Amazon Inspector – Häufig gestellte Fragen

Amazon Inspector ist ein automatisierter Schwachstellen-Management-Service, der Amazon Elastic Compute Cloud (EC2), AWS-Lambda-Funktionen und Container-Images in Amazon ECR und innerhalb von CI/CD-Tools (Continuous Integration and Continuous Delivery) kontinuierlich und nahezu in Echtzeit auf Software-Schwachstellen und unbeabsichtigte Netzwerkgefährdungen scannt.

Amazon Inspector entfernt die Betriebskosten, die mit dem Bereitstellen und Konfigurieren einer Schwachstellen-Verwaltungslösung einhergehen, indem es Ihnen erlaubt, Amazon Inspector in allen Konten mit nur einem Schritt bereitzustellen. Zusätzliche Vorteile:

• Automatisierte Entdeckung und kontinuierliches Scannen, das Ergebnisse zu Schwachstellen in nahezu Echtzeit liefert

• Zentrale Verwaltung, Konfiguration und Ansicht der Ergebnisse für alle Konten Ihrer Organisation durch die Einrichtung eines Delegated Administrator (DA)-Kontos

• Eine stark kontextorientierte und aussagekräftige Amazon-Inspector-Risikobewertung für jede Erkenntnis, die Ihnen hilft, genauere Reaktionsprioritäten festzulegen

• Ein intuitives Amazon-Inspector-Dashboard für Abdeckungsmetriken, einschließlich Konten, Amazon-EC2-Instances, Lambda-Funktionen und Container-Images in Amazon ECR und in CI/CD-Tools sowie Code-Repositorys innerhalb Ihrer Source Code Management (SCM)-Plattform, nahezu in Echtzeit.

• Maximieren Sie die Abdeckung bei der Schwachstellenbewertung, indem Sie EC2-Instances nahtlos scannen und zwischen agentenbasiertem und agentenlosem Scannen wechseln.

• Verwalten Sie die Exporte von Software-Stücklisten (SBOM) für alle überwachten Ressourcen zentral. 

• Integriert mit AWS Security Hub und Amazon EventBridge zur Automatisierung von Workflows und Ticket-Routing

Sie können Amazon Inspector Classic deaktivieren, indem Sie alle Bewertungsvorlagen in Ihrem Konto löschen. Um die Ergebnisse für bestehende Bewertungen abzurufen, können Sie sie als Berichte herunterladen oder mit der Amazon-Inspector-API exportieren. Sie können den neuen Amazon Inspector mit wenigen Schritten in der AWS-Managementkonsole aktivieren – oder mit den neuen Amazon-Inspector-APIs. Sie finden die detaillierten Migrationsschritte im Benutzerhandbuch für Amazon Inspector Classic.

Amazon Inspector ist nach einem Architekturwechsel neu entwickelt worden, um einen neuen Schwachstellen-Verwaltungs-Service zu schaffen. Hier sind die wichtigsten Verbesserungen im Vergleich zu Amazon Inspector Classic:

• Für Skalierbarkeit entwickelt: Der neue Amazon Inspector ist für Skalierbarkeit und die dynamische Cloud-Umgebung entwickelt worden. Es gibt keine Einschränkung der Anzahl von Instances oder Images, die auf einmal gescannt werden können.

• Unterstützung für Container-Images und Lambda-Funktionen: Der neue Amazon Inspector scannt auch Container-Images in Amazon ECR und innerhalb von CI/CD-Tools und Lambda-Funktionen auf Software-Schwachstellen. Container-bezogene Erkenntnisse werden auch in die Amazon-ECR-Konsole verschoben.

• Unterstützung für Multi-Konto-Verwaltung: Der neue Amazon Inspector ist in AWS Organizations integriert, wodurch Sie ein Administrator-Konto für Amazon Inspector für Ihre Organisation delegieren können. Dieses Delegated Administrator (DA)-Konto ist ein zentrales Konto, dass alle Erkenntnisse zusammenfasst und alle Mitgliedskonten konfigurieren kann.

• AWS Systems Manager Agent: Mit dem neuen Amazon Inspector müssen Sie nicht mehr einen alleinstehenden Amazon-Inspector-Agent auf allen Ihren Amazon-EC2-Instances installieren und warten. Der neue Amazon Inspector nutzt den weitverbreiteten AWS-Systems-Manager-Agent (SSM-Agent), der diese Notwendigkeit entfernt.

• Automatisiertes und kontinuierliches Scannen: Der neue Amazon Inspector erkennt automatisch alle neu gestartete Amazon-EC2-Instances, Lambda-Funktionen und berechtigte Container-Images, die nach Amazon ECR verschoben wurden, und scannt diese sofort auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Wenn ein Ereignis stattfindet, das eine neue Schwachstelle einführen könnte, werden die beteiligten Ressourcen automatisch erneut gescannt. Zu den Ereignissen, die das erneute Scannen einer Ressource initiieren, gehören die Installation eines neuen Pakets in einer EC2-Instance, die Installation eines Patches und die Veröffentlichung neuer Schwachstellen und Gefahren (CVE, Common Vulnerabilities and Exposures), die sich auf die Ressource auswirken.

• Amazon-Inspector-Risikobewertung: Der neue Amazon Inspector berechnet eine Inspector-Risikobewertung indem er aktuelle CVE-Informationen mit temporalen und Umgebungsfaktoren wie Netzwerkzugänglichkeit und Verwertbarkeit korreliert, um es Ihnen mit zusätzlichem Kontext zu erleichtern, Prioritäten zu setzen.

• Abdeckung der Schwachstellenbewertung: Der neue Amazon Inspector verbessert die Schwachstellenbewertung, indem er EC2-Instances nahtlos scannt und zwischen agentenbasiertem Scannen und Scannen ohne Agenten wechselt.

• Export von Software-Stücklisten (SBOM): Der neue Amazon Inspector verwaltet und exportiert SBOM für alle überwachten Ressourcen zentral. 

• Scannen Ihrer Code-Repositorys: Der neue Amazon Inspector mit seiner nativen Integration in GitHub und GitLab hilft Ihnen, Sicherheitsschwachstellen und Fehlkonfigurationen im Quellcode Ihrer Anwendung, in den Abhängigkeiten und in der Infrastructure as Code (IaC) schnell zu erkennen und zu priorisieren.

Ja, Sie können beide gleichzeitig im selben Konto verwenden.

Sämtliche Preisangaben finden Sie auf der Seite mit der Preisübersicht zu Amazon Inspector.

Alle Konten, die neu zu Amazon Inspector kommen, können 15 Tage lang ein kostenloses Testprogramm nutzen, um den Service auszuwerten und den Preis besser einschätzen zu können. Während der Laufzeit des Testprogramms werden alle berechtigten Amazon-EC2-Instances, AWS-Lambda-Funktionen und Container-Images, die nach Amazon ECR verschoben werden, kostenlos kontinuierlich gescannt. Sie können auch die geschätzten Ausgaben in der Amazon-Inspector-Konsole überprüfen. Die kostenlose Testversion wird auch erweitert, um Ihre Code-Repositorys mit Code Security zu scannen.

Amazon Inspector ist weltweit erhältlich. Spezifische Verfügbarkeit nach Region wird hier angeführt.

Sie können Amazon Inspector mit wenigen Schritten in der AWS-Managementkonsole für Ihre gesamte Organisation oder für ein individuelles Konto aktivieren. Nach der Aktivierung entdeckt Amazon Inspector automatisch laufende Amazon-EC2-Instances, Lambda-Funktionen und Amazon-ECR-Repositorys und beginnt sofort mit dem kontinuierlichen Scannen von Workloads auf Software-Schwachstellen und unbeabsichtigten Netzwerkzugriff. Richten Sie für Code Security eine sichere Integration in Ihre Source Code Management (SCM)-Plattform ein, um mit dem Scannen zu beginnen. Wenn Sie neu bei Amazon Inspector sind, gibt es auch eine kostenlose 15-tägige Probezeit.

Eine Amazon-Inspector-Erkenntnis ist eine potenzielle Sicherheits-Schwachstelle. Zum Beispiel, wenn Amazon Inspector Software-Schwachstellen oder offene Netzwerkpfade zu Ihren Computing-Ressourcen oder Ihrem Code erkennt, erstellt es Sicherheits-Erkenntnisse.

Ja. Amazon Inspector ist mit AWS Organizations integriert. Sie können ein DA-Konto für Amazon Inspector zuordnen, das als primäres Administratorkonto für Amazon Inspector fungiert und Amazon Inspector zentral verwalten und konfigurieren kann. Das DA-Konto kann Erkenntnisse für alle Konten, die ein Teil Ihrer AWS-Organisation sind, zentral anzeigen und verwalten.

Das AWS-Organizations-Verwaltungskonto kann ein DA-Konto für Amazon Inspector in der Amazon-Inspector-Konsole zuordnen oder mithilfe der Amazon-Inspector-APIs.

Wenn Sie Amazon Inspector zum ersten Mal starten, sind standardmäßig alle Scan-Typen aktiviert: EC2-Scannen, Lambda-Scannen und das Scannen von ECR-Container-Images. Sie haben jedoch die Möglichkeit, einzelne oder alle Typen für alle Konten Ihrer Organisation zu deaktivieren. Bestehende Benutzer können neue Funktionen in der Amazon-Inspector-Konsole oder durch den Einsatz von Amazon-Inspector-APIs aktivieren.

Nein, Sie benötigen keinen Agenten zum Scannen. Für das Scannen von Schwachstellen von Amazon-EC2-Instances können Sie den AWS-Systems-Manager-Agent (SSM-Agent) für eine agentenbasierte Lösung verwenden. Amazon Inspector bietet auch Scannen ohne Agenten, falls Sie den SSM-Agenten nicht installiert oder konfiguriert haben. Für die Überprüfung der Netzwerk-Erreichbarkeit von Amazon-EC2-Instances, die Überprüfung von Container-Images auf Schwachstellen oder die Überprüfung von Lambda-Funktionen auf Schwachstellen sind keine Agenten erforderlich. 

Um erfolgreich Amazon-EC2-Instances auf Software-Schwachstellen zu scannen, empfiehlt Amazon Inspector, dass diese Instances vom AWS Systems Manager und dem SSM-Agent verwaltet werden. Anleitungen zum Aktivieren und Konfigurieren von AWS Systems Manager finden Sie unter Systems-Manager-Voraussetzungen im Benutzerhandbuch für Systems Manager. Informationen über Managed Instances finden Sie im Abschnitt über Managed Instances im AWS-Systems-Manager-Benutzerhandbuch. Instances, auf denen der SSM-Agent nicht installiert ist, können per Scan ohne Agenten mit Hybridmodus-Unterstützung gescannt werden.

Amazon Inspector unterstützt das Konfigurieren von Inklusionsregeln, um auszuwählen, welche Amazon-ECR-Repositorys gescannt werden. Inklusionsregeln können unter der Seite mit Registry-Einstellungen in der ECR-Konsole erstellt und verwaltet werden, oder mithilfe der ECR-APIs. Die ECR-Repositorys, die mit den Inklusions-Regeln übereinstimmen, werden zum Scannen konfiguriert. Der detaillierte Scan-Status von Repositorys ist in den ECR- und Amazon-Inspector-Konsolen verfügbar.

Der Bereich für die Ressourcendeckung im Amazon-Inspector-Dashboard zeigt die Metriken für Konten, Amazon-EC2-Instances, Lambda-Funktionen, Code-Repositorys und ECR-Repositorys an, die aktiv von Amazon Inspector gescannt werden. Jede Instance und jedes Image hat einen Scan-Status: wird gescannt oder wird nicht gescannt. Wird gescannt bedeutet, dass die Ressource kontinuierlich in nahezu Echtzeit gescannt wird. Ein Status von Wird nicht gescannt könnte bedeuten, dass der erste Scan noch nicht ausgeführt ist, dass das OS nicht unterstützt wird, oder dass etwas anderes den Scan verhindert. Für Code Security steht der Scan-Status Aktiv oder Inaktiv für den Status, wobei Aktiv bedeuten würde, dass eine Scan-Konfiguration eingerichtet ist, um das Projekt regelmäßig zu scannen.

Alle Scans werden automatisch anhand von Ereignissen ausgeführt. Alle Workloads werden zuerst bei der Auffindung gescannt und danach erneut gescannt.

• Für Amazon EC2 Instances: Bei SSM-Agenten-basierten Scans werden erneute Scans gestartet, wenn ein neues Softwarepaket auf einer Instanz installiert oder deinstalliert wird, wenn ein neues CVE veröffentlicht wird und nachdem ein anfälliges Paket aktualisiert wurde (um zu bestätigen, dass es keine weiteren Sicherheitslücken gibt). Bei Scans ohne Agenten werden die Scans alle 24 Stunden durchgeführt.

• Für Amazon-ECR-Container-Images: Automatisierte erneute Scans werden für berechtigte Container-Images gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Die automatischen erneuten Scans für Container-Images basieren auf den Dauern der erneuten Scans, die sowohl für das Push-Datum als auch für das Datum der letzten Nutzung des Images in der Amazon-Inspector-Konsole oder den APIs konfiguriert wurden. Wenn das Push-Datum eines Images kürzer ist als die konfigurierte „Dauer des erneuten Scannens für das Push-Datum“ und das Datum der letzten Nutzung des Images innerhalb der konfigurierten „Dauer des erneuten Scans für das Datum der letzten Nutzung“ liegt, wird das Container-Image weiterhin überwacht und automatische erneute Scans werden gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Datum der letzten Nutzung des Images sind 14 Tage (standardmäßig), 30 Tage, 60 Tage, 90 Tage oder 180 Tage. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Pull-Datum sind 14 Tage (standardmäßig), 30 Tage, 60 Tage, 180 Tage oder lebenslang.

• Für Lambda-Funktionen: Alle neuen Lambda-Funktionen werden zunächst bei ihrer Entdeckung bewertet und laufend neu bewertet, wenn es eine Aktualisierung der Lambda-Funktion gibt oder ein neues CVE veröffentlicht wird.

• Für Code-Repositorys: Alle neuen Code-Repositorys werden gemäß den Standardkonfigurationseinstellungen bewertet. Wenn regelmäßige Scans und/oder änderungsbasierte Scans konfiguriert sind, werden die Repositorys gemäß den konfigurierten Auslösern gescannt. Es werden keine CVE-basierten automatischen erneuten Scans ausgelöst.

Container-Images, die sich in Amazon-ECR-Repositorys befinden und für kontinuierliches Scannen konfiguriert sind, werden für die in der Amazon-Inspector-Konsole oder den APIs konfigurierte Dauer gescannt. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Datum der letzten Nutzung des Images sind 14 Tage (standardmäßig), 30 Tage, 60 Tage, 90 Tage oder 180 Tage. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens für das Pull-Datum sind 14 Tage (standardmäßig), 30 Tage, 60 Tage, 180 Tage oder lebenslang.

• Wenn Amazon-Inspector-ECR-Scannen aktiviert ist, nimmt Amazon Inspector nur Images auf, die in den letzten 14 Tagen zum Scannen gepusht wurden, scannt sie jedoch kontinuierlich für die für das Datum der letzten Nutzung und Push-Datum konfigurierte Dauer des erneuten Scannens, d. h. 14 Tage (standardmäßig), 30 Tage, 60 Tage, 90 Tage oder 180 Tage. Wenn das Push-Datum eines Images kürzer ist als die konfigurierte „Dauer des erneuten Scannens für das Push-Datum“ UND das Datum der letzten Nutzung innerhalb der konfigurierten „Dauer des erneuten Scans für das Datum der letzten Nutzung“ liegt, wird das Container-Image weiterhin überwacht und automatische erneute Scans werden gestartet, wenn ein neues CVE, das ein Image betrifft, veröffentlicht wird. Wenn Sie zum Beispiel das Amazon-Inspector-ECR-Scanning aktivieren, wird Amazon Inspector die Images, die in den letzten 14 Tagen gepusht wurden, zum Scannen auswählen. Wenn Sie jedoch nach der Aktivierung für die Konfigurationen Push-Datum und Datum der letzten Nutzung eine Dauer von 30 Tagen für das erneute Scannen auswählen, wird Amazon Inspector die Images weiterhin scannen, wenn sie in den letzten 30 Tagen gepusht wurden oder in den letzten 30 Tagen mindestens einmal beim Ausführen des Containers genutzt wurden. Wenn ein Image in den letzten 30 Tagen nicht auf einem laufenden Container gepusht wurde oder das letzte Mal genutzt wurde, stoppt Amazon Inspector die Überwachung.

• Alle Images, die nach der Aktivierung des Amazon-Inspector-ECR-Scans an ECR übertragen werden, werden kontinuierlich für die Dauer gescannt, die unter „Dauer des erneuten Scannens für das Datum der letzten Nutzung“ und „Dauer des erneuten Scannens für dasPush-Datum“ eingestellt ist. Die verfügbaren Konfigurationen für die Dauer des erneuten Scannens sind 14 Tage (standardmäßig), 30 Tage, 60 Tage, 90 Tage, 180 Tage oder lebenslang. Die Konfigurationen für die Dauer des erneuten Scannens für das Datum der letzten Nutzung des Images sind 14 Tage (standardmäßig), 30 Tage, 60 Tage, 90 Tage oder 180 Tage. Die Dauer des automatischen erneuten Scannens wird auf der Grundlage des letzten Push-Datums oder des Datums der letzten Nutzung eines Container-Images berechnet. Wenn Sie beispielsweise nach der Aktivierung des Amazon-Inspector-ECR-Scans für die Konfigurationen des Push-Datums und des Datums der letzten Nutzung eine Dauer des erneuten Scans von 180 Tagen wählen, wird Amazon Inspector die Images weiterhin scannen, wenn sie in den letzten 180 Tagen gepusht wurden oder mindestens einmal in den letzten 180 Tagen in einem laufenden Container verwendet wurden. Wenn ein Image jedoch in den letzten 180 Tagen nicht auf einem laufenden Container gepusht wurde oder das letzte Mal verwendet wurde, stoppt Amazon Inspector die Überwachung.

• Wenn sich das Image im Status „Scanberechtigung abgelaufen“ befindet, können Sie das Image zurückziehen, um es wieder unter die Überwachung von Amazon Inspector zu bringen. Das Bild wird kontinuierlich auf die Dauer des erneuten Scans für das Push- und Pull-Datum hin gescannt, die ab dem letzten Abrufdatum konfiguriert wurden.

• Für Amazon-EC2-Instances: Ja, eine EC2-Instance kann durch Hinzufügen eines Ressourcen-Tags vom Scannen ausgeschlossen werden. Sie können den Schlüssel 'InspectorEc2Exclusion' verwenden, und der Wert ist <optional>.

• Für Container-Images in Amazon ECR: Ja. Obwohl Sie auswählen können, welche Amazon-ECR-Repositorys zum Scannen konfiguriert werden, werden alle Images in einem Repository gescannt. Sie können Einschlussregeln erstellen, um auszuwählen, welche Repositorys gescannt werden sollen.

• Für Lambda-Funktionen: Ja, eine Lambda-Funktion kann vom Scannen ausgeschlossen werden, indem ein Ressourcen-Tag hinzugefügt wird. Verwenden Sie für den Standardscan den Schlüssel „InspectorExclusion“ und den Wert „LambdaStandardScanning“. Verwenden Sie zum Code-Scannen den Schlüssel „InspectorCodeExclusion“ und den Wert „LambdaCodeScanning“.

• Für Codesicherheit: Ja, Sie können auswählen, welche Code-Repositorys für das Scannen konfiguriert sind. Sie können Einschlussregeln erstellen, um auszuwählen, welche Repositorys in Ihren Scan-Konfigurationen gescannt werden sollen.

In einer Multi-Account-Struktur können Sie Amazon Inspector für die Prüfung auf Lambda-Schwachstellen für alle Ihre Konten in der AWS Organization aktivieren – entweder über die Amazon-Inspector-Konsole oder mithilfe von APIs über das Delegated Administrator (DA)-Konto. Andere Mitgliedskonten können Amazon Inspector für ihr eigenes Konto aktivieren, wenn das zentrale Sicherheitsteam das nicht bereits für sie getan hat. Konten, die nicht zur AWS-Organisation gehören, können Amazon Inspector über die Amazon-Inspector-Konsole oder mithilfe von APIs für das jeweilige Konto aktivieren.

Amazon Inspector beobachtet und prüft nur die $LATEST-Version fortlaufend. Die automatisierten erneuten Scans werden nur für die neueste Version durchgeführt, sodass nur für diese neueste Version Ergebnisse generiert werden. In der Konsole können Sie die Erkenntnisse aller Versionen anzeigen, indem Sie die gewünschte Version aus dem Dropdown-Menü auswählen.

Nein. Sie haben zwei Möglichkeiten: entweder das Lambda-Standard-Scannen allein zu aktivieren oder das Lambda-Standard- und Code-Scannen zusammen zu aktivieren. Das standardmäßige Lambda-Scannen bietet einen grundlegenden Sicherheitsschutz vor anfälligen Abhängigkeiten, die in der Anwendung als Lambda-Funktionen und Zuordnungsebenen verwendet werden. Das Scannen von Lambda-Code bietet einen zusätzlichen Sicherheitswert, indem es Ihren benutzerdefinierten proprietären Anwendungscode innerhalb einer Lambda-Funktion auf Schwachstellen der Code-Sicherheit wie Injektionsfehler, Datenlecks, schwache Kryptografie oder eingebettete Geheimnisse scannt.

Die Standard-SSM-Inventar-Erfassungsfrequenz zu ändern kann eine Auswirkung auf die Beständigkeit des kontinuierlichen Scannens haben. Amazon Inspector nutzt den SSM Agent zum Erfassen des Anwendungsinventars, um Ergebnisse zu generieren. Wenn die Anwendungs-Inventar-Dauer von den standardmäßigen 30 Minuten erhöht wird, wird dies die Auffindung von Änderungen am Anwendungs-Inventar verzögern, und neue Erkenntnisse könnten verzögert werden.

Die Amazon-Inspector-Risikowertung ist eine stark kontextorientierte Wertung, die für jede Erkenntnis generiert wird, indem Informationen über allgemeine Schwachstellen und Gefahren (CVE) mit Netzwerk-Erreichbarkeits-Ergebnissen, Auswertbarkeits-Daten und Soziale-Medien-Trends korreliert werden. Damit können Sie einfacher Ergebnisse nach Priorität ordnen und sich auf die kritischen Ergebnisse und bedrohte Ressourcen konzentrieren. In der Inspector-Score-Registerkarte im Bereich mit den Ergebnis-Details können Sie sehen, wie die Inspector-Risikobewertung berechnet wurde und welche Faktoren mitgepielt haben.

Zum Beispiel: Es wurde eine neue CVE in Ihrer Amazon-EC2-Instance identifiziert, die nur remote ausgeschöpft werden kann. Wenn die kontinuierlichen Netzwerk-Erreichbarkeits-Scans von Amazon Inspector auch entdecken, dass die Instance aus dem Internet nicht erreichbar ist, dann weiß es, dass die Schwachstelle eine geringere Bedrohung darstellt. Deshalb korreliert Amazon Inspector die Scan-Ergebnisse mit den CVE und passt die Risikobewertung nach unten an, um die Auswirkung der CVE auf die spezifische Instance genauer darzustellen.

Amazon Inspector erlaubt es Ihnen, Erkenntnisse anhand der benutzerdefinierten Kriterien, die Sie definieren, zu unterdrücken. Sie können Unterdrückungsregeln für Erkenntnisse, die von Ihrem Unternehmen als akzeptabel gelten, erstellen.

Sie können in der Amazon-Inspector-Konsole oder über die Amazon-Inspector-APIs mit wenigen Schritten Berichte in mehrfachen Formaten erstellen (CSV oder JSON). Sie können einen vollständigen Bericht mit allen Erkenntnissen herunterladen oder einen benutzerdefinierten Bericht erstellen und herunterladen, der auf die in der Konsole eingerichteten Anzeigefilter basiert.

Sie können SBOMs für alle mit Amazon Inspector überwachten Ressourcen in mehreren Formaten (CycloneDx oder SPDX) mit wenigen Schritten in der Amazon-Inspector-Konsole oder über die Amazon-Inspector-APIs generieren und exportieren. Sie können einen vollständigen Bericht mit SBOM für alle Ressourcen herunterladen oder SBOMs für einige ausgewählte Ressourcen basierend auf den festgelegten Ansichtsfiltern selektiv generieren und herunterladen.

Für bestehende Amazon-Inspector-Kunden, die ein einzelnes Konto verwenden, können Sie das Scannen ohne Agenten aktivieren, indem Sie die Kontoverwaltungsseite in der Amazon-Inspector-Konsole aufrufen oder APIs verwenden.

Für bestehende Amazon-Inspector-Kunden, die AWS Organizations verwenden, muss Ihr delegierter Administrator entweder die gesamte Organisation vollständig auf eine Lösung ohne Agenten migrieren oder weiterhin ausschließlich die agentenbasierte SSM-Lösung verwenden. Sie können die Konfiguration des Scan-Modus auf der EC2-Einstellungsseite in der Konsole oder über APIs ändern.

Für neue Amazon-Inspector-Kunden ist der Hybrid-Scan-Modus standardmäßig aktiviert, wenn Sie das EC2-Scannen aktivieren. Im Hybrid-Scan-Modus verlässt sich Amazon Inspector bei der Erfassung des Anwendungsinventars auf SSM-Agenten, um Schwachstellenanalysen durchzuführen, und greift automatisch auf Scannen ohne Agenten für Instances zurück, auf denen SSM-Agenten nicht installiert oder konfiguriert sind.

Für bestehende Amazon-Inspector-Kunden, die ein einzelnes Konto verwenden, können Sie das Scannen ohne Agenten aktivieren, indem Sie die Kontoverwaltungsseite in der Amazon-Inspector-Konsole aufrufen oder APIs verwenden.

Für bestehende Amazon-Inspector-Kunden, die AWS Organizations verwenden, muss Ihr delegierter Administrator entweder die gesamte Organisation vollständig auf eine Lösung ohne Agenten migrieren oder weiterhin ausschließlich die agentenbasierte SSM-Lösung verwenden. Sie können die Konfiguration des Scan-Modus auf der EC2-Einstellungsseite in der Konsole oder über APIs ändern.

Für neue Amazon-Inspector-Kunden ist der Hybrid-Scan-Modus standardmäßig aktiviert, wenn Sie das EC2-Scannen aktivieren. Im Hybrid-Scan-Modus verlässt sich Amazon Inspector bei der Erfassung des Anwendungsinventars auf SSM-Agenten, um Schwachstellenanalysen durchzuführen, und greift automatisch auf Scannen ohne Agenten für Instances zurück, auf denen SSM-Agenten nicht installiert oder konfiguriert sind.

Amazon Inspector löst automatisch alle 24 Stunden einen Scan für Instances aus, die für Scannen ohne Agenten markiert sind. Das kontinuierliche Scan-Verhalten für Instances, die für SSM-Agentenbasierte Scans markiert sind, wird sich nicht ändern. 

Nein, in einer Einrichtung mit mehreren Konten können nur delegierte Administratoren die Konfiguration des Scan-Modus für die gesamte Organisation einrichten.

Anwendungs- und Plattformteams können Amazon Inspector mithilfe speziell entwickelter Amazon-Inspector-Plugins, die für verschiedene CI/CD-Tools wie Jenkins, AWS Code Pipeline, GitHub Actions und TeamCity entwickelt wurden, in ihre Build-Pipelines integrieren. Diese Plugins sind auf dem Marketplace des jeweiligen CI/CD-Tools verfügbar. Sobald das Plugin installiert ist, können Sie der Pipeline einen Schritt hinzufügen, um eine Bewertung des Container-Images durchzuführen und Maßnahmen zu ergreifen, wie z. B. das Blockieren der Pipeline auf der Grundlage der Bewertungsergebnisse. Wenn bei der Bewertung Sicherheitslücken identifiziert werden, werden umsetzbare Sicherheitsergebnisse generiert. Zu diesen Ergebnissen gehören Details zu Sicherheitslücken, Empfehlungen zur Behebung und Details zur Ausnutzbarkeit. Sie werden sowohl im JSON- als auch im CSV-Format an das CI/CD-Tool zurückgegeben, das dann vom Amazon-Inspector-Plugin in ein für Menschen lesbares Dashboard übersetzt oder von Teams heruntergeladen werden kann.

Nein, Sie müssen Amazon Inspector nicht aktivieren, um diese Funktion nutzen zu können, vorausgesetzt, Sie haben ein aktives AWS-Konto.

Ja. Amazon Inspector nutzt den SSM-Agent zur Erfassung des Anwendungsinventars, das als Amazon Virtual Private Cloud (VPC)-Endpunkte eingerichtet werden kann, um die Übertragung von Informationen über das Internet zu vermeiden.

Eine Liste von unterstützten Betriebssysteme (OS) finden Sie hier.

Eine Liste von unterstützten Programmiersprachen-Paketen finden Sie hier.

Ja. Instances, die NAT nutzen werden automatisch von Amazon Inspector unterstützt.

Ja. Weitere Informationen finden Sie unter Wie konfiguriere ich einen SSM-Agent, um einen Proxy zu verwenden?

Amazon Inspector ist in Amazon EventBridge integriert, um Benachrichtigungen für Ereignisse wie neue Erkenntnisse, Statusänderungen eines Erkenntnisses oder Erstellung einer Unterdrückungsregel zu liefern. Amazon Inspector lässt sich für die Anrufprotokollierung auch in AWS CloudTrail integrieren. Amazon Inspector ist in Security Hub integriert, um Erkenntnisse für einen umfassenden Überblick über Organisation und Services zu senden

Ja. Sie können Amazon Inspector ausführen, um bei Bedarf gezielte Bewertungen anhand von CIS-Konfigurations-Benchmarks auf Betriebssystemebene für Amazon-EC2-Instances in Ihrer AWS-Organisation durchzuführen.

Ja. Weitere Informationen finden Sie unter Amazon-Inspector-Partner.

Ja. Sie können alle Scan-Typen (Amazon-EC2-Scannen, Scannen von Amazon-ECR-Container-Images und Scannen von Lambda-Funktionen) deaktivieren, indem Sie den Amazon-Inspector-Service deaktivieren. Alternativ lässt sich jeder Scan-Typ einzeln für ein Konto deaktivieren.

Nein. Amazon Inspector unterstützt keinen angehalteten Zustand.

Amazon Inspector bietet umfassende Funktionen zur Codesicherheit, mit denen Anwendungen geschützt werden können, bevor sie in Produktion gehen. Der Service bietet drei wichtige Funktionen für die Anwendungssicherheit. Static Application Security Testing (SAST) analysiert den Quellcode von Anwendungen, um potenzielle Sicherheitslücken in benutzerdefiniertem Code zu identifizieren. Software Composition Analysis (SCA) bewertet Abhängigkeiten von Drittanbietern, um sicherzustellen, dass Bibliotheken und Pakete keine versteckten Risiken mit sich bringen. Beim Scannen von Infrastructure as Code (IaC) werden Infrastrukturdefinitionen validiert, um Fehlkonfigurationen vor der Bereitstellung zu vermeiden. Diese Funktionen arbeiten zusammen, um einen vollständigen Überblick über die Anwendungssicherheit zu bieten, vom Code bis zur Infrastruktur.

Amazon Inspector lässt sich in GitHub und GitLab integrieren, um Sicherheitsscans während des gesamten Entwicklungsprozesses zu integrieren. Sie können die Code-Sicherheit in mehreren Phasen evaluieren: wenn Entwickler Codeänderungen per Pull-Anforderung, Merge-Anforderung oder Push-Codeänderungen in Repositorys vornehmen – auf Abruf oder durch geplante Sicherheitsüberprüfungen. Diese Flexibilität ermöglicht es Ihren Teams, Sicherheitsscans zu implementieren, die ihren Entwicklungspraktiken entsprechen. Durch die Anpassung an bestehende Workflows trägt Amazon Inspector dazu bei, Sicherheit zu einem integralen Bestandteil des Entwicklungszyklus zu machen, ohne die Teamproduktivität zu beeinträchtigen.

Amazon Inspector unterstützt mehrere Scan-Frequenzen zum Scannen Ihrer Code-Repositorys. Sie können wählen, ob Sie regelmäßig nach einem festgelegten Zeitplan scannen möchten, entweder wöchentlich an einem bestimmten Wochentag oder monatlich. Darüber hinaus können Sie das Scannen auch bei Codeänderungen wie pull_request oder merge_request und bei Push aktivieren. Einzelne Projekte oder Repositorys können auch auf Abruf gescannt werden.   

Amazon Inspector unterstützt eine Standard- und eine allgemeine Scan-Konfiguration. Der Unterschied zwischen den beiden besteht darin, dass eine Standard-Scan-Konfiguration automatisch an neu entdeckte Projekte angehängt werden kann. Die Standard-Scan-Konfiguration ist in den Integrations-Workflow eingebettet, während die Verbindung zu Ihrer Source Code Management (SCM)-Plattform hergestellt wird. Sie können das Erstellen einer Standard-Scan-Konfiguration überspringen und sie später jederzeit hinzufügen. Eine allgemeine Scan-Konfiguration wird nur auf bestehende Projekte angewendet, die zum Zeitpunkt der Erstellung der Scan-Konfiguration erkannt wurden.