Sechs Jahre nach dem ersten Start hat AWS den neuen Amazon Inspector angekündigt. Die Einführung fand während der re:Invent 2021 statt. Mit dieser Einführung wurde die vorherige Version in Amazon Inspector Classic umbenannt. Der neue Amazon Inspector wurde umgestaltet, um eine breitere Palette von Arbeitslasten zu unterstützen und das Workflow-Management zu vereinfachen.
Skalieren mit vereinfachter Verwaltung
Die Verwaltung von Amazon Inspector 2 wurde vereinfacht. Die Aktivierung und Konfiguration von Amazon Inspector kann mit ein paar API-Aufrufen oder, wenn Sie auf manuelle Arbeit bestehen, mit ein paar Klicks in ClickOps erfolgen. Um Ihnen eine Vorstellung davon zu geben, welche Schritte erforderlich sind, um Inspector sowohl für bestehende als auch für neue Mitgliedskonten zu aktivieren, sind die Schritte unten aufgeführt.
Wie aktiviere ich Amazon Inspector? In einem einzelnen Konto ist es jetzt so einfach wie die Ausführung des folgenden Befehls:
$ aws inspector2 aktivieren --resource-types EC2 ECR
Wenn Sie Inspector in Ihrer AWS-Organisation aktivieren möchten, führen Sie den vorherigen Befehl in Ihrem Hauptkonto der Organisation aus und aktivieren dann dieses Konto als delegiertes Administratorkonto. Die Konto-ID kann ein beliebiges Konto in Ihrer Organisation sein (vorzugsweise ein dediziertes Sicherheitskonto). In diesem Fall verwenden wir 123456789012:
$ aws inspector2 enable-delegated-admin-account
--delegated-admin-account-id 123456789012Konfigurieren Sie nun Inspector für alle Mitglieder, indem Sie alle Mitgliederkonten verknüpfen. Sie müssen dies nur für bestehende Mitgliedskonten tun und können dies tun, indem Sie diesen Befehl von Ihrem delegierten Administratorkonto aus ausführen:
$ aws inspector2 associate-member --account-id 111111111111 $ aws inspector2 associate-member --account-id 222222222222 $ aws inspector2 associate-member --account-id 333333333333 $ aws inspector2 associate-member --account-id 444444444444
Hinweis: Es kann eine Weile dauern, bis alle Konten aktiviert sind. Sie können den Status einsehen, indem Sie ausführen:
$ aws inspector2 list-membersWarten Sie, bis alle Konten den Status "relationshipStatus" erhalten: "ENABLED" erhalten, bevor Sie den nächsten Befehl ausführen.
Der letzte Schritt ist die Aktivierung von EC2 und ECR-Scans in allen Mitgliedskonten:
$ aws inspector2 enable
--resource-types EC2 ECR
--account-ids 111111111111 222222222222 333333333333 444444444444Der Inspektor ist jetzt für alle bestehenden Mitgliederkonten aktiviert. Schalten Sie die automatische Aktivierung ein, damit die Überprüfung für neue Mitgliederkonten aktiviert wird:
$ aws inspector2 update-organization-configuration
--auto-enable '{"ec2": true, "ecr": true}'Sie müssen die obigen Schritte für jede Region wiederholen, in der Sie Scans für Ihre Mitglieder aktivieren möchten.
Inspector ist jetzt einsatzbereit und im Gegensatz zur Vorgängerversion ist es nicht mehr erforderlich, Zeitpläne über Amazon CloudWatch Events zu erstellen. Inspector beginnt sofort mit der Überprüfung jeder vorhandenen EC2-Instanz und jedes ECR-Repository. Scans für EC2 werden automatisch eingeleitet, wenn neue Instanzen gestartet werden, neue Software installiert wird, Inspector-Datenbanken aktualisiert werden usw. Scans für ECR können mit kontinuierlichem Scanning (bei aktiviertem Enhanced Scanning auf ECR) oder On-Push durchgeführt werden.
Um EC2-Instanzen mit voller Transparenz zu scannen, stellen Sie sicher, dass Sie Ihre EC2-Instanzen mit dem konfigurierten AWS Systems Manager (SSM) Agent bereitstellen. Stellen Sie sicher, dass der SSM-Agent läuft und die Richtlinie AmazonSSMManagedInstanceCore zum Instanzprofil hinzugefügt wurde.) Ohne den SSM-Agenten zeigt der Configure Inspector nur offene Netzwerkpfade, aber keine CVEs an. Sie brauchen den separaten Inspector-Agenten nicht mehr zu installieren.
Angesichts der Einfachheit der zuvor dargestellten Schritte wird es nicht sehr schwer sein, dasselbe mit Ihrem bevorzugten Infrastructure as Code (IaC) Tool zu tun. Wenn Sie CloudFormation verwenden, müssen Sie derzeit benutzerdefinierte Ressourcen erstellen, um dies zu ermöglichen. Für AWS CDK-Benutzer haben wir ein Konstrukt verfügbar auf Construct Hub.
Gewinnen Sie zentralisierte Sichtbarkeit
Amazon Inspector 2 nutzt die Funktionen von AWS Organizations, um eine zentrale Verwaltung und Transparenz zu ermöglichen. Dies macht die Verwaltung einer Umgebung mit mehreren Konten bequemer. Das delegierte Master-Konto hostet alle Befunde der Mitgliedskonten, was die Verwaltung durch die Sicherheitsabteilung vereinfacht und eine problemlose Automatisierung ermöglicht. Befunde werden auch an Amazon EventBridge weitergeleitet. Damit ist es viel einfacher, ereignisbasierte Automatisierungsaufgaben zu schreiben, um z.B. die Ereignisanalyse und die automatische Fehlerbehebung mit Lambda- oder Step-Funktionen durchzuführen.
Auch die Sichtbarkeit wurde überarbeitet. Es ist jetzt möglich, mehrere Ansichten auszuwählen. Die Ergebnisse können nach Schwachstelle, Konto, Instanz, Container-Image und Repository angezeigt werden.
Zeit für ein paar Screenshots. Die allgemeine Übersicht von Inspector:
Übersicht der Inspektionsergebnisse
Wenn Sie dann auf das Kernel-Paket klicken, erhalten Sie einen Überblick über alle CVEs, die in diesem Paket entdeckt wurden:
Inspektor CVE-Ansicht
Wenn Sie Befund nach Schwachstelle wählen, sehen Sie diesen Bildschirm:
Inspektor: Nach Verwundbarkeit
Ebenfalls neu ist die Integration mit Security Hub. Wenn sowohl Inspector als auch Security Hub aktiviert sind, werden die Ergebnisse automatisch an Security Hub gesendet, um einen umfassenden Überblick über Ihren Sicherheitsstatus zu erhalten. Dies ermöglicht auch eine einfachere Integration mit Lösungen von Drittanbietern wie Splunk.
Screenshot von Inspector-Ergebnissen, die in Security Hub gemeldet wurden:
Inspector Security Hub
Der Fund in Security Hub enthält alle Details, die für die Triage und Analyse erforderlich sind. Dies ist ein Ausschnitt (nur das Feld Schwachstellen):
{
"Vulnerabilities": [
{
"Id": "CVE-2021-4002",
"VulnerablePackages": [
{
"Name": "kernel",
"Version": "4.14.252",
"Epoch": "0",
"Release": "195.483.amzn2",
"Architecture": "X86_64
}
],
"Cvss": [
{
"Version": "3.1",
"BaseScore": 5.1,
"BaseVector": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N"
},
{
"Version": "3.1",
"BaseScore": 5.1,
"BaseVector": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N",
"Source": "REDHAT_CVE",
"Adjustments": []
}
],
"Vendor": {
"Name": "REDHAT_CVE",
"Url": "https://access.redhat.com/security/cve/CVE-2021-4002",
"VendorSeverity": "Moderate",
"VendorCreatedAt": "2021-11-25T00:00:00Z"
},
"ReferenceUrls": []
}
],
"FindingProviderFields": {
"Severity": {
"Label": "MEDIUM"
},
"Types": [
"Software and Configuration Checks/Vulnerabilities/CVE"
]
}
}Automatisieren Sie die Erkennung und kontinuierliche Überprüfung
Bei der Verwendung von Inspector Classic war es erforderlich, die zu überprüfenden EC2-Instanzen anhand von Tags festzulegen. Mit Inspector 2 wurde dies geändert. Inspector 2 startet die Erkennung der unterstützten Ressourcen automatisch, je nachdem, für welche Dienste Sie Scans aktivieren. Wenn Sie in Inspector Classic EC2-Ressourcen-Tags verwendet haben, um den Umfang von Inspector einzuschränken, können Sie dies jetzt tun, indem Sie ResourceTags in den FilterCriteria angeben, wenn Sie alle von Inspector gemeldeten Ergebnisse auflisten.
Diese automatisierte Erkennung erleichtert den Nachweis der Konformität, da der Geltungsbereich "alle EC2-Instanzen, bei denen der SSM-Agent funktioniert, sind eingeschlossen" ist. Damit sind Sie nicht mehr auf manuelle und fehleranfällige Arbeiten wie das Tagging angewiesen.
Prioritäten setzen mit kontextbezogener Bewertung
Im Vergleich zu Amazon Inspector Classic enthalten die Befunde jetzt mehr umsetzbare Details, einschließlich einer verbesserten kontextbezogenen Risikobewertung, die verdeutlicht, wie Sie die kritischsten Befunde priorisieren und darauf reagieren können. Dies erleichtert die Triage und Analyse. Sie können sich zuerst auf die wichtigsten Ergebnisse konzentrieren.
Automatisieren Sie Arbeitsabläufe und ergreifen Sie Maßnahmen
Wie ich bereits sagte, werden die Ergebnisse jetzt automatisch an EventBridge und Security Hub weitergeleitet. Dies vereinfacht die automatisierten Antwort-Workflows und die Verwaltung von Sicherheitsereignissen. Außerdem verfügt Inspector jetzt über neue Management-API-Aufrufe, mit denen sich die unternehmensweite Konfiguration wesentlich einfacher gestalten lässt.
Noch nie war das Scannen von Schwachstellen so einfach. :-)
Amazon Inspector Classic (v1) wird veraltet sein. Eine 12-monatige Abschreibungsankündigung wird in Kürze auf den Dienst gesetzt.
Lesen Sie mehr über diese Ankündigung und das Benutzerhandbuch. Oder lesen Sie die anderen Ankündigungen der re:Invent in unserem Blog.
Verfasst von
Steyn Huizinga
As a cloud evangelist at Oblivion, my passion is to share knowledge and enable, embrace and accelerate the adoption of public cloud. In my personal life I’m a dad and a horrible sim racer.
Unsere Ideen
Weitere Blogs
Contact