HAQM Inspector – Häufig gestellte Fragen

Sie können HAQM Inspector mit wenigen Schritten in der AWS-Managementkonsole für Ihre gesamte Organisation oder für ein individuelles Konto aktivieren. Nach der Aktivierung entdeckt HAQM Inspector automatisch laufende HAQM-EC2-Instances, Lambda-Funktionen und HAQM-ECR-Repositorys und beginnt sofort mit dem kontinuierlichen Scannen von Workloads auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Wenn Sie neu bei HAQM Inspector sind, gibt es auch eine kostenlose 15-tägige Probezeit.

Ein HAQM-Inspector-Ergebnis ist eine potenzielle Sicherheits-Schwachstelle. Zum Beispiel, wenn HAQM Inspector Software-Schwachstellen oder offene Netzwerkpfade zu Ihren Computing-Ressourcen erkennt, erstellt es Sicherheits-Ergebnisse.

Ja. HAQM Inspector ist mit AWS Organizations integriert. Sie können ein DA-Konto für HAQM Inspector zuordnen, das als primäres Administratorkonto für HAQM Inspector fungiert und HAQM Inspector zentral verwalten und konfigurieren kann. Das DA-Konto kann Ergebnisse für alle Konten, die ein Teil Ihrer AWS-Organisation sind, zentral anzeigen und verwalten.

Das AWS-Organizations-Verwaltungskonto kann ein DA-Konto für HAQM Inspector in der HAQM-Inspector-Konsole zuordnen oder mithilfe der HAQM-Inspector-APIs.

Wenn Sie HAQM Inspector zum ersten Mal starten, sind standardmäßig alle Scan-Typen aktiviert: EC2-Scannen, Lambda-Scannen und das Scannen von ECR-Container-Images. Sie haben jedoch die Möglichkeit, einzelne oder alle Typen für alle Konten Ihrer Organisation zu deaktivieren. Bestehende Benutzer können neue Funktionen in der HAQM-Inspector-Konsole oder durch den Einsatz von HAQM-Inspector-APIs aktivieren.

Nein, Sie benötigen keinen Kundendienstmitarbeiter zum Scannen. Für das Scannen von Sicherheitslücken von HAQM-EC2-Instances können Sie den AWS Systems Manager Agent (SSM Agent) für eine Kundendienstmitarbeiter-basierte Lösung verwenden. HAQM Inspector bietet auch Scannen ohne Kundendienstmitarbeiter (Vorschau), falls Sie den SSM-Kundendienstmitarbeiter nicht installiert oder konfiguriert haben. Für die Überprüfung der Netzwerkerreichbarkeit von HAQM-EC2-Instances, die Überprüfung von Container-Images auf Sicherheitslücken oder die Überprüfung von Lambda-Funktionen auf Sicherheitslücken sind keine Kundendienstmitarbeiter erforderlich. 

Um erfolgreich HAQM-EC2-Instances auf Software-Schwachstellen zu scannen, erfordert HAQM Inspector, dass diese Instances vom AWS Systems Manager und dem SSM-Agent verwaltet werden. Anleitungen zum Aktivieren und Konfigurieren von AWS Systems Manager finden Sie unter Systems-Manager-Voraussetzungen im Benutzerhandbuch für Systems Manager. Informationen über verwaltete Instances finden Sie im Abschnitt über Verwaltete Instances im AWS-Systems-Manager-Benutzerhandbuch.

HAQM Inspector unterstützt das Konfigurieren von Inklusionsregeln, um auszuwählen, welche HAQM-ECR-Repositorys gescannt werden. Inklusionsregeln können unter der Seite mit Registry-Einstellungen in der ECR-Konsole erstellt und verwaltet werden, oder mithilfe der ECR-APIs. Die ECR-Repositorys, die mit den Inklusions-Regeln übereinstimmen, werden zum Scannen konfiguriert. Der detaillierte Scan-Status von Repositorys ist in den ECR- und HAQM-Inspector-Konsolen verfügbar.

Der Bereich für die Umweltdeckung im HAQM-Inspector-Dashboard zeigt die Metriken für Konten, HAQM-EC2-Instances, Lambda-Funktionen und ECR-Repositorys an, die aktiv von HAQM Inspector gescannt werden. Jede Instance und jedes Image hat einen Scan-Status: wird gescannt oder wird nicht gescannt. Wird gescannt bedeutet, dass die Ressource kontinuierlich in nahezu Echtzeit gescannt wird. Ein Status von Wird nicht gescannt könnte bedeuten, dass der erste Scan noch nicht ausgeführt ist, dass das OS nicht unterstützt wird, oder dass etwas anderes den Scan verhindert.

Alle Scans werden automatisch anhand von Ereignissen ausgeführt. Alle Workloads werden zuerst bei der Auffindung gescannt und danach erneut gescannt.

• Für HAQM EC2 Instances: Bei SSM-Agenten-basierten Scans werden erneute Scans gestartet, wenn ein neues Softwarepaket auf einer Instanz installiert oder deinstalliert wird, wenn ein neues CVE veröffentlicht wird und nachdem ein anfälliges Paket aktualisiert wurde (um zu bestätigen, dass es keine weiteren Sicherheitslücken gibt). Bei Scans ohne Kundendienstmitarbeiter werden die Scans alle 24 Stunden durchgeführt.
• Für HAQM-ECR-Container-Images: Automatisierte Rescans werden für berechtigte Container-Images gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Die automatischen Rescan für Container-Images basieren auf den Rescan-Dauern, die sowohl für das Push- als auch für das Pull-Datum des Images in der HAQM-Inspector-Konsole oder den APIs konfiguriert wurden. Wenn das Push-Datum eines Images kürzer ist als die konfigurierte "Push-Datum-Rescan-Dauer" und das Image innerhalb der konfigurierten "Pull-Datum-Rescan-Dauer" gezogen wurde, wird das Container-Image weiterhin überwacht und automatische Rescan werden gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang.
• Für Lambda-Funktionen: Alle neuen Lambda-Funktionen werden zunächst bei ihrer Entdeckung bewertet und laufend neu bewertet, wenn es eine Aktualisierung der Lambda-Funktion gibt oder ein neues CVE veröffentlicht wird.

Container-Images, die sich in HAQM-ECR-Repositories befinden und für kontinuierliches Scannen konfiguriert sind, werden für die in der HAQM Inspector-Konsole oder den APIs konfigurierte Dauer gescannt. Die verfügbaren Konfigurationen für die Dauer des Rescans sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang.

• Wenn HAQM-Inspector-ECR-Scanning aktiviert ist, nimmt HAQM Inspector nur Images auf, die in den letzten 30 Tagen gepusht oder gezogen wurden, und scannt sie kontinuierlich für die für das Push- und Pull-Datum konfigurierte Rescan-Dauer, d. h. 90 Tage (standardmäßig), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Wenn das Push-Datum eines Images kürzer ist als die konfigurierte „Push-Datum-Rescan-Dauer“ UND das Image innerhalb der konfigurierten „Pull-Datum-Rescan-Dauer“ gezogen wurde, wird das Container-Image weiterhin überwacht und automatische Rescans werden gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Wenn Sie zum Beispiel das HAQM-Inspector-ECR-Scanning aktivieren, wird HAQM Inspector die Images, die in den letzten 30 Tagen verschoben oder gezogen wurden, zum Scannen auswählen. Wenn Sie jedoch nach der Aktivierung für die Konfigurationen „Push-Datum“ und „Pull-Datum“ eine Dauer von 180 Tagen für die erneute Überprüfung auswählen, wird HAQM Inspector die Images weiterhin überprüfen, wenn sie in den letzten 180 Tagen gepusht wurden oder mindestens einmal in den letzten 180 Tagen gezogen wurden. Wenn ein Image in den letzten 180 Tagen nicht gepusht oder abgerufen wurde, stoppt HAQM Inspector die Überwachung.
• Alle Bilder, die nach der Aktivierung des HAQM-Inspector-ECR-Scans an ECR übertragen werden, werden kontinuierlich für die Dauer gescannt, die unter „Push-Datum-Rescan-Dauer“ und „Pull-Datum-Rescan-Dauer“ eingestellt ist. Die verfügbaren Konfigurationen für die Dauer des Rescans sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Push-Datum sind 90 Tage (Standard), 14 Tage, 30 Tage, 60 Tage, 180 Tage oder lebenslang. Die Dauer des automatischen Rescans wird auf der Grundlage des letzten Push- oder Pull-Datums eines Container-Images berechnet. Wenn Sie z. B. nach der Aktivierung des HAQM-Inspector-ECR-Scans für die Push- und Pull-Datum-Konfigurationen eine Rescan-Dauer von 180 Tagen wählen, wird HAQM Inspector die Images weiterhin scannen, wenn sie in den letzten 180 Tagen gepusht wurden oder mindestens einmal in den letzten 180 Tagen gezogen worden sind. Wenn ein Image jedoch in den letzten 180 Tagen nicht gepusht oder gezogen wurde, hört HAQM Inspector auf, es zu überwachen.
• Wenn sich das Bild im Status „Scanberechtigung abgelaufen“ befindet, können Sie das Bild zurückziehen, um es wieder unter die Überwachung von HAQM Inspector zu bringen. Das Image wird für die eingestellte Dauer ab dem letzten Abrufdatum kontinuierlich gescannt.

• Für HAQM-EC2-Instances: Ja, eine EC2-Instance kann durch Hinzufügen eines Ressourcen-Tags vom Scannen ausgeschlossen werden. Sie können den Schlüssel 'InspectorEc2Exclusion' verwenden, und der Wert ist <optional>.
• Für Container-Images in HAQM ECR: Ja. Obwohl Sie auswählen können, welche HAQM-ECR-Repositorys zum Scannen konfiguriert werden, werden alle Images in einem Repository gescannt. Sie können Einschlussregeln erstellen, um auszuwählen, welche Repositorys gescannt werden sollen.
• Für Lambda-Funktionen: Ja, eine Lambda-Funktion kann vom Scannen ausgeschlossen werden, indem ein Ressourcen-Tag hinzugefügt wird. Verwenden Sie für den Standardscan den Schlüssel „InspectorExclusion“ und den Wert „LambdaStandardScanning“. Verwenden Sie zum Code-Scannen den Schlüssel „InspectorCodeExclusion“ und den Wert „LambdaCodeScanning“.

In einer Multi-Account-Struktur können Sie HAQM Inspector für die Prüfung auf Lambda-Schwachstellen für alle Ihre Konten in der AWS-Organization aktivieren – entweder über die HAQM-Inspector-Konsole oder mithilfe von APIs über das Delegated Administrator (DA)-Konto. Andere Mitgliederkonten können HAQM Inspector für ihr eigenes Konto aktivieren, wenn das zentrale Sicherheitsteam das nicht bereits für sie getan hat. Konten, die nicht zur AWS-Organisation gehören, können HAQM Inspector über die HAQM-Inspector-Konsole oder mithilfe von APIs für das jeweilige Konto aktivieren.

HAQM Inspector beobachtet und prüft nur die $LATEST-Version fortlaufend. Die automatisierten erneuten Scans werden nur für die neueste Version durchgeführt, sodass nur für diese neueste Version Ergebnisse generiert werden. In der Konsole können Sie die Ergebnisse aller Versionen anzeigen, indem Sie die gewünschte Version aus dem Dropdown-Menü auswählen.

Nein. Sie haben zwei Möglichkeiten: entweder das Lambda-Standard-Scannen allein zu aktivieren oder das Lambda-Standard- und Code-Scannen zusammen zu aktivieren. Das standardmäßige Lambda-Scannen bietet einen grundlegenden Sicherheitsschutz vor anfälligen Abhängigkeiten, die in der Anwendung als Lambda-Funktionen und Zuordnungsebenen verwendet werden. Das Scannen von Lambda-Code bietet einen zusätzlichen Sicherheitswert, indem es Ihren benutzerdefinierten proprietären Anwendungscode innerhalb einer Lambda-Funktion auf Code-Sicherheitslücken wie Injektionsfehler, Datenlecks, schwache Kryptografie oder eingebettete Geheimnisse scannt.

Die Standard-SSM-Inventar-Erfassungsfrequenz zu ändern kann eine Auswirkung auf die Beständigkeit des kontinuierlichen Scannens haben. HAQM Inspector nutzt den SSM Agent zum Erfassen des Anwendungsinventars, um Ergebnisse zu generieren. Wenn die Anwendungs-Inventar-Dauer von den standardmäßigen 30 Minuten erhöht wird, wird dies die Auffindung von Änderungen am Anwendungs-Inventar verzögern, und neue Ergebnisse könnten verzögert werden.

Die HAQM Inspector Risikowertung ist eine stark kontextorientierte Wertung, die für jedes Ergebnis generiert wird, indem Informationen über allgemeine Sicherheitslücken und Gefahren (CVE) mit Netzwerk-Erreichbarkeits-Ergebnissen, Auswertbarkeits-Daten und Soziale-Medien-Trends korreliert werden. Damit können Sie einfacher Ergebnisse nach Priorität ordnen und sich auf die kritischen Ergebnisse und bedrohte Ressourcen konzentrieren. In der Inspector-Score-Registerkarte im Bereich mit den Ergebnis-Details können Sie sehen, wie die Inspector-Risikobewertung berechnet wurde und welche Faktoren mitgepielt haben.

Zum Beispiel: Es wurde eine neue CVE in Ihrer HAQM-EC2-Instance identifiziert, die nur remote ausgeschöpft werden kann. Wenn die kontinuierlichen Netzwerk-Erreichbarkeits-Scans von HAQM Inspector auch entdecken, dass die Instance aus dem Internet nicht erreichbar ist, dann weiß es, dass die Schwachstelle eine geringere Bedrohung darstellt. Deshalb korreliert HAQM Inspector die Scan-Ergebnisse mit den CVE und passt die Risikobewertung nach unten an, um die Auswirkung der CVE auf die spezifische Instance genauer darzustellen.

HAQM Inspector erlaubt es Ihnen, Ergebnisse anhand der benutzerdefinierten Kriterien, die Sie definieren, zu unterdrücken. Sie können Unterdrückungsregeln für Ergebnisse, die von Ihrem Unternehmen als akzeptabel gelten, erstellen.

Sie können in der HAQM-Inspector-Konsole oder über die HAQM-Inspector-APIs mit wenigen Schritten Berichte in mehrfachen Formaten erstellen (CSV oder JSON). Sie können einen vollständigen Bericht mit allen Ergebnissen herunterladen oder einen benutzerdefinierten Bericht erstellen und herunterladen, der auf die in der Konsole eingerichteten Anzeigefilter basiert.

Nein. Sie haben zwei Möglichkeiten: entweder das Lambda-Standard-Scannen allein zu aktivieren oder das Lambda-Standard- und Code-Scannen zusammen zu aktivieren. Das standardmäßige Lambda-Scannen bietet einen grundlegenden Sicherheitsschutz vor anfälligen Abhängigkeiten, die in der Anwendung als Lambda-Funktionen und Zuordnungsebenen verwendet werden. Das Scannen von Lambda-Code bietet einen zusätzlichen Sicherheitswert, indem es Ihren benutzerdefinierten proprietären Anwendungscode innerhalb einer Lambda-Funktion auf Code-Sicherheitslücken wie Injektionsfehler, Datenlecks, schwache Kryptografie oder eingebettete Geheimnisse scannt.

Sie können SBOMs für alle mit HAQM Inspector überwachten Ressourcen in mehreren Formaten (CycloneDx oder SPDX) mit wenigen Schritten in der HAQM-Inspector-Konsole oder über die HAQM-Inspector-APIs generieren und exportieren. Sie können einen vollständigen Bericht mit SBOM für alle Ressourcen herunterladen oder SBOMs für einige ausgewählte Ressourcen basierend auf den festgelegten Ansichtsfiltern selektiv generieren und herunterladen.

Für bestehende HAQM-Inspector-Kunden, die ein einzelnes Konto verwenden, können Sie das Scannen ohne Kundendienstmitarbeiter (Vorschau) aktivieren, indem Sie die Kontoverwaltungsseite in der HAQM Inspector-Konsole aufrufen oder APIs verwenden.

Für bestehende HAQM-Inspector-Kunden, die AWS Organizations verwenden, muss Ihr delegierter Administrator entweder die gesamte Organisation vollständig auf eine Lösung ohne Kundendienstmitarbeiter migrieren oder weiterhin ausschließlich die Kundendienstmitarbeiterbasierte SSM-Lösung verwenden. Sie können die Konfiguration des Scanmodus auf der EC2-Einstellungsseite in der Konsole oder über APIs ändern.

Für neue HAQM-Inspector-Kunden werden Instances während der Vorschauphase des Scannens ohne Kundendienstmitarbeiter im Kundendienstmitarbeiter-basierten Scanmodus gescannt, wenn Sie das EC2-Scannen aktivieren. Sie können bei Bedarf in den Hybrid-Scanmodus wechseln. Im Hybrid-Scanmodus verlässt sich HAQM Inspector bei der Erfassung des Anwendungsinventars auf SSM-Kundendienstmitarbeiter, um Schwachstellenanalysen durchzuführen, und greift automatisch auf Scannen ohne Kundendienstmitarbeiter für Instances zurück, auf denen SSM-Kundendienstmitarbeiter nicht installiert oder konfiguriert sind.

HAQM Inspector löst automatisch alle 24 Stunden einen Scan für Instances aus, die für Scannen ohne Kundendienstmitarbeiter markiert sind (Vorschau). Das kontinuierliche Scanverhalten für Instances, die für SSM-Kundendienstmitarbeiter-basierte Scans markiert sind, wird sich nicht ändern. 

Sie können den Scanmodus in der Spalte „Überwachte Nutzung“ sehen, indem Sie einfach die Seiten zur Ressourcenabdeckung in der HAQM-Inspector-Konsole aufrufen oder die HAQM-Inspector-Coverage-APIs verwenden. 

Nein, in einer Einrichtung mit mehreren Konten können nur delegierte Administratoren die Konfiguration des Scanmodus für die gesamte Organisation einrichten.

Anwendungs- und Plattformteams können HAQM Inspector mithilfe speziell entwickelter HAQM Inspector-Plug-ins, die für verschiedene CI/CD-Tools wie Jenkins und TeamCity entwickelt wurden, in ihre Build-Pipelines integrieren. Diese Plugins sind auf dem Marketplace des jeweiligen CI/CD-Tools verfügbar. Sobald das Plugin installiert ist, können Sie der Pipeline einen Schritt hinzufügen, um eine Bewertung des Container-Images durchzuführen und Maßnahmen zu ergreifen, wie z. B. das Blockieren der Pipeline auf der Grundlage der Bewertungsergebnisse. Wenn bei der Bewertung Sicherheitslücken identifiziert werden, werden umsetzbare Sicherheitsergebnisse generiert. Zu diesen Ergebnissen gehören Details zu Sicherheitslücken, Empfehlungen zur Behebung und Details zur Ausnutzbarkeit. Sie werden sowohl im JSON- als auch im CSV-Format an das CI/CD-Tool zurückgegeben, das dann vom HAQM Inspector-Plugin in ein für Menschen lesbares Dashboard übersetzt oder von Teams heruntergeladen werden kann.

Nein, Sie müssen HAQM Inspector nicht aktivieren, um diese Funktion nutzen zu können, vorausgesetzt, Sie haben ein aktives AWS-Konto.

Ja. HAQM Inspector nutzt den SSM Agent zur Erfassung des Anwendungsinventars, das als HAQM-Virtual-Private-Cloud (VPC)-Endpunkte eingerichtet werden kann, um die Übertragung von Informationen über das Internet zu vermeiden.

Eine Liste von unterstützten Betriebssysteme (OS) finden Sie hier.

Eine Liste von unterstützten Programmiersprachen-Paketen finden Sie hier.

Ja. Instances, die NAT nutzen werden automatisch von HAQM Inspector unterstützt.

Ja. Weitere Informationen finden Sie unter Wie konfiguriere ich einen SSM Agent, um einen Proxy zu verwenden?

HAQM Inspector integriert mit HAQM EventBridge, um Benachrichtigungen für Ereignisse wie neue Ergebnisse, Statusänderungen eines Ergebnisses oder Erstellung einer Unterdrückungs-Regel zu liefern. HAQM Inspector lässt sich für die Anrufprotokollierung auch in AWS CloudTrail integrieren.

Ja. Sie können HAQM Inspector ausführen, um bei Bedarf gezielte Bewertungen anhand von CIS-Konfigurations-Benchmarks auf Betriebssystemebene für HAQM-EC2-Instances in Ihrer AWS-Organisation durchzuführen.

Ja. Weitere Informationen finden Sie unter HAQM-Inspector-Partner.

Ja. Sie können alle Scan-Typen (HAQM-EC2-Scannen, Scannen von HAQM-ECR-Container-Images und Scannen von Lambda-Funktionen) deaktivieren, indem Sie den HAQM-Inspector-Service deaktivieren. Alternativ lässt sich jeder Scan-Typ einzeln für ein Konto deaktivieren.

Nein. HAQM Inspector unterstützt keinen angehalteten Zustand.