Scannen von EC2 Amazon-Instances mit Amazon Inspector - Amazon Inspector
Agentengestütztes ScannenScannen ohne AgentenVerwaltung des ScanmodusInstanzen von Amazon Inspector-Scans ausschließenUnterstützte Betriebssysteme

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Scannen von EC2 Amazon-Instances mit Amazon Inspector

Amazon Inspector Amazon EC2 Scanning extrahiert Metadaten aus Ihrer EC2 Instance, bevor die Metadaten mit Regeln verglichen werden, die in Sicherheitsempfehlungen gesammelt wurden. Amazon Inspector scannt Instances auf Sicherheitslücken in Paketen und Problemen mit der Erreichbarkeit des Netzwerks, um Ergebnisse zu erzielen. Amazon Inspector führt alle 24 Stunden Netzwerkerreichbarkeitsscans und Paketschwachstellenscans in einem variablen Rhythmus durch, der von der Scanmethode abhängt, die mit der Instance verknüpft ist. EC2

Scans nach Sicherheitslücken in Paketen können mit einer agentenbasierten oder agentenlosen Scanmethode durchgeführt werden. Beide Scanmethoden bestimmen, wie und wann Amazon Inspector das Softwareinventar von einer EC2 Instance-Instance für Paketschwachstellenscans erfasst. Agentenbasiertes Scannen erfasst Softwareinventar mithilfe des SSM Agenten, und agentenloses Scannen erfasst Softwareinventar mithilfe von EBS Amazon-Snapshots.

Amazon Inspector verwendet die Scanmethoden, die Sie für Ihr Konto aktivieren. Wenn Sie Amazon Inspector zum ersten Mal aktivieren, wird Ihr Konto automatisch für das Hybrid-Scannen registriert, das beide Scanmethoden verwendet. Sie können diese Einstellung jedoch jederzeit ändern. Informationen zur Aktivierung eines Suchtyps finden Sie unter Einen Scantyp aktivieren. Dieser Abschnitt enthält Informationen zum EC2 Scannen durch Amazon.

Agentengestütztes Scannen

Agentenbasierte Scans werden kontinuierlich mit dem SSM Agenten auf allen geeigneten Instanzen durchgeführt. Für agentenbasierte Scans verwendet Amazon Inspector SSM Verknüpfungen und Plugins, die über diese Verknüpfungen installiert wurden, um Softwarebestand aus Ihren Instances zu sammeln. Zusätzlich zu Paket-Schwachstellenscans für Betriebssystempakete kann das agentenbasierte Scannen von Amazon Inspector auch Paketschwachstellen in Paketen für Anwendungsprogrammiersprachenpakete in Linux-basierten Instances erkennen. Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances

Der folgende Prozess erklärt, wie Amazon Inspector SSM Inventar sammelt und agentenbasierte Scans durchführt:

  1. Amazon Inspector erstellt SSM Verknüpfungen in Ihrem Konto, um Inventar aus Ihren Instances zu sammeln. Bei einigen Instance-Typen (Windows und Linux) installieren diese Verknüpfungen Plugins auf einzelnen Instances, um Inventar zu sammeln.

  2. Mithilfe von SSM Amazon Inspector extrahiert Amazon Inspector den Paketbestand aus einer Instance.

  3. Amazon Inspector bewertet das extrahierte Inventar und generiert Ergebnisse für alle erkannten Sicherheitslücken.

In Frage kommende Instanzen

Amazon Inspector verwendet die agentenbasierte Methode, um eine Instance zu scannen, wenn sie die folgenden Bedingungen erfüllt:

  • Die Instance hat ein unterstütztes Betriebssystem. Eine Liste der unterstützten Betriebssysteme finden Sie in der Spalte Unterstützung für agentengestütztes Scannen unter. Unterstützte Betriebssysteme: EC2 Amazon-Scanning

  • Die Instance wird nicht von Scans durch Amazon Inspector EC2 Inspector-Ausschluss-Tags ausgeschlossen.

  • Die Instance wird SSM verwaltet. Anweisungen zur Überprüfung und Konfiguration des Agenten finden Sie unterDen SSM Agenten konfigurieren.

Verhalten beim Scannen auf Agentenbasis

Bei Verwendung der agentenbasierten Scanmethode initiiert Amazon Inspector in den folgenden Situationen neue Schwachstellenscans von EC2 Instances:

  • Wenn Sie eine neue EC2 Instance starten.

  • Wenn Sie neue Software auf einer vorhandenen EC2 Instanz (Linux und Mac) installieren.

  • Wenn Amazon Inspector seiner Datenbank ein neues Element mit allgemeinen Sicherheitslücken und Risiken (CVE) hinzufügt, das für Ihre EC2 Instance (Linux und Mac) relevant CVE ist.

Amazon Inspector aktualisiert das Feld Zuletzt gescannt für eine EC2 Instance, wenn ein erster Scan abgeschlossen ist. Danach wird das Feld Zuletzt gescannt aktualisiert, wenn Amazon Inspector das SSM Inventar bewertet (standardmäßig alle 30 Minuten) oder wenn eine Instanz erneut gescannt wird, weil eine neue Instanz, die sich auf diese Instanz CVE auswirkt, zur Amazon Inspector Inspector-Datenbank hinzugefügt wurde.

Sie können auf der Kontoverwaltungsseite auf der Registerkarte Instances überprüfen, wann eine EC2 Instance zuletzt auf Sicherheitslücken gescannt wurde, oder indem Sie ListCoverageBefehl.

Den SSM Agenten konfigurieren

Damit Amazon Inspector mithilfe der agentenbasierten Scanmethode Softwareschwachstellen für eine EC2 Amazon-Instance erkennen kann, muss es sich bei der Instance um eine verwaltete Instance in Amazon EC2 Systems Manager (SSM) handeln. Bei einer SSM verwalteten Instance ist der SSM Agent installiert und läuft und er SSM ist berechtigt, die Instance zu verwalten. Wenn Sie Ihre Instanzen bereits SSM zur Verwaltung verwenden, sind für agentenbasierte Scans keine weiteren Schritte erforderlich.

Der SSM Agent wird standardmäßig auf EC2 Instances installiert, die aus einigen Amazon Machine Images (AMIs) erstellt wurden. Weitere Informationen finden Sie unter SSMAbout Agent im AWS Systems Manager Benutzerhandbuch. Selbst wenn er installiert ist, müssen Sie den SSM Agenten möglicherweise manuell aktivieren und die SSM Erlaubnis zur Verwaltung Ihrer Instanz erteilen.

Das folgende Verfahren beschreibt, wie Sie eine EC2 Amazon-Instance mithilfe eines Instance-Profils als verwaltete IAM Instance konfigurieren. Das Verfahren enthält auch Links zu detaillierteren Informationen im AWS Systems Manager Benutzerhandbuch.

AmazonSSMManagedInstanceCoreist die empfohlene Richtlinie, die Sie verwenden sollten, wenn Sie ein Instanzprofil anhängen. Diese Richtlinie verfügt über alle Berechtigungen, die für das EC2 Scannen mit Amazon Inspector erforderlich sind.

Anmerkung

Mit der SSM SSM Standard-Host-Management-Konfiguration können Sie auch die Verwaltung all Ihrer EC2 Instances automatisieren, ohne IAM Instanzprofile verwenden zu müssen. Weitere Informationen finden Sie unter Standardkonfiguration für die Host-Verwaltung.

So konfigurieren Sie SSM für eine EC2 Amazon-Instance

  1. Installieren Sie den SSM Agenten, falls er noch nicht von Ihrem Betriebssystemanbieter installiert wurde. Weitere Informationen finden Sie unter Arbeiten mit dem SSM Agenten.

  2. Verwenden Sie den AWS CLI , um zu überprüfen, ob der SSM Agent ausgeführt wird. Weitere Informationen finden Sie unter Überprüfen des SSM Agentenstatus und Starten des Agenten.

  3. Erteilen Sie die Erlaubnis, Ihre Instanz SSM zu verwalten. Sie können die Erlaubnis erteilen, indem Sie ein IAM Instanzprofil erstellen und es an Ihre Instanz anhängen. Wir empfehlen die Verwendung von AmazonSSMManagedInstanceCoreRichtlinie, da diese Richtlinie über die Berechtigungen für SSM Vertriebspartner, SSM Inventar- und SSM Statusmanager verfügt, die Amazon Inspector für Scans benötigt. Anweisungen zum Erstellen eines Instanzprofils mit diesen Berechtigungen und zum Anhängen einer Instanz finden Sie unter Instanzberechtigungen für Systems Manager Systems Manager konfigurieren.

  4. (Optional) Aktivieren Sie automatische Updates für den SSM Agenten. Weitere Informationen finden Sie unter Automatisieren von Updates für den SSM Agenten.

  5. (Optional) Konfigurieren Sie Systems Manager für die Verwendung eines Amazon Virtual Private Cloud (AmazonVPC) -Endpunkts. Weitere Informationen finden Sie unter VPCAmazon-Endpunkte erstellen.

Wichtig

Amazon Inspector benötigt eine Systems Manager State Manager-Zuordnung in Ihrem Konto, um den Bestand an Softwareanwendungen zu erfassen. Amazon Inspector erstellt automatisch eine Assoziation, die aufgerufen wird, InspectorInventoryCollection-do-not-delete falls noch keine vorhanden ist.

Amazon Inspector benötigt außerdem eine Ressourcendatensynchronisierung und erstellt automatisch eine, die aufgerufen wird, InspectorResourceDataSync-do-not-delete falls noch keine vorhanden ist. Weitere Informationen finden Sie unter Konfiguration der Ressourcendatensynchronisierung für Inventar im AWS Systems Manager Benutzerhandbuch. Für jedes Konto kann eine festgelegte Anzahl von Ressourcendatensynchronisierungen pro Region festgelegt werden. Weitere Informationen finden Sie unter Maximale Anzahl von Ressourcendatensynchronisierungen ( AWS-Konto pro Region) in SSMEndpunkten und Kontingenten.

SSMRessourcen, die für das Scannen erstellt wurden

Amazon Inspector benötigt eine Reihe von SSM Ressourcen in Ihrem Konto, um EC2 Amazon-Scans auszuführen. Die folgenden Ressourcen werden erstellt, wenn Sie das Amazon EC2 Inspector-Scannen zum ersten Mal aktivieren:

Anmerkung

Wenn eine dieser SSM Ressourcen gelöscht wird, während Amazon Inspector Amazon EC2 Scanning für Ihr Konto aktiviert ist, versucht Amazon Inspector, sie beim nächsten Scanintervall neu zu erstellen.

InspectorInventoryCollection-do-not-delete

Dies ist eine Systems Manager State Manager (SSM) -Zuordnung, die Amazon Inspector verwendet, um Softwareanwendungsinventar aus Ihren EC2 Amazon-Instances zu sammeln. Wenn Ihr Konto bereits über einen Link SSM zum Sammeln von Inventar verfügtInstanceIds*, verwendet Amazon Inspector diesen, anstatt einen eigenen zu erstellen.

InspectorResourceDataSync-do-not-delete

Dies ist eine Ressourcendatensynchronisierung, die Amazon Inspector verwendet, um gesammelte Inventardaten von Ihren EC2 Amazon-Instances an einen Amazon S3-Bucket zu senden, der Amazon Inspector gehört. Weitere Informationen finden Sie unter Konfiguration der Ressourcendatensynchronisierung für Inventar im AWS Systems Manager Benutzerhandbuch.

InspectorDistributor-do-not-delete

Dies ist eine SSM Assoziation, die Amazon Inspector zum Scannen von Windows-Instances verwendet. Diese Assoziation installiert das Amazon SSM Inspector-Plugin auf Ihren Windows-Instances. Wenn die Plugin-Datei versehentlich gelöscht wird, wird sie durch diese Verknüpfung beim nächsten Zuordnungsintervall erneut installiert.

InvokeInspectorSsmPlugin-do-not-delete

Dies ist eine SSM Assoziation, die Amazon Inspector zum Scannen von Windows-Instances verwendet. Diese Zuordnung ermöglicht Amazon Inspector, Scans mithilfe des Plug-ins zu initiieren. Sie können damit auch benutzerdefinierte Intervalle für Scans von Windows-Instances festlegen. Weitere Informationen finden Sie unter Einstellung benutzerdefinierter Zeitpläne für Windows Instanzscans.

InspectorLinuxDistributor-do-not-delete

Dies ist eine SSM Assoziation, die Amazon Inspector für Amazon EC2 Linux Deep Inspection verwendet. Diese Assoziation installiert das Amazon SSM Inspector-Plugin auf Ihren Linux-Instances.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Dies ist eine SSM Assoziation, die Amazon Inspector für Amazon EC2 Linux Deep Inspection verwendet. Diese Zuordnung ermöglicht es Amazon Inspector, Scans mithilfe des Plug-ins zu initiieren.

Anmerkung

Wenn Sie Amazon Inspector Amazon EC2 Scanning oder Deep Inspection deaktivieren, InvokeInspectorLinuxSsmPlugin-do-not-delete wird die SSM Ressource nicht mehr aufgerufen.

Scannen ohne Agenten

Amazon Inspector verwendet die agentenlose Scanmethode für berechtigte Instances, wenn sich Ihr Konto im Hybrid-Scanmodus befindet. Der Hybrid-Scanmodus umfasst agentenbasierte und agentenlose Scans und wird automatisch aktiviert, wenn Sie EC2 Amazon-Scanning aktivieren.

Für Scans ohne Agenten verwendet Amazon Inspector EBS Snapshots, um ein Softwareinventar aus Ihren Instances zu erfassen. Beim agentenlosen Scannen werden Instances nach Sicherheitslücken im Betriebssystem und in Paketen der Anwendungsprogrammiersprache durchsucht.

Anmerkung

Beim Scannen von Linux-Instances auf Sicherheitslücken in Paketen in der Programmiersprache werden mit der agentenlosen Methode alle verfügbaren Pfade gescannt, wohingegen das agentenbasierte Scannen nur die Standardpfade und zusätzliche Pfade scannt, die Sie als Teil angeben. Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances Dies kann dazu führen, dass dieselbe Instanz unterschiedliche Ergebnisse erzielt, je nachdem, ob sie mit der agentenbasierten Methode oder der agentenlosen Methode gescannt wird.

Der folgende Prozess erklärt, wie Amazon Inspector EBS Snapshots verwendet, um Inventar zu sammeln und agentenlose Scans durchzuführen:

  1. Amazon Inspector erstellt einen EBS Snapshot aller Volumes, die an die Instance angehängt sind. Während Amazon Inspector es verwendet, wird der Snapshot in Ihrem Konto gespeichert und mit InspectorScan einem Tag-Schlüssel und einer eindeutigen Scan-ID als Tag-Wert gekennzeichnet.

  2. Amazon Inspector ruft mithilfe von EBSDirect Daten aus den Snapshots ab APIs und bewertet sie auf Sicherheitslücken. Für alle erkannten Sicherheitslücken werden Ergebnisse generiert.

  3. Amazon Inspector löscht die EBS Snapshots, die es in Ihrem Konto erstellt hat.

Qualifizierte Instanzen

Amazon Inspector verwendet die agentenlose Methode, um eine Instance zu scannen, wenn sie die folgenden Bedingungen erfüllt:

  • Die Instance hat ein unterstütztes Betriebssystem. Weitere Informationen finden Sie in der Spalte >Unterstützung für agentengestütztes Scannen von. Unterstützte Betriebssysteme: EC2 Amazon-Scanning

  • Die Instanz hat den Status Unmanaged EC2 instanceStale inventory, oder. No inventory

  • Die Instance wird von Amazon unterstützt EBS und hat eines der folgenden Dateisystemformate:

    • ext3

    • ext4

    • xfs

  • Die Instance ist nicht von Scans über EC2 Amazon-Ausschluss-Tags ausgeschlossen.

  • Die Anzahl der an die Instance angehängten Volumes beträgt weniger als 8 und ihre Gesamtgröße beträgt höchstens 1200 GB.

Verhalten beim Scannen ohne Agenten

Wenn Ihr Konto für Hybrid-Scanning konfiguriert ist, führt Amazon Inspector alle 24 Stunden agentenlose Scans auf geeigneten Instances durch. Amazon Inspector erkennt und scannt jede Stunde neue infrage kommende Instances, einschließlich neuer Instances ohne SSM Agenten oder bereits existierende Instances mit Status, der sich auf geändert hat. SSM_UNMANAGED

Amazon Inspector aktualisiert das Feld Zuletzt gescannt für eine EC2 Amazon-Instance, wenn nach einem agentenlosen Scan extrahierte Snapshots aus einer Instance gescannt werden.

Sie können auf der Kontoverwaltungsseite auf der Registerkarte Instances überprüfen, wann eine EC2 Instance zuletzt auf Sicherheitslücken gescannt wurde, oder indem Sie ListCoverageBefehl.

Verwaltung des Scanmodus

Ihr EC2 Scanmodus bestimmt, welche Scanmethoden Amazon Inspector bei der Durchführung von EC2 Scans in Ihrem Konto verwendet. Sie können den Scanmodus für Ihr Konto auf der Seite mit den EC2 Scaneinstellungen unter Allgemeine Einstellungen einsehen. Eigenständige Konten oder von Amazon Inspector delegierte Administratoren können den Scanmodus ändern. Wenn Sie den Scanmodus als delegierter Administrator von Amazon Inspector festlegen, wird dieser Scanmodus für alle Mitgliedskonten in Ihrer Organisation festgelegt. Amazon Inspector bietet die folgenden Scanmodi:

Agentengestütztes Scannen — In diesem Scanmodus verwendet Amazon Inspector ausschließlich die agentenbasierte Scanmethode, um nach Sicherheitslücken in Paketen zu suchen. Dieser Scanmodus scannt nur SSM verwaltete Instances in Ihrem Konto, bietet jedoch den Vorteil, dass als Reaktion auf neue CVE oder Änderungen an den Instances kontinuierliche Scans durchgeführt werden. Agentenbasiertes Scannen bietet auch Amazon Inspector Deep Inspection für berechtigte Instances. Dies ist der Standard-Scanmodus für neu aktivierte Konten.

Hybrid-Scan — In diesem Scanmodus verwendet Amazon Inspector eine Kombination aus agentenbasierten und agentenlosen Methoden, um nach Sicherheitslücken in Paketen zu suchen. Für berechtigte EC2 Instances, auf denen der SSM Agent installiert und konfiguriert ist, verwendet Amazon Inspector die agentenbasierte Methode. Für berechtigte Instances, die nicht SSM verwaltet werden, verwendet Amazon Inspector die agentenlose Methode für berechtigte, EBS unterstützte Instances.

Um den Scanmodus zu ändern

  1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie dann die Amazon Inspector Inspector-Konsole unter https://console.aws.amazon.com/inspector/v2/home.

  2. Wählen Sie mit der AWS-Region Auswahl in der oberen rechten Ecke der Seite die Region aus, in der Sie Ihren Scanmodus ändern möchten. EC2

  3. Wählen Sie im seitlichen Navigationsbereich unter Allgemeine Einstellungen die Option EC2 Scaneinstellungen aus.

  4. Wählen Sie unter Scanmodus die Option Bearbeiten aus.

  5. Wählen Sie einen Scanmodus und dann Änderungen speichern aus.

Instanzen von Amazon Inspector-Scans ausschließen

Sie können ausschließen Linux and Windows Instances von Amazon Inspector scannt, indem sie diese Instances mit dem InspectorEc2Exclusion Schlüssel kennzeichnen. Die Angabe eines Tag-Werts ist optional. Informationen zum Hinzufügen von Tags finden Sie unter Taggen Sie Ihre EC2 Amazon-Ressourcen.

Wenn Sie eine Instance für den Ausschluss aus Amazon Inspector-Scans kennzeichnen, markiert Amazon Inspector die Instance als ausgeschlossen und erstellt keine Ergebnisse dafür. Das Amazon SSM Inspector-Plugin wird jedoch weiterhin aufgerufen. Um zu verhindern, dass das Plugin aufgerufen wird, müssen Sie den Zugriff auf Tags in den Instanz-Metadaten zulassen.

Anmerkung

Für ausgeschlossene Instanzen werden Ihnen keine Gebühren berechnet.

Darüber hinaus können Sie ein verschlüsseltes EBS Volume von Scans ohne Agenten ausschließen, indem Sie den AWS KMS Schlüssel, mit dem das Volume verschlüsselt wurde, mit dem Tag kennzeichnen. InspectorEc2Exclusion Weitere Informationen finden Sie unter Kennzeichnen von Schlüsseln.

Unterstützte Betriebssysteme

Amazon Inspector scannt unterstützte Mac-, Windows- und EC2 Linux-Instances auf Sicherheitslücken in Betriebssystempaketen. Für Linux-Instances kann Amazon Inspector Ergebnisse für Anwendungsprogrammiersprachenpakete erstellen, die verwendet Tiefeninspektion von Amazon Inspector für Linux-basierte EC2 Amazon-Instances werden. Für Mac- und Windows-Instances werden nur Betriebssystempakete gescannt.

Informationen zu unterstützten Betriebssystemen, einschließlich der Betriebssysteme, die ohne einen SSM Agenten gescannt werden können, finden Sie unterStatuswerte für EC2 Amazon-Instances.