Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Suchtypen von Amazon Inspector
In diesem Abschnitt werden die verschiedenen Findetypen in Amazon Inspector beschrieben.
Sicherheitslücke im Package
Package von Ergebnissen zu Sicherheitslücken in Paketen werden Softwarepakete in Ihrer AWS Umgebung identifiziert, die häufig auftretenden Sicherheitslücken und Risiken ausgesetzt sind (CVEs). Angreifer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Das CVE-System ist eine Referenzmethode für öffentlich bekannte Sicherheitslücken und Sicherheitslücken. Weitere Informationen finden Sie unter https://www.cve.org/.
Amazon Inspector kann Ergebnisse zu Sicherheitslücken in Paketen für EC2 Instances, ECR-Container-Images und Lambda-Funktionen generieren. Die Ergebnisse der Sicherheitslücken von Paketen enthalten zusätzliche Details, die für diesen Befundtyp einzigartig sind, nämlich den Inspector-Score und die Schwachstelleninformationen.
Sicherheitslücke im Code
Die Ergebnisse von Sicherheitslücken im Code helfen dabei, Codezeilen zu identifizieren, die ausgenutzt werden können. Zu den Sicherheitslücken im Code gehören fehlende Verschlüsselung, Datenlecks, Injektionsfehler und schwache Kryptografie. Amazon Inspector generiert mithilfe von Lambda-Funktionsscans und seiner Code Security-Funktion Erkenntnisse zu Sicherheitslücken im Code.
Amazon Inspector bewertet den Anwendungscode der Lambda-Funktion mithilfe automatisierter Argumentation und maschinellem Lernen, um den Anwendungscode auf allgemeine Sicherheitsbestimmungen hin zu analysieren. Es identifiziert Richtlinienverstöße und Sicherheitslücken auf der Grundlage interner Detektoren, die in Zusammenarbeit mit Amazon entwickelt wurden CodeGuru. Eine Liste möglicher Erkennungen finden Sie unter CodeGuru Detector Library.
Beim Codescan werden Codefragmente erfasst, um erkannte Sicherheitslücken hervorzuheben. Beispielsweise kann ein Codeausschnitt hartcodierte Anmeldeinformationen oder andere vertrauliche Materialien im Klartext enthalten. CodeGuru speichert Codefragmente, die mit Sicherheitslücken im Zusammenhang stehen. Standardmäßig ist Ihr Code mit einem AWS eigenen Schlüssel verschlüsselt. Sie können jedoch einen vom Kunden verwalteten Schlüssel erstellen, um Ihren Code zu verschlüsseln, wenn Sie mehr Kontrolle über diese Informationen haben möchten. Weitere Informationen finden Sie unter Verschlüsselung im Ruhezustand für den Code in Ihren Ergebnissen.
Anmerkung
Der delegierte Administrator einer Organisation kann keine Codefragmente einsehen, die zu Mitgliedskonten gehören.
Erreichbarkeit über das Netzwerk
Die Ergebnisse der Netzwerkerreichbarkeit deuten darauf hin, dass es in Ihrer Umgebung offene Netzwerkpfade zu EC2 Amazon-Instances gibt. Diese Ergebnisse treten auf, wenn Ihre TCP- und UDP-Ports von den VPC-Edges aus erreichbar sind, z. B. ein Internet-Gateway (einschließlich Instances hinter Application Load Balancers oder Classic Load Balancers), eine VPC-Peering-Verbindung oder ein VPN über ein virtuelles Gateway. Diese Ergebnisse heben Netzwerkkonfigurationen hervor, die möglicherweise zu freizügig sind, wie z. B. schlecht verwaltete Sicherheitsgruppen, Zugriffskontrolllisten oder Internet-Gateways, oder die potenziell böswilligen Zugriff ermöglichen.
Amazon Inspector generiert nur Ergebnisse zur Netzwerkerreichbarkeit für EC2 Amazon-Instances. Amazon Inspector führt alle 12 Stunden Scans nach Ergebnissen der Netzwerkerreichbarkeit durch, sobald Amazon Inspector aktiviert ist.
Amazon Inspector bewertet beim Scannen nach Netzwerkpfaden die folgenden Konfigurationen:
