Scannen von Amazon EC2 EC2-Instances mit Amazon Inspector - Amazon Inspector
Agentengestütztes ScannenScannen ohne AgentenDer Scanmodus wird verwaltetInstances von Amazon Inspector-Scans ausschließenUnterstützte Betriebssysteme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scannen von Amazon EC2 EC2-Instances mit Amazon Inspector

Das agentenlose Scannen von Amazon Inspector für Amazon EC2 befindet sich in der Vorschauversion. Ihre Nutzung der Amazon EC2-Scanfunktion ohne Agenten unterliegt Abschnitt 2 der AWS Servicebedingungen („Betas und Vorschauen“).

Das Amazon Inspector EC2-Scannen extrahiert Metadaten aus Ihrer EC2-Instance und vergleicht diese Metadaten dann mit Regeln, die in Sicherheitsempfehlungen gesammelt wurden, um Ergebnisse zu erzielen. Amazon Inspector scannt Instances auf Sicherheitslücken in Paketen und auf Probleme mit der Erreichbarkeit des Netzwerks. Informationen zu den Arten von Ergebnissen, die für diese Probleme erzielt wurden, finden Sie unter. Typen in Amazon Inspector finden

Amazon Inspector führt alle 24 Stunden Scans zur Netzwerkerreichbarkeit durch, während Paketschwachstellenscans je nach der mit der Instance verknüpften Scanmethode in einem variablen Rhythmus durchgeführt werden.

Scan-Methoden

Scans nach Sicherheitslücken in Paketen können mit einer agentenbasierten oder agentenlosen Scanmethode durchgeführt werden. Diese Scanmethoden bestimmen, wie und wann Amazon Inspector das Softwareinventar von einer EC2-Instance für Paketschwachstellenscans erfasst. Bei der agentenbasierten Methode wird der Softwareinventar vom SSM-Agent erfasst, während bei der agentenlosen Methode Amazon EBS-Snapshots anstelle eines Agenten verwendet werden.

Die von Amazon Inspector verwendeten Scanmethoden hängen von der Einstellung für den Scanmodus Ihres Kontos ab. Weitere Informationen finden Sie unterDer Scanmodus wird verwaltet.

Informationen zur Aktivierung von Amazon EC2-Scans finden Sie unterEinen Scantyp aktivieren.

Agentengestütztes Scannen

Agentenbasierte Scans werden kontinuierlich mit dem SSM-Agenten auf allen geeigneten Instanzen durchgeführt. Für agentenbasierte Scans verwendet Amazon Inspector SSM-Verknüpfungen und über diese Verknüpfungen installierte Plugins, um Softwarebestand aus Ihren Instances zu sammeln. Zusätzlich zu Paket-Schwachstellenscans für Betriebssystempakete kann das agentenbasierte Scannen von Amazon Inspector auch Paketschwachstellen in Paketen in Programmiersprachenpaketen in Linux-basierten Instances erkennen. Tiefgreifende Inspektion von Amazon Inspector für Amazon EC2 EC2-Linux-Instances

Der folgende Prozess erklärt, wie Amazon Inspector SSM verwendet, um Inventar zu sammeln und agentenbasierte Scans durchzuführen:

  1. Amazon Inspector erstellt SSM-Verknüpfungen in Ihrem Konto, um Inventar aus Ihren Instances zu sammeln. Bei einigen Instance-Typen (Windows und Linux) installieren diese Verknüpfungen Plugins auf einzelnen Instances, um Inventar zu sammeln.

  2. Mithilfe von SSM extrahiert Amazon Inspector Paketinventar aus einer Instance.

  3. Amazon Inspector bewertet das extrahierte Inventar und generiert Ergebnisse für alle erkannten Sicherheitslücken.

In Frage kommende Instanzen

Amazon Inspector verwendet die agentenbasierte Methode, um eine Instance zu scannen, wenn sie die folgenden Bedingungen erfüllt:

  • Die Instance hat ein unterstütztes Betriebssystem. Eine Liste der unterstützten Betriebssysteme finden Sie in der Spalte Unterstützung für agentengestütztes Scannen unter. Unterstützte Betriebssysteme: Amazon EC2-Scanning

  • Die Instance wird nicht von Scans durch Amazon Inspector EC2-Ausschluss-Tags ausgeschlossen.

  • Die Instance wird SSM-verwaltet. Anweisungen zur Überprüfung und Konfiguration des Agenten finden Sie unter. Den SSM-Agenten konfigurieren

Verhalten beim Scannen auf Agentenbasis

Bei Verwendung der agentenbasierten Scanmethode initiiert Amazon Inspector in den folgenden Situationen neue Schwachstellenscans von EC2-Instances:

  • Wenn Sie eine neue EC2-Instance starten.

  • Wenn Sie neue Software auf einer vorhandenen EC2-Instance (Linux und Mac) installieren.

  • Wenn Amazon Inspector seiner Datenbank ein neues CVE-Element (Common Vulnerabilities and Exposures) hinzufügt und dieses CVE für Ihre EC2-Instance (Linux und Mac) relevant ist.

Amazon Inspector aktualisiert das Feld Zuletzt gescannt für eine EC2-Instance, wenn ein erster Scan abgeschlossen ist. Danach wird das Feld Zuletzt gescannt aktualisiert, wenn Amazon Inspector das SSM-Inventar auswertet (standardmäßig alle 30 Minuten) oder wenn eine Instance erneut gescannt wird, weil ein neuer CVE, der sich auf diese Instance auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.

Sie können auf der Kontoverwaltungsseite auf der Registerkarte Instances überprüfen, wann eine EC2-Instance zuletzt auf Sicherheitslücken gescannt wurde, oder indem Sie den Befehl verwenden. ListCoverage

Den SSM-Agenten konfigurieren

Damit Amazon Inspector mithilfe der agentenbasierten Scanmethode Softwareschwachstellen für eine Amazon EC2-Instance erkennen kann, muss es sich bei der Instance um eine verwaltete Instance in Amazon EC2 Systems Manager (SSM) handeln. Bei einer von SSM verwalteten Instance ist der SSM-Agent installiert und läuft, und SSM ist berechtigt, die Instance zu verwalten. Wenn Sie SSM bereits zur Verwaltung Ihrer Instanzen verwenden, sind für agentenbasierte Scans keine weiteren Schritte erforderlich.

Der SSM-Agent wird standardmäßig auf EC2-Instances installiert, die aus einigen Amazon Machine Images (AMIs) erstellt wurden. Weitere Informationen finden Sie unter Über SSM Agent im AWS Systems Manager Benutzerhandbuch. Selbst wenn er installiert ist, müssen Sie den SSM-Agenten möglicherweise manuell aktivieren und SSM die Berechtigung zur Verwaltung Ihrer Instanz erteilen.

Das folgende Verfahren beschreibt, wie Sie eine Amazon EC2 EC2-Instance mithilfe eines IAM-Instance-Profils als verwaltete Instance konfigurieren. Das Verfahren enthält auch Links zu detaillierteren Informationen im AWS Systems Manager Benutzerhandbuch.

AmazonSSMManagedInstanceCoreist die empfohlene Richtlinie, die Sie verwenden sollten, wenn Sie ein Instanzprofil anhängen. Diese Richtlinie verfügt über alle Berechtigungen, die für das Scannen mit Amazon Inspector EC2 erforderlich sind.

Anmerkung

Mithilfe der SSM-Standardhostverwaltungskonfiguration können Sie auch die SSM-Verwaltung all Ihrer EC2-Instances automatisieren, ohne IAM-Instanzprofile verwenden zu müssen. Weitere Informationen finden Sie unter Standardkonfiguration für die Host-Verwaltung.

So konfigurieren Sie SSM für eine Amazon EC2 EC2-Instance

  1. Wenn es noch nicht von Ihrem Betriebssystemanbieter installiert wurde, installieren Sie den SSM-Agent. Weitere Informationen finden Sie unter Arbeiten mit dem SSM-Agenten.

  2. Verwenden Sie den AWS CLI , um zu überprüfen, ob der SSM-Agent ausgeführt wird. Weitere Informationen finden Sie unter Prüfen des Status des SSM-Agents und Starten des Agenten.

  3. Erteilen Sie SSM die Erlaubnis, Ihre Instanz zu verwalten. Sie können die Erlaubnis erteilen, indem Sie ein IAM-Instanzprofil erstellen und es an Ihre Instanz anhängen. Wir empfehlen die Verwendung dieser AmazonSSMManagedInstanceCoreRichtlinie, da diese Richtlinie über die Berechtigungen für SSM Distributor, SSM Inventory und SSM State Manager verfügt, die Amazon Inspector für Scans benötigt. Anweisungen zum Erstellen eines Instanzprofils mit diesen Berechtigungen und zum Anhängen einer Instanz finden Sie unter Instanzberechtigungen für Systems Manager Systems Manager konfigurieren.

  4. (Optional) Aktivieren Sie automatische Updates für den SSM-Agent. Weitere Informationen finden Sie unter Automatisieren von Updates für den SSM-Agenten.

  5. (Optional) Konfigurieren Sie Systems Manager für die Verwendung eines Amazon Virtual Private Cloud (Amazon VPC) -Endpunkts. Weitere Informationen finden Sie unter Amazon VPC-Endpoints erstellen.

Wichtig

Amazon Inspector benötigt eine Systems Manager State Manager-Zuordnung in Ihrem Konto, um den Bestand an Softwareanwendungen zu erfassen. Amazon Inspector erstellt automatisch eine Assoziation, die aufgerufen wird, InspectorInventoryCollection-do-not-delete falls noch keine vorhanden ist.

Amazon Inspector benötigt außerdem eine Ressourcendatensynchronisierung und erstellt automatisch eine, die aufgerufen wird, InspectorResourceDataSync-do-not-delete falls noch keine vorhanden ist. Weitere Informationen finden Sie unter Konfiguration der Ressourcendatensynchronisierung für Inventar im AWS Systems Manager Benutzerhandbuch. Für jedes Konto kann eine festgelegte Anzahl von Ressourcendatensynchronisierungen pro Region festgelegt werden. Weitere Informationen finden Sie unter Maximale Anzahl von Ressourcendatensynchronisierungen ( AWS-Konto pro Region) in SSM-Endpunkten und -Kontingenten. Wenn Sie dieses Maximum erreicht haben, müssen Sie eine Ressourcendatensynchronisierung löschen, siehe Ressourcendatensynchronisierungen verwalten.

Für das Scannen erstellte SSM-Ressourcen

Amazon Inspector benötigt eine Reihe von SSM-Ressourcen in Ihrem Konto, um Amazon EC2-Scans auszuführen. Die folgenden Ressourcen werden erstellt, wenn Sie das Amazon Inspector EC2-Scannen zum ersten Mal aktivieren:

Anmerkung

Wenn eine dieser SSM-Ressourcen gelöscht wird, während Amazon Inspector Amazon EC2-Scannen für Ihr Konto aktiviert ist, versucht Amazon Inspector, sie beim nächsten Scanintervall neu zu erstellen.

InspectorInventoryCollection-do-not-delete

Dies ist eine Systems Manager State Manager (SSM) -Zuordnung, die Amazon Inspector verwendet, um Softwareanwendungsinventar aus Ihren Amazon EC2 EC2-Instances zu sammeln. Wenn Ihr Konto bereits über eine SSM-Verknüpfung für die Erfassung von Inventar verfügtInstanceIds*, verwendet Amazon Inspector diese, anstatt eine eigene zu erstellen.

InspectorResourceDataSync-do-not-delete

Dies ist eine Ressourcendatensynchronisierung, die Amazon Inspector verwendet, um gesammelte Inventardaten von Ihren Amazon EC2 EC2-Instances an einen Amazon S3 S3-Bucket zu senden, der Amazon Inspector gehört. Weitere Informationen finden Sie unter Konfiguration der Ressourcendatensynchronisierung für Inventar im AWS Systems Manager Benutzerhandbuch.

InspectorDistributor-do-not-delete

Dies ist eine SSM-Verknüpfung, die Amazon Inspector zum Scannen von Windows-Instances verwendet. Diese Assoziation installiert das Amazon Inspector SSM-Plugin auf Ihren Windows-Instances. Wenn die Plugin-Datei versehentlich gelöscht wird, wird sie durch diese Verknüpfung beim nächsten Zuordnungsintervall erneut installiert.

InvokeInspectorSsmPlugin-do-not-delete

Dies ist eine SSM-Verknüpfung, die Amazon Inspector zum Scannen von Windows-Instances verwendet. Diese Zuordnung ermöglicht Amazon Inspector, Scans mithilfe des Plug-ins zu initiieren. Sie können damit auch benutzerdefinierte Intervalle für Scans von Windows-Instances festlegen. Weitere Informationen finden Sie unter Einstellung benutzerdefinierter Zeitpläne für Instance-Scans Windows.

InspectorLinuxDistributor-do-not-delete

Dies ist eine SSM-Assoziation, die Amazon Inspector für Amazon EC2 Linux Deep Inspection verwendet. Diese Assoziation installiert das Amazon Inspector SSM-Plugin auf Ihren Linux-Instances.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Dies ist eine SSM-Verbindung, die Amazon Inspector für Amazon EC2 Linux Deep Inspection verwendet. Diese Zuordnung ermöglicht es Amazon Inspector, Scans mithilfe des Plug-ins zu initiieren.

Anmerkung

Wenn Sie Amazon Inspector Amazon EC2 Scanning oder Deep Inspection deaktivieren, werden alle SSM-Ressourcen automatisch von den entsprechenden Linux-Hosts deinstalliert.

Scannen ohne Agenten

Amazon Inspector verwendet für berechtigte Instances eine agentenlose Scanmethode, wenn sich Ihr Konto im Hybrid-Scanmodus befindet (der sowohl agentenbasierte als auch agentenlose Scans umfasst). Für Scans ohne Agenten verwendet Amazon Inspector EBS-Snapshots, um ein Softwareinventar aus Ihren Instances zu erfassen. Instances, die mit der agentenlosen Methode gescannt wurden, werden sowohl auf Sicherheitslücken in Betriebssystempaketen als auch in Anwendungsprogrammiersprachenpaketen gescannt.

Anmerkung

Beim Scannen von Linux-Instances auf Sicherheitslücken in Paketen in der Programmiersprache werden bei der agentenlosen Methode alle verfügbaren Pfade gescannt, wohingegen die agentengestützte Suche nur die Standardpfade und zusätzliche Pfade scannt, die Sie als Teil angeben. Tiefgreifende Inspektion von Amazon Inspector für Amazon EC2 EC2-Linux-Instances Dies kann dazu führen, dass dieselbe Instanz unterschiedliche Ergebnisse erzielt, je nachdem, ob sie mit der agentenbasierten Methode oder der agentenlosen Methode gescannt wird.

Der folgende Prozess erklärt, wie Amazon Inspector EBS-Snapshots verwendet, um Inventar zu sammeln und agentenlose Scans durchzuführen:

  1. Amazon Inspector erstellt einen EBS-Snapshot aller Volumes, die an die Instance angehängt sind. Während Amazon Inspector es verwendet, wird der Snapshot in Ihrem Konto gespeichert und mit InspectorScan einem Tag-Schlüssel und einer eindeutigen Scan-ID als Tag-Wert gekennzeichnet.

  2. Amazon Inspector ruft mithilfe von EBS Direct-APIs Daten aus den Snapshots ab und bewertet sie auf Sicherheitslücken. Die Ergebnisse werden für alle erkannten Sicherheitslücken generiert.

  3. Amazon Inspector löscht die EBS-Snapshots, die es in Ihrem Konto erstellt hat.

In Frage kommende Instances

Amazon Inspector verwendet die agentenlose Methode, um eine Instance zu scannen, wenn sie die folgenden Bedingungen erfüllt:

  • Die Instance hat ein unterstütztes Betriebssystem. Eine Liste der unterstützten Betriebssysteme finden Sie in der Spalte Unterstützung für agentengestütztes Scannen unter. Unterstützte Betriebssysteme: Amazon EC2-Scanning

  • Die Instance wird nicht von Scans durch Amazon Inspector EC2-Ausschluss-Tags ausgeschlossen.

  • Die Instance hat den Status Unmanaged EC2 instanceStale inventory, oderNo inventory.

  • Die Instance ist EBS-gestützt und hat eines der folgenden Dateisystemformate:

    • ext3

    • ext4

    • xfs

Verhalten beim Scannen ohne Agenten

Wenn Ihr Konto für Hybrid-Scanning konfiguriert ist, führt Amazon Inspector alle 24 Stunden agentenlose Scans auf geeigneten Instances durch. Amazon Inspector erkennt und scannt jede Stunde neue infrage kommende Instances, einschließlich neuer Instances ohne SSM-Agenten oder bereits existierende Instances mit Status, der sich auf geändert hat. SSM_UNMANAGED

Amazon Inspector aktualisiert das Feld Zuletzt gescannt für eine Amazon EC2 EC2-Instance, wenn nach einem agentenlosen Scan extrahierte Snapshots aus einer Instance gescannt werden.

Sie können auf der Kontoverwaltungsseite auf der Registerkarte Instances überprüfen, wann eine EC2-Instance zuletzt auf Sicherheitslücken gescannt wurde, oder indem Sie den Befehl verwenden. ListCoverage

Der Scanmodus wird verwaltet

Ihr EC2-Scanmodus bestimmt, welche Scanmethoden Amazon Inspector bei der Durchführung von EC2-Scans in Ihrem Konto verwendet. Sie können den Scanmodus für Ihr Konto auf der Seite mit den EC2-Scaneinstellungen unter Allgemeine Einstellungen einsehen. Eigenständige Konten oder von Amazon Inspector delegierte Administratoren können den Scanmodus ändern. Wenn Sie den Scanmodus als delegierter Administrator von Amazon Inspector festlegen, wird dieser Scanmodus für alle Mitgliedskonten in Ihrer Organisation festgelegt. Amazon Inspector bietet die folgenden Scanmodi:

Agentengestütztes Scannen — In diesem Scanmodus verwendet Amazon Inspector ausschließlich die agentenbasierte Scanmethode, um nach Sicherheitslücken in Paketen zu suchen. Dieser Scanmodus scannt nur SSM-verwaltete Instances in Ihrem Konto, bietet jedoch den Vorteil, dass als Reaktion auf neue CVES oder Änderungen an den Instances kontinuierliche Scans bereitgestellt werden. Agentenbasiertes Scannen bietet auch Amazon Inspector Deep Inspection für berechtigte Instances. Dies ist der Standard-Scanmodus für neu aktivierte Konten.

Hybrid-Scan — In diesem Scanmodus verwendet Amazon Inspector eine Kombination aus agentenbasierten und agentenlosen Methoden, um nach Sicherheitslücken in Paketen zu suchen. Für berechtigte EC2-Instances, auf denen der SSM-Agent installiert und konfiguriert ist, verwendet Amazon Inspector die agentenbasierte Methode. Für berechtigte Instances, die nicht über SSM verwaltet werden, verwendet Amazon Inspector die agentenlose Methode für berechtigte EBS-gestützte Instances.

Um den Scanmodus zu ändern

  1. Öffnen Sie die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie mit der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Ihren EC2-Scanmodus ändern möchten.

  3. Wählen Sie im seitlichen Navigationsbereich unter Allgemeine Einstellungen die Option EC2-Scaneinstellungen aus.

  4. Wählen Sie unter Scanmodus die Option Bearbeiten aus.

  5. Wählen Sie einen Scanmodus und dann Änderungen speichern aus.

Instances von Amazon Inspector-Scans ausschließen

Sie können bestimmte Instances taggen, um sie von Amazon Inspector-Scans auszuschließen. Wenn Sie Instances von Scans ausschließen, können Sie verhindern, dass Warnmeldungen nicht bearbeitet werden können. Ausgeschlossene Instanzen werden Ihnen nicht in Rechnung gestellt.

Um eine EC2-Instance von Scans auszuschließen, kennzeichnen Sie diese Instance mit dem folgenden Schlüssel:

  • InspectorEc2Exclusion

Der Wert ist optional.

Weitere Informationen zum Hinzufügen von Tags finden Sie unter Taggen Ihrer Amazon EC2 EC2-Ressourcen.

Darüber hinaus können Sie ein verschlüsseltes EBS-Volume von Scans ohne Agenten ausschließen, indem Sie den AWS KMS Schlüssel, mit dem das Volume verschlüsselt wurde, mit dem Tag kennzeichnen. InspectorEc2Exclusion Weitere Informationen finden Sie unter Kennzeichnen von Schlüsseln

Unterstützte Betriebssysteme

Amazon Inspector scannt unterstützte Mac-, Windows- und Linux-EC2-Instances auf Sicherheitslücken in Betriebssystempaketen. Für Linux-Instances kann Amazon Inspector Ergebnisse für Anwendungsprogrammiersprachenpakete erstellen, die verwendet Tiefgreifende Inspektion von Amazon Inspector für Amazon EC2 EC2-Linux-Instances werden. Für Mac- und Windows-Instances werden nur Betriebssystempakete gescannt.

Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne SSM-Agent gescannt werden können, finden Sie unterUnterstützte Betriebssysteme für Amazon EC2-Scans.