Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Inspector-Steuerelemente
Diese Kontrollen beziehen sich auf die Ressourcen von Amazon Inspector.
Diese Steuerungen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[Inspector.1] Das EC2 Scannen mit Amazon Inspector sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-ec2-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das EC2 Scannen mit Amazon Inspector aktiviert ist. Die Steuerung schlägt fehl, wenn der Amazon EC2 Inspector-Scan nicht aktiviert ist.
Anmerkung
In einer Umgebung mit mehreren Konten bewertet diese Steuerung nur das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die EC2 Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern.
EC2Das Scannen mit Amazon Inspector extrahiert Metadaten aus Ihrer Amazon Elastic Compute Cloud (AmazonEC2) -Instance und vergleicht diese Metadaten dann mit Regeln, die in Sicherheitsempfehlungen gesammelt wurden, um Ergebnisse zu erzielen. Amazon Inspector scannt Instances auf Paketschwachstellen und Probleme mit der Netzwerkerreichbarkeit. Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne einen SSM Agenten gescannt werden können, finden Sie unter Unterstützte Betriebssysteme: EC2 Amazon-Scannen.
Abhilfe
Informationen zum Aktivieren von Amazon EC2 Inspector-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
[Inspector.2] Das ECR Scannen mit Amazon Inspector sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-ecr-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das ECR Scannen mit Amazon Inspector aktiviert ist. Die Steuerung schlägt fehl, wenn der Amazon ECR Inspector-Scan nicht aktiviert ist.
Anmerkung
In einer Umgebung mit mehreren Konten bewertet diese Steuerung nur das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die ECR Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern.
Amazon Inspector scannt Container-Images, die in Amazon Elastic Container Registry (AmazonECR) gespeichert sind, auf Softwareschwachstellen, um Sicherheitslücken in Paketen zu ermitteln. Wenn Sie Amazon Inspector-Scans für Amazon aktivierenECR, legen Sie Amazon Inspector als Ihren bevorzugten Scan-Service für Ihre private Registrierung fest. Dadurch wird das einfache Scannen, das von Amazon kostenlos zur Verfügung gestellt wirdECR, durch das erweiterte Scannen ersetzt, das über Amazon Inspector bereitgestellt und in Rechnung gestellt wird. Das erweiterte Scannen bietet Ihnen den Vorteil eines Sicherheitslückenscans sowohl für Betriebssysteme als auch für Programmiersprachenpakete auf Registrierungsebene. Sie können die Ergebnisse, die mit dem erweiterten Scannen entdeckt wurden, auf Bildebene für jede Ebene des Bilds in der ECR Amazon-Konsole überprüfen. Darüber hinaus können Sie diese Ergebnisse in anderen Diensten überprüfen und mit ihnen arbeiten, die für grundlegende Scanergebnisse nicht verfügbar sind, einschließlich AWS Security Hub Amazon EventBridge.
Abhilfe
Informationen zum Aktivieren von Amazon ECR Inspector-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-lambda-code-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das Scannen von Amazon Inspector Lambda-Code aktiviert ist. Die Steuerung schlägt fehl, wenn das Scannen von Amazon Inspector Lambda-Code nicht aktiviert ist.
Anmerkung
In einer Umgebung mit mehreren Konten bewertet diese Steuerung nur das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Code-Scanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern.
Das Amazon Inspector Lambda-Codescanning scannt den benutzerdefinierten Anwendungscode innerhalb einer AWS Lambda Funktion auf Code-Schwachstellen auf der Grundlage bewährter AWS Sicherheitsmethoden. Durch das Scannen von Lambda-Code können Injektionsfehler, Datenlecks, schwache Kryptografie oder fehlende Verschlüsselung in Ihrem Code erkannt werden. Diese Funktion ist nur in bestimmten AWS-Regionen Fällen verfügbar. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein).
Abhilfe
Informationen zur Aktivierung des Amazon Inspector Lambda-Code-Scans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
[Inspector.4] Das Standardscannen von Amazon Inspector Lambda sollte aktiviert sein
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Hoch
Art der Ressource: AWS::::Account
AWS Config -Regel: inspector-lambda-standard-scan-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob das Standardscannen von Amazon Inspector Lambda aktiviert ist. Die Steuerung schlägt fehl, wenn das Standardscannen von Amazon Inspector Lambda nicht aktiviert ist.
Anmerkung
In einer Umgebung mit mehreren Konten bewertet diese Steuerung nur das delegierte Amazon Inspector-Administratorkonto. Nur der delegierte Administrator kann die Lambda-Standardscanfunktion für die Mitgliedskonten in der Organisation aktivieren oder deaktivieren. Amazon Inspector Inspector-Mitgliedskonten können diese Konfiguration nicht von ihren Konten aus ändern.
Das Standard-Scannen von Amazon Inspector Lambda identifiziert Softwareschwachstellen in den Abhängigkeiten von Anwendungspaketen, die Sie Ihrem AWS Lambda Funktionscode und Ihren Ebenen hinzufügen. Wenn Amazon Inspector eine Sicherheitslücke in den Abhängigkeiten Ihrer Lambda-Funktionsanwendung feststellt, erstellt Amazon Inspector eine detaillierte Package Vulnerability Typfindung. Sie können das Lambda-Code-Scannen zusammen mit dem Lambda-Standardscannen aktivieren (siehe[Inspector.3] Das Scannen von Amazon Inspector Lambda-Code sollte aktiviert sein).
Abhilfe
Informationen zur Aktivierung von Amazon Inspector Lambda-Standardscans finden Sie unter Aktivieren von Scans im Amazon Inspector Inspector-Benutzerhandbuch.
