Scannen von EC2 Amazon-Instances mit Amazon Inspector - Amazon Inspector
Agentengestütztes ScannenScannen ohne AgentenDen Scanmodus verwaltenInstanzen von Amazon Inspector-Scans ausschließenUnterstützte Betriebssysteme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scannen von EC2 Amazon-Instances mit Amazon Inspector

Amazon Inspector Amazon EC2 Scanning extrahiert Metadaten aus Ihrer EC2 Instance, bevor die Metadaten mit Regeln verglichen werden, die in Sicherheitsempfehlungen gesammelt wurden. Amazon Inspector scannt Instances auf Sicherheitslücken in Paketen und Problemen mit der Erreichbarkeit des Netzwerks, um Ergebnisse zu erzielen. Amazon Inspector führt alle 12 Stunden Netzwerkerreichbarkeitsscans und Paketschwachstellenscans in einem variablen Rhythmus durch, der von der Scanmethode abhängt, die mit der Instance verknüpft ist. EC2

Scans nach Sicherheitslücken in Paketen können mit einer agentenbasierten oder agentenlosen Scanmethode durchgeführt werden. Beide Scanmethoden bestimmen, wie und wann Amazon Inspector das Softwareinventar von einer EC2 Instance für Paketschwachstellenscans erfasst. Agentenbasiertes Scannen erfasst Softwareinventar mithilfe des SSM-Agenten, und agentenloses Scannen erfasst Softwareinventar mithilfe von Amazon EBS-Snapshots.

Amazon Inspector verwendet die Scanmethoden, die Sie für Ihr Konto aktivieren. Wenn Sie Amazon Inspector zum ersten Mal aktivieren, wird Ihr Konto automatisch für das Hybrid-Scannen registriert, das beide Scanmethoden verwendet. Sie können diese Einstellung jedoch jederzeit ändern. Informationen zur Aktivierung eines Suchtyps finden Sie unter Einen Scantyp aktivieren. Dieser Abschnitt enthält Informationen zum EC2 Scannen durch Amazon.

Anmerkung

Amazon EC2 Scanning scannt keine Dateisystemverzeichnisse, die sich auf virtuelle Umgebungen beziehen, auch wenn sie im Rahmen einer gründlichen Inspektion bereitgestellt wurden. Beispielsweise /var/lib/docker/ wird der Pfad nicht gescannt, da er häufig für Container-Laufzeiten verwendet wird.

Agentengestütztes Scannen

Agentenbasierte Scans werden kontinuierlich mit dem SSM-Agenten auf allen geeigneten Instanzen durchgeführt. Für agentenbasierte Scans verwendet Amazon Inspector SSM-Verknüpfungen und über diese Verknüpfungen installierte Plugins, um Softwarebestand aus Ihren Instances zu sammeln. Zusätzlich zu Paket-Schwachstellenscans für Betriebssystempakete kann das agentenbasierte Scannen von Amazon Inspector auch Paketschwachstellen in Paketen in Programmiersprachenpaketen in Linux-basierten Instances erkennen. Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances

Der folgende Prozess erklärt, wie Amazon Inspector SSM verwendet, um Inventar zu sammeln und agentenbasierte Scans durchzuführen:

  1. Amazon Inspector erstellt SSM-Verknüpfungen in Ihrem Konto, um Inventar aus Ihren Instances zu sammeln. Bei einigen Instance-Typen (Windows und Linux) installieren diese Verknüpfungen Plugins auf einzelnen Instances, um Inventar zu sammeln.

  2. Mithilfe von SSM extrahiert Amazon Inspector Paketinventar aus einer Instance.

  3. Amazon Inspector bewertet das extrahierte Inventar und generiert Ergebnisse für alle erkannten Sicherheitslücken.

Anmerkung

Für agentenbasiertes Scannen muss die EC2 Amazon-Instance von SSM in derselben verwaltet werden. AWS-Konto

In Frage kommende Instanzen

Amazon Inspector verwendet die agentenbasierte Methode, um eine Instance zu scannen, wenn sie die folgenden Bedingungen erfüllt:

  • Die Instance hat ein unterstütztes Betriebssystem. Eine Liste der unterstützten Betriebssysteme finden Sie in der Spalte Unterstützung für agentengestütztes Scannen unter. Unterstützte Betriebssysteme: EC2 Amazon-Scanning

  • Die Instance wird nicht von Scans durch Amazon Inspector EC2 Inspector-Ausschluss-Tags ausgeschlossen.

  • Die Instance wird SSM-verwaltet. Anweisungen zur Überprüfung und Konfiguration des Agenten finden Sie unter. Den SSM-Agenten konfigurieren

Verhalten beim Scannen auf Agentenbasis

Bei Verwendung der agentenbasierten Scanmethode initiiert Amazon Inspector in den folgenden Situationen neue Schwachstellenscans von EC2 Instances:

  • Wenn Sie eine neue EC2 Instance starten.

  • Wenn Sie neue Software auf einer vorhandenen EC2 Instanz (Linux und Mac) installieren.

  • Wenn Amazon Inspector seiner Datenbank ein neues CVE-Element (Common Vulnerabilities and Exposures) hinzufügt und dieses CVE für Ihre EC2 Instance (Linux und Mac) relevant ist.

Amazon Inspector aktualisiert das Feld Zuletzt gescannt für eine EC2 Instance, wenn ein erster Scan abgeschlossen ist. Danach wird das Feld Zuletzt gescannt aktualisiert, wenn Amazon Inspector das SSM-Inventar auswertet (standardmäßig alle 30 Minuten) oder wenn eine Instance erneut gescannt wird, weil ein neuer CVE, der sich auf diese Instance auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.

Sie können auf der Kontoverwaltungsseite auf der Registerkarte Instances überprüfen, wann eine EC2 Instance zuletzt auf Sicherheitslücken gescannt wurde, oder indem Sie den Befehl verwenden. ListCoverage

Den SSM-Agenten konfigurieren

Damit Amazon Inspector mithilfe der agentenbasierten Scanmethode Softwareschwachstellen für eine EC2 Amazon-Instance erkennen kann, muss es sich bei der Instance um eine verwaltete Instance in Amazon EC2 Systems Manager (SSM) handeln. Bei einer von SSM verwalteten Instance ist der SSM-Agent installiert und läuft, und SSM ist berechtigt, die Instance zu verwalten. Wenn Sie SSM bereits zur Verwaltung Ihrer Instanzen verwenden, sind für agentenbasierte Scans keine weiteren Schritte erforderlich.

Der SSM-Agent wird standardmäßig auf EC2 Instances installiert, die aus einigen Amazon Machine Images (AMIs) erstellt wurden. Weitere Informationen finden Sie unter Über SSM Agent im AWS Systems Manager Benutzerhandbuch. Selbst wenn er installiert ist, müssen Sie den SSM-Agenten möglicherweise manuell aktivieren und SSM die Berechtigung zur Verwaltung Ihrer Instanz erteilen.

Das folgende Verfahren beschreibt, wie Sie eine EC2 Amazon-Instance mithilfe eines IAM-Instance-Profils als verwaltete Instance konfigurieren. Das Verfahren enthält auch Links zu detaillierteren Informationen im AWS Systems Manager Benutzerhandbuch.

AmazonSSMManagedInstanceCoreist die empfohlene Richtlinie, die Sie verwenden sollten, wenn Sie ein Instanzprofil anhängen. Diese Richtlinie verfügt über alle Berechtigungen, die für das EC2 Scannen mit Amazon Inspector erforderlich sind.

Anmerkung

Mithilfe der SSM-Standardkonfiguration für die Hostverwaltung können Sie auch die SSM-Verwaltung all Ihrer EC2 Instances automatisieren, ohne IAM-Instanzprofile verwenden zu müssen. Weitere Informationen finden Sie unter Standardkonfiguration für die Host-Verwaltung.

Um SSM für eine EC2 Amazon-Instance zu konfigurieren

  1. Wenn es noch nicht von Ihrem Betriebssystemanbieter installiert wurde, installieren Sie den SSM-Agent. Weitere Informationen finden Sie unter Arbeiten mit dem SSM-Agenten.

  2. Verwenden Sie den AWS CLI , um zu überprüfen, ob der SSM-Agent ausgeführt wird. Weitere Informationen finden Sie unter Prüfen des Status des SSM-Agents und Starten des Agenten.

  3. Erteilen Sie SSM die Erlaubnis, Ihre Instanz zu verwalten. Sie können die Erlaubnis erteilen, indem Sie ein IAM-Instanzprofil erstellen und es an Ihre Instanz anhängen. Wir empfehlen die Verwendung dieser AmazonSSMManagedInstanceCoreRichtlinie, da diese Richtlinie über die Berechtigungen für SSM Distributor, SSM Inventory und SSM State Manager verfügt, die Amazon Inspector für Scans benötigt. Anweisungen zum Erstellen eines Instanzprofils mit diesen Berechtigungen und zum Anhängen einer Instanz finden Sie unter Instanzberechtigungen für Systems Manager Systems Manager konfigurieren.

  4. (Optional) Aktivieren Sie automatische Updates für den SSM-Agent. Weitere Informationen finden Sie unter Automatisieren von Updates für den SSM-Agenten.

  5. (Optional) Konfigurieren Sie Systems Manager für die Verwendung eines Amazon Virtual Private Cloud (Amazon VPC) -Endpunkts. Weitere Informationen finden Sie unter Amazon VPC-Endpoints erstellen.

Wichtig

Amazon Inspector benötigt eine Systems Manager State Manager-Zuordnung in Ihrem Konto, um den Bestand an Softwareanwendungen zu erfassen. Amazon Inspector erstellt automatisch eine Assoziation, die aufgerufen wird, InspectorInventoryCollection-do-not-delete falls noch keine vorhanden ist.

Amazon Inspector benötigt außerdem eine Ressourcendatensynchronisierung und erstellt automatisch eine, die aufgerufen wird, InspectorResourceDataSync-do-not-delete falls noch keine vorhanden ist. Weitere Informationen finden Sie unter Konfiguration der Ressourcendatensynchronisierung für Inventar im AWS Systems Manager Benutzerhandbuch. Für jedes Konto kann eine festgelegte Anzahl von Ressourcendatensynchronisierungen pro Region festgelegt werden. Weitere Informationen finden Sie unter Maximale Anzahl von Ressourcendatensynchronisierungen ( AWS-Konto pro Region) in SSM-Endpunkten und -Kontingenten.

Für das Scannen erstellte SSM-Ressourcen

Amazon Inspector benötigt eine Reihe von SSM-Ressourcen in Ihrem Konto, um EC2 Amazon-Scans auszuführen. Die folgenden Ressourcen werden erstellt, wenn Sie das Amazon EC2 Inspector-Scannen zum ersten Mal aktivieren:

Anmerkung

Wenn eine dieser SSM-Ressourcen gelöscht wird, während Amazon Inspector Amazon EC2 Scanning für Ihr Konto aktiviert ist, versucht Amazon Inspector, sie beim nächsten Scanintervall neu zu erstellen.

InspectorInventoryCollection-do-not-delete

Dies ist eine Systems Manager State Manager (SSM) -Zuordnung, die Amazon Inspector verwendet, um Softwareanwendungsinventar aus Ihren EC2 Amazon-Instances zu sammeln. Wenn Ihr Konto bereits über eine SSM-Verknüpfung für die Erfassung von Inventar verfügtInstanceIds*, verwendet Amazon Inspector diese, anstatt eine eigene zu erstellen.

InspectorResourceDataSync-do-not-delete

Dies ist eine Ressourcendatensynchronisierung, die Amazon Inspector verwendet, um gesammelte Inventardaten von Ihren EC2 Amazon-Instances an einen Amazon S3-Bucket zu senden, der Amazon Inspector gehört. Weitere Informationen finden Sie unter Konfiguration der Ressourcendatensynchronisierung für Inventar im AWS Systems Manager Benutzerhandbuch.

InspectorDistributor-do-not-delete

Dies ist eine SSM-Verknüpfung, die Amazon Inspector zum Scannen von Windows-Instances verwendet. Diese Assoziation installiert das Amazon Inspector SSM-Plugin auf Ihren Windows-Instances. Wenn die Plugin-Datei versehentlich gelöscht wird, wird sie durch diese Verknüpfung beim nächsten Zuordnungsintervall erneut installiert.

InvokeInspectorSsmPlugin-do-not-delete

Dies ist eine SSM-Verknüpfung, die Amazon Inspector zum Scannen von Windows-Instances verwendet. Diese Zuordnung ermöglicht es Amazon Inspector, Scans mithilfe des Plug-ins zu initiieren. Sie können damit auch benutzerdefinierte Intervalle für Scans von Windows-Instances festlegen. Weitere Informationen finden Sie unter Einstellung benutzerdefinierter Zeitpläne für Windows Instanzscans.

InspectorLinuxDistributor-do-not-delete

Dies ist eine SSM-Assoziation, die Amazon Inspector für Amazon EC2 Linux Deep Inspection verwendet. Diese Assoziation installiert das Amazon Inspector SSM-Plugin auf Ihren Linux-Instances.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Dies ist eine SSM-Verbindung, die Amazon Inspector für Amazon EC2 Linux Deep Inspection verwendet. Diese Zuordnung ermöglicht es Amazon Inspector, Scans mithilfe des Plug-ins zu initiieren.

Anmerkung

Wenn Sie Amazon Inspector Amazon EC2 Scanning oder Deep Inspection deaktivieren, InvokeInspectorLinuxSsmPlugin-do-not-delete wird die SSM-Ressource nicht mehr aufgerufen.

Scannen ohne Agenten

Amazon Inspector verwendet die agentenlose Scanmethode für berechtigte Instances, wenn sich Ihr Konto im Hybrid-Scanmodus befindet. Der Hybrid-Scanmodus umfasst agentenbasierte und agentenlose Scans und wird automatisch aktiviert, wenn Sie EC2 Amazon-Scanning aktivieren.

Für Scans ohne Agenten verwendet Amazon Inspector EBS-Snapshots, um ein Softwareinventar aus Ihren Instances zu erfassen. Beim agentenlosen Scannen werden Instances nach Sicherheitslücken im Betriebssystem und in Paketen der Anwendungsprogrammiersprache durchsucht.

Anmerkung

Beim Scannen von Linux-Instances auf Sicherheitslücken in Paketen in der Programmiersprache werden mit der agentenlosen Methode alle verfügbaren Pfade gescannt, wohingegen das agentenbasierte Scannen nur die Standardpfade und zusätzliche Pfade scannt, die Sie als Teil angeben. Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances Dies kann dazu führen, dass dieselbe Instanz unterschiedliche Ergebnisse erzielt, je nachdem, ob sie mit der agentenbasierten Methode oder der agentenlosen Methode gescannt wird.

Der folgende Prozess erklärt, wie Amazon Inspector EBS-Snapshots verwendet, um Inventar zu sammeln und agentenlose Scans durchzuführen:

  1. Amazon Inspector erstellt einen EBS-Snapshot aller Volumes, die an die Instance angehängt sind. Während Amazon Inspector es verwendet, wird der Snapshot in Ihrem Konto gespeichert und mit InspectorScan einem Tag-Schlüssel und einer eindeutigen Scan-ID als Tag-Wert gekennzeichnet.

  2. Amazon Inspector ruft mithilfe von EBS Direct Daten aus den Snapshots ab APIs und bewertet sie auf Sicherheitslücken. Die Ergebnisse werden für alle erkannten Sicherheitslücken generiert.

  3. Amazon Inspector löscht die EBS-Snapshots, die es in Ihrem Konto erstellt hat.

In Frage kommende Instances

Amazon Inspector verwendet die agentenlose Methode, um eine Instance zu scannen, wenn sie die folgenden Bedingungen erfüllt:

  • Die Instance hat ein unterstütztes Betriebssystem. Weitere Informationen finden Sie in der Spalte >Unterstützung für agentengestütztes Scannen von. Unterstützte Betriebssysteme: EC2 Amazon-Scanning

  • Die Instanz hat den Status Unmanaged EC2 instanceStale inventory, oder. No inventory

  • Die Instance wird von Amazon EBS unterstützt und hat eines der folgenden Dateisystemformate:

    • ext3

    • ext4

    • xfs

  • Die Instance ist nicht von Scans über EC2 Amazon-Ausschluss-Tags ausgeschlossen.

  • Die Anzahl der an die Instance angehängten Volumes beträgt weniger als 8 und ihre Gesamtgröße beträgt höchstens 1200 GB.

Verhalten beim Scannen ohne Agenten

Wenn Ihr Konto für Hybrid-Scanning konfiguriert ist, führt Amazon Inspector alle 24 Stunden agentenlose Scans auf geeigneten Instances durch. Amazon Inspector erkennt und scannt jede Stunde neue infrage kommende Instances, einschließlich neuer Instances ohne SSM-Agenten oder bereits existierende Instances mit Status, der auf geändert wurde. SSM_UNMANAGED

Amazon Inspector aktualisiert das Feld Zuletzt gescannt für eine EC2 Amazon-Instance, wenn es nach einem agentenlosen Scan extrahierte Snapshots aus einer Instance scannt.

Sie können auf der Kontoverwaltungsseite auf der Registerkarte Instances überprüfen, wann eine EC2 Instance zuletzt auf Sicherheitslücken gescannt wurde, oder indem Sie den ListCoverageBefehl verwenden.

Den Scanmodus verwalten

Ihr EC2 Scanmodus bestimmt, welche Scanmethoden Amazon Inspector bei der Durchführung von EC2 Scans in Ihrem Konto verwendet. Sie können den Scanmodus für Ihr Konto auf der Seite mit den EC2 Scaneinstellungen unter Allgemeine Einstellungen einsehen. Eigenständige Konten oder von Amazon Inspector delegierte Administratoren können den Scanmodus ändern. Wenn Sie den Scanmodus als delegierter Administrator von Amazon Inspector festlegen, wird dieser Scanmodus für alle Mitgliedskonten in Ihrer Organisation festgelegt. Amazon Inspector bietet die folgenden Scanmodi:

Agentengestütztes Scannen — In diesem Scanmodus verwendet Amazon Inspector ausschließlich die agentenbasierte Scanmethode, um nach Sicherheitslücken in Paketen zu suchen. Dieser Scanmodus scannt nur SSM-verwaltete Instances in Ihrem Konto, bietet jedoch den Vorteil, dass als Reaktion auf neue CVES oder Änderungen an den Instances kontinuierliche Scans bereitgestellt werden. Agentenbasiertes Scannen bietet auch Amazon Inspector Deep Inspection für berechtigte Instances. Dies ist der Standard-Scanmodus für neu aktivierte Konten.

Hybrid-Scan — In diesem Scanmodus verwendet Amazon Inspector eine Kombination aus agentenbasierten und agentenlosen Methoden, um nach Sicherheitslücken in Paketen zu suchen. Für berechtigte EC2 Instances, auf denen der SSM-Agent installiert und konfiguriert ist, verwendet Amazon Inspector die agentenbasierte Methode. Für berechtigte Instances, die nicht über SSM verwaltet werden, verwendet Amazon Inspector die agentenlose Methode für berechtigte EBS-gestützte Instances.

Um den Scanmodus zu ändern

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie mit der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Ihren Scanmodus ändern möchten. EC2

  3. Wählen Sie im seitlichen Navigationsbereich unter Allgemeine Einstellungen die Option EC2 Scaneinstellungen aus.

  4. Wählen Sie unter Scanmodus die Option Bearbeiten aus.

  5. Wählen Sie einen Scanmodus und dann Änderungen speichern aus.

Instanzen von Amazon Inspector-Scans ausschließen

Sie können Windows Instances von Amazon Inspector-Scans ausschließenLinux, indem Sie diese Instances mit dem InspectorEc2Exclusion Schlüssel kennzeichnen. Die Angabe eines Tag-Werts ist optional. Informationen zum Hinzufügen von Tags finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen.

Wenn Sie eine Instance für den Ausschluss aus Amazon Inspector-Scans kennzeichnen, markiert Amazon Inspector die Instance als ausgeschlossen und erstellt keine Ergebnisse dafür. Das Amazon Inspector SSM-Plugin wird jedoch weiterhin aufgerufen. Um zu verhindern, dass das Plugin aufgerufen wird, müssen Sie den Zugriff auf Tags in den Instanz-Metadaten zulassen.

Anmerkung

Für ausgeschlossene Instanzen werden Ihnen keine Gebühren berechnet.

Darüber hinaus können Sie ein verschlüsseltes EBS-Volume von Scans ohne Agenten ausschließen, indem Sie den AWS KMS Schlüssel, mit dem das Volume verschlüsselt wurde, mit dem Tag kennzeichnen. InspectorEc2Exclusion Weitere Informationen finden Sie unter Kennzeichnen von Schlüsseln.

Unterstützte Betriebssysteme

Amazon Inspector scannt unterstützte Mac-, Windows- und EC2 Linux-Instances auf Sicherheitslücken in Betriebssystempaketen. Für Linux-Instances kann Amazon Inspector Ergebnisse für Anwendungsprogrammiersprachenpakete erstellen, die verwendet Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances werden. Für Mac- und Windows-Instances werden nur Betriebssystempakete gescannt.

Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne SSM-Agent gescannt werden können, finden Sie unterStatuswerte für EC2 Amazon-Instances.