie können in der Amazon-Inspector-Konsole oder über die Amazon-Inspector-APIS mit wenigen Klicks Berichte in mehrfachen Formaten erstellen (CSV oder JSON). Sie können einen vollständigen Bericht mit allen Ergebnissen herunterladen oder einen benutzerdefinierten Bericht erstellen und herunterladen, der auf die in der Konsole eingerichteten Anzeigefilter basiert.

F: Kann ich meine privaten Amazon-EC2-Instances scannen, indem ich Amazon Inspector als VPC-Endpunkt einrichte?

Ja. Amazon Inspector nutzt Amazon SSM Agents zur Erfassung des Anwendungs-Inventars, dass als Amazon-Virtual-Private-Cloud (Amazon VPC)-Endpunkte eingerichtet werden kann, um die Übertragung von Informationen über das Internet zu vermeiden.

F: Welche Betriebssysteme unterstützt Amazon Inspector?

Eine Liste von unterstützten Betriebssysteme (OS) finden Sie hier.

F: Welche Programmiersprachen-Pakete unterstützt Amazon Inspector für das Scannen von Container-Images?

Eine Liste von unterstützten Programmiersprachen-Pakete finden Sie hier.

F: Arbeitet Amazon Inspector mit instances, die Network Address Translation (NAT) nutzen ?

Ja. Instances, die NAT nutzen werden automatisch von Amazon Inspector unterstützt.

F: Ich verwende einen Proxy für meine Instances. Funktioniert Amazon Inspector mit diesen Instances?

Ja. Weitere Informationen finden Sie unter Wie konfiguriere ich einen SSM Agent, um einen Proxy zu verwenden?

F: Kann Amazon Inspector in andere AWS-Services für die Protokollerstellung oder Benachrichtigungen integriert werden?

Amazon Inspector integriert mit Amazon EventBridge, um Benachrichtigungen für Ereignisse wie neue Ergebnisse, Statusänderungen eines Ergebnisses oder Erstellung einer Unterdrückungs-Regel zu liefern. Amazon Inspector integriert auch mit AWS CloudTrail für die Aufruf-Protokollierung.

F: Bietet Amazon Inspector "CIS Operating System Security Configuration Benchmarks"-Scans?

Nein. Während Amazon Inspector derzeit CIS-Scans nicht unterstützt, wird diese Funktion in der Zukunft hinzugefügt. Sie können jedoch weiterhin das Paket mit CIS-Scan-Regeln verwenden, dass in Amazon Inspector Classic verfügbar ist.

F: Ist Amazon Inspector mit AWS-Partnerlösungen kompatibel?

Ja. SieheAmazon-Inspector-Partner für weitere Informationen.

F: Kann ich Amazon Inspector deaktivieren?

Ja. Sie können alle Scan-Typen (EC2-Scannen und ECR-Container-Image-Scannen) deaktivieren, indem Sie den Amazon-Inspector-Service deaktivieren, oder Sie können jeden Scan-Typ einzeln für ein Konto deaktivieren.

F: Kann ich Amazon Inspector anhalten?

Nein. Amazon Inspector unterstützt keinen angehalteten Zustand.

Informationen über Amazon Inspector-Kunden

Besuche die Kundenseite
Bereit zum Entwickeln?
Erste Schritte mit Amazon Inspector
Haben Sie noch Fragen?
Kontakt