Erste Schritte mit Amazon Inspector - Amazon Inspector
Bevor Sie beginnenSchritt 1: Amazon Inspector aktivieren Schritt 2: Ergebnisse von Amazon Inspector anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit Amazon Inspector

Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre Amazon EC2 EC2-Instances, Amazon ECR-Container-Images und AWS Lambda Funktionen kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung überprüft. Das folgende Tutorial bietet Ihnen eine Einführung in Amazon Inspector. Schritt 1 beschreibt, wie Sie Amazon Inspector-Scans für ein eigenständiges Konto oder ein delegiertes Administratorkonto aktivieren. Schritt 2 beschreibt, wie Sie die Ergebnisse von Amazon Inspector einsehen können

Bevor Sie beginnen

Bevor Sie Amazon Inspector aktivieren, sollten Sie Folgendes beachten:

  • Amazon Inspector ist ein regionaler Service. Daten werden dort gespeichert, AWS-Region wo Sie Amazon Inspector aktivieren. Sie müssen die Schritte in diesem Tutorial für jedes Mal wiederholen, in AWS-Region dem Sie Amazon Inspector aktivieren möchten.

  • Sie können die Amazon EC2 EC2-Instance, das Amazon ECR-Container-Image und den AWS Lambda Funktionsscan über die Kontoverwaltungsseite in der Amazon Inspector-Konsole oder mit der Amazon Inspector-API aktivieren und deaktivieren.

  • Amazon Inspector kann Common Vulnerabilities and Exposures (CVE) -Daten (Common Vulnerabilities and Exposures) für Ihre EC2-Instances mit dem Amazon EC2 Systems Manager (SSM) -Agenten bereitstellen. Der SSM-Agent ist auf vielen EC2-Instances vorinstalliert, Sie müssen ihn jedoch möglicherweise manuell aktivieren. Unabhängig vom Status des SSM-Agenten werden alle Ihre EC2-Instances auf Netzwerkprobleme überprüft. Amazon ECR und AWS Lambda Funktionsscanning erfordern keinen Agenten. Weitere Informationen zur Konfiguration von Scans für Amazon EC2 finden Sie unter Scannen von Amazon EC2 EC2-Instances mit Amazon Inspector.

  • IAM-Benutzeridentitäten mit Administratorrechten können Amazon Inspector aktivieren. Wir empfehlen Ihnen, Ihre Anmeldeinformationen zu schützen, indem Sie einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. Auf diese Weise können Sie sicherstellen, dass jeder Ihrer Benutzer nur über die erforderlichen Berechtigungen zur Verwaltung von Amazon Inspector verfügt. Informationen zu den für die Aktivierung von Amazon Inspector erforderlichen Berechtigungen finden Sie unterAWS verwaltete Richtlinie: AmazonInspector2FullAccess.

  • Amazon Inspector erstellt für Ihr Konto eine serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAmazonInspector2 undAWSServiceRoleForAmazonInspector2Agentless. Diese Rolle umfasst die Berechtigungen und Vertrauensrichtlinien, die es Amazon Inspector ermöglichen, Softwarepaketdetails zu sammeln und Amazon VPC-Konfigurationen zu analysieren, um Sicherheitslücken zu ermitteln.

  • Wenn Sie Amazon Inspector aktivieren, wird der Hybrid-Scanmodus automatisch aktiviert. Der Hybrid-Scanmodus umfasst agentenbasierte und agentenlose Scanmethoden für berechtigte Instances. Für agentenbasiertes Scannen verwendet Amazon Inspector SSM-Verknüpfungen, um Softwarebestand aus Ihren Instances zu sammeln. Für das Scannen ohne Agenten verwendet Amazon Inspector Amazon EBS-Snapshots, um einen Softwareinventar aus Ihren Instances zu erfassen. Weitere Informationen zu diesen Scanmethoden finden Sie unter Scannen von Amazon EC2 EC2-Instances mit Amazon Inspector.

  • Die monatlichen Kosten basieren auf den gescannten Workloads. Weitere Informationen erhalten Sie unter Amazon Inspector: Preise.

Schritt 1: Amazon Inspector aktivieren

Der erste Schritt zur Verwendung von Amazon Inspector besteht darin, ihn für Sie zu aktivieren AWS-Konto. Nachdem Sie einen beliebigen Amazon Inspector-Scantyp aktiviert haben, beginnt Amazon Inspector sofort mit der Erkennung und dem Scannen aller infrage kommenden Ressourcen.

Wenn Sie Amazon Inspector für mehrere Konten innerhalb Ihrer Organisation über ein zentrales Administratorkonto verwalten möchten, müssen Sie einen delegierten Administrator für Amazon Inspector zuweisen. Wählen Sie eine der folgenden Optionen, um zu erfahren, wie Sie Amazon Inspector für Ihre Umgebung aktivieren können.

Standalone account environment

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie Get Started.

  3. Wählen Sie Amazon Inspector aktivieren.

Wenn Sie Amazon Inspector in einem eigenständigen Konto aktivieren, sind alle Scantypen standardmäßig aktiviert. Sie können aktivierte Scantypen über die Kontoverwaltungsseite in der Amazon Inspector Inspector-Konsole oder mithilfe der Amazon Inspector Inspector-APIs verwalten. Nach der Aktivierung erkennt Amazon Inspector automatisch alle geeigneten Ressourcen und beginnt mit dem Scannen. Überprüfen Sie die folgenden Informationen zum Scantyp, um zu erfahren, welche Ressourcen standardmäßig in Frage kommen:

Amazon EC2-Scannen

Um Common Vulnerabilities and Exposures (CVE) -Daten für Ihre EC2-Instance bereitzustellen, benötigt Amazon Inspector, dass der AWS Systems Manager (SSM) -Agent installiert und aktiviert ist. Dieser Agent ist auf vielen EC2-Instances vorinstalliert, Sie müssen ihn jedoch möglicherweise manuell aktivieren. Unabhängig vom Status des SSM-Agenten werden alle Ihre EC2-Instances auf Netzwerkprobleme überprüft. Weitere Informationen zur Konfiguration von Scans für Amazon EC2 finden Sie unterScannen von Amazon EC2 EC2-Instances mit Amazon Inspector.

Amazon ECR-Scannen

Wenn Sie das Amazon ECR-Scannen aktivieren, konvertiert Amazon Inspector alle Container-Repositorys in Ihrer privaten Registrierung, die für das standardmäßige Standard-Scannen von Amazon ECR konfiguriert sind, in das erweiterte Scannen mit kontinuierlichem Scannen. Sie können diese Einstellung auch optional so konfigurieren, dass nur bei Push gescannt wird oder dass ausgewählte Repositorys anhand von Einschlussregeln gescannt werden. Alle Bilder, die innerhalb der letzten 30 Tage übertragen wurden, sind für das Scannen auf Lebenszeit geplant. Diese Amazon ECR-Scaneinstellung kann jederzeit geändert werden. Weitere Informationen zur Konfiguration von Scans für Amazon ECR finden Sie unterScannen von Amazon ECR-Container-Bildern mit Amazon Inspector.

AWS Lambda Funktion Scannen

Wenn Sie den AWS Lambda Funktionsscan aktivieren, erkennt Amazon Inspector die Lambda-Funktionen in Ihrem Konto und beginnt sofort, sie auf Sicherheitslücken zu scannen. Amazon Inspector scannt neue Lambda-Funktionen und -Layer, wenn sie bereitgestellt werden, und scannt sie erneut, wenn sie aktualisiert werden oder wenn neue Common Vulnerabilities and Exposures (CVEs) veröffentlicht werden. Amazon Inspector bietet zwei verschiedene Stufen des Lambda-Funktionsscannens. Wenn Sie Amazon Inspector zum ersten Mal aktivieren, ist standardmäßig der Lambda-Standardscan aktiviert, der Paketabhängigkeiten in Ihren Funktionen scannt. Sie können zusätzlich das Lambda-Code-Scanning aktivieren, um den Entwicklercode in Ihren Funktionen auf Code-Schwachstellen zu scannen. Weitere Hinweise zur Konfiguration des Lambda-Funktionsscannens finden Sie unterAWS Lambda Scanfunktionen mit Amazon Inspector.

Multi-account environment
Wichtig

Um diese Schritte ausführen zu können, müssen Sie derselben Organisation angehören wie alle Konten, die Sie verwalten möchten, und Zugriff auf das AWS Organizations Verwaltungskonto haben, um innerhalb Ihrer Organisation einen Administrator für Amazon Inspector zu delegieren. Für die Delegierung eines Administrators sind möglicherweise zusätzliche Berechtigungen erforderlich. Weitere Informationen finden Sie unter Erforderliche Berechtigungen zum designieren eines delegierten Administrators.

Anmerkung

Um Amazon Inspector programmatisch für mehrere Konten in mehreren Regionen zu aktivieren, können Sie ein von Amazon Inspector entwickeltes Shell-Skript verwenden. Weitere Informationen zur Verwendung dieses Skripts finden Sie unter inspector2 - on. enablement-with-cli GitHub

Delegieren eines Administrators für Amazon Inspector

  1. Melden Sie sich beim AWS Organizations Verwaltungskonto an.

  2. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  3. Geben Sie im Bereich Delegierter Administrator die zwölfstellige ID desjenigen ein AWS-Konto , den Sie als delegierten Amazon Inspector-Administrator für die Organisation festlegen möchten. Wählen Sie dann Delegieren. Wählen Sie dann im Bestätigungsfenster erneut Delegieren aus.

    Anmerkung

    Amazon Inspector wird für Ihr Konto aktiviert, wenn Sie einen Administrator delegieren.

Mitgliedskonten hinzufügen

Als delegierter Administrator können Sie das Scannen für jedes Mitglied aktivieren, das dem Verwaltungskonto der Organizations zugeordnet ist. Dieser Workflow aktiviert alle Scanarten für alle Mitgliedskonten. Mitglieder können Amazon Inspector jedoch auch für ihre eigenen Konten aktivieren, oder Scans für einen Service können vom delegierten Administrator selektiv aktiviert werden. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

  1. Melden Sie sich beim delegierten Administratorkonto an.

  2. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  3. Wählen Sie im Navigationsbereich Account Management aus. In der Tabelle Konten werden alle Mitgliedskonten angezeigt, die dem Verwaltungskonto der Organizations zugeordnet sind.

  4. Auf der Seite Kontoverwaltung können Sie im oberen Banner die Option Scannen für alle Konten aktivieren auswählen, um EC2-Instances, ECR-Container-Images und die AWS Lambda Funktion Scannen für alle Konten in Ihrer Organisation zu aktivieren. Alternativ können Sie die Konten, die Sie als Mitglieder hinzufügen möchten, auswählen, indem Sie sie in der Tabelle Konten auswählen. Wählen Sie dann im Menü Aktivieren die Option Alle Scans aus.

  5. (Optional) Aktivieren Sie die Funktion Inspector automatisch für neue Mitgliedskonten aktivieren und wählen Sie die zu berücksichtigenden Scantypen aus, um diese Scans für alle neuen Mitgliedskonten zu aktivieren, die Ihrer Organisation hinzugefügt werden.

Amazon Inspector bietet derzeit Scans für EC2-Instances, ECR-Container-Images und AWS Lambda Funktionen. Nachdem Sie Amazon Inspector aktiviert haben, werden automatisch alle infrage kommenden Ressourcen erkannt und gescannt. Überprüfen Sie die folgenden Informationen zum Scantyp, um zu erfahren, welche Ressourcen standardmäßig in Frage kommen:

Amazon EC2-Scannen

Um CVE-Schwachstellendaten für Ihre EC2-Instances bereitzustellen, benötigt Amazon Inspector, dass der AWS Systems Manager (SSM) -Agent installiert und aktiviert ist. Dieser Agent ist auf vielen EC2-Instances vorinstalliert, Sie müssen ihn jedoch möglicherweise manuell aktivieren. Unabhängig vom Status des SSM-Agenten werden alle Ihre EC2-Instances auf Netzwerkprobleme überprüft. Weitere Informationen zur Konfiguration von Scans für Amazon EC2 finden Sie unterScannen von Amazon EC2 EC2-Instances mit Amazon Inspector.

Amazon ECR-Scannen

Wenn Sie das Amazon ECR-Scannen aktivieren, konvertiert Amazon Inspector alle Container-Repositorys in Ihrer privaten Registrierung, die für das standardmäßige Standard-Scannen von Amazon ECR konfiguriert sind, in das erweiterte Scannen mit kontinuierlichem Scannen. Sie können diese Einstellung auch optional so konfigurieren, dass nur bei Push gescannt wird oder dass ausgewählte Repositorys anhand von Einschlussregeln gescannt werden. Für alle Bilder, die innerhalb der letzten 30 Tage übertragen wurden, ist das Scannen auf Lebenszeit geplant. Diese Amazon ECR-Scaneinstellung kann vom delegierten Administrator jederzeit geändert werden. Weitere Informationen zur Konfiguration von Scans für Amazon ECR finden Sie unterScannen von Amazon ECR-Container-Bildern mit Amazon Inspector.

AWS Lambda Funktion Scannen

Wenn Sie den AWS Lambda Funktionsscan aktivieren, erkennt Amazon Inspector die Lambda-Funktionen in Ihrem Konto und beginnt sofort, sie auf Sicherheitslücken zu scannen. Amazon Inspector scannt neue Lambda-Funktionen und -Layer, wenn sie bereitgestellt werden, und scannt sie erneut, wenn sie aktualisiert werden oder wenn neue Common Vulnerabilities and Exposures (CVEs) veröffentlicht werden. Weitere Hinweise zur Konfiguration des Lambda-Funktionsscannens finden Sie unterAWS Lambda Scanfunktionen mit Amazon Inspector.

Schritt 2: Ergebnisse von Amazon Inspector anzeigen

Sie können die Ergebnisse für Ihre Umgebung in der Amazon Inspector Inspector-Konsole oder über die API anzeigen. Alle Ergebnisse werden auch an Amazon weitergeleitet EventBridge und AWS Security Hub (falls aktiviert). Darüber hinaus werden die Ergebnisse von Container-Images an Amazon ECR übertragen.

Die Amazon Inspector Inspector-Konsole bietet verschiedene Anzeigeformate für Ihre Ergebnisse. Das Amazon Inspector-Dashboard bietet Ihnen einen allgemeinen Überblick über die Risiken für Ihre Umgebung, während Sie in der Tabelle Ergebnisse die Details eines bestimmten Ergebnisses einsehen können.

In diesem Schritt untersuchen Sie anhand der Tabelle Ergebnisse und des Dashboards Ergebnisse die Details eines Ergebnisses. Informationen zum Amazon Inspector-Dashboard finden Sie unterDas Dashboard verstehen.

So zeigen Sie Details zu den Ergebnissen für Ihre Umgebung in der Amazon Inspector Inspector-Konsole an:

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie im Navigationsbereich Dashboard aus. Sie können einen der Links im Dashboard auswählen, um zu einer Seite in der Amazon Inspector Inspector-Konsole mit weiteren Details zu diesem Artikel zu gelangen.

  3. Wählen Sie im Navigationsbereich Findings aus.

  4. Standardmäßig wird die Registerkarte Alle Ergebnisse angezeigt, auf der alle Ergebnisse der EC2-Instance, des ECR-Container-Images und der AWS Lambda Funktionen für Ihre Umgebung angezeigt werden.

  5. Wählen Sie in der Ergebnisliste in der Titelspalte einen Namen für das Ergebnis aus, um den Detailbereich für dieses Ergebnis zu öffnen. Alle Ergebnisse verfügen über eine Registerkarte mit den Ergebnisdetails. Sie können auf folgende Weise mit der Registerkarte „Details zum Befund“ interagieren:

    • Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie unter dem Link im Abschnitt Details zur Sicherheitsanfälligkeit, um die Dokumentation zu dieser Sicherheitsanfälligkeit zu öffnen.

    • Um Ihre Ressource genauer zu untersuchen, folgen Sie dem Link Ressourcen-ID im Abschnitt Betroffene Ressource, um die Servicekonsole für die betroffene Ressource zu öffnen.

    Zu den Ergebnissen von Paketen mit Sicherheitslücken gibt es auch eine Registerkarte „Inspector Score“ und „Vulnerability Intelligence“, in der erklärt wird, wie der Amazon Inspector-Score für diese Entdeckung berechnet wurde, und es werden Informationen zu den allgemeinen Sicherheitslücken und Exploits (CVE) bereitgestellt, die mit der Entdeckung verknüpft sind. Weitere Informationen zu den Suchtypen finden Sie unter. Typen in Amazon Inspector finden