Was ist Amazon Inspector?
Amazon Inspector ist ein automatisierter Sicherheits-Scanner für AWS-Workloads. Der Service findet kontinuierlich Schwachstellen in EC2-Instanzen, Lambda-Funktionen und Container-Images, ohne dass Sie Agenten installieren oder Scans manuell starten müssen.
Inspector vergleicht Ihre Software-Pakete mit der National Vulnerability Database (NVD) und identifiziert bekannte CVEs. Der Service analysiert auch Netzwerk-Konfigurationen und findet unbeabsichtigt exponierte Ports oder Services.
Kernfunktionen
- Automatisches, kontinuierliches Scanning aller unterstützten Workloads
- CVE-Erkennung mit CVSS-Scoring und Priorisierung nach Schweregrad
- Netzwerk-Erreichbarkeitsanalyse für EC2-Instanzen
- Container-Image-Scanning in Amazon ECR
- Integration mit Security Hub für zentrales Finding-Management
Typische Anwendungsfälle
Compliance-Audits: Inspector liefert automatisierte Nachweise über den Sicherheitszustand Ihrer Infrastruktur. Findings dokumentieren, welche Schwachstellen wann erkannt und behoben wurden.
DevSecOps-Pipelines: Container-Images werden bei jedem Push zu ECR gescannt. Builds können bei kritischen Schwachstellen blockiert werden, bevor sie in Produktion gelangen.
Kontinuierliche Sicherheitsüberwachung: Inspector scannt automatisch bei Software-Updates oder neuen CVE-Veröffentlichungen. Sie erhalten sofortige Benachrichtigungen über neue Risiken.
Vorteile
- Kein Agent-Management bei Lambda und Container-Scans
- Automatische Priorisierung nach Ausnutzbarkeit und Impact
- Multi-Account-Support über AWS Organizations
- Integration mit EventBridge für automatisierte Remediation
Integration mit innFactory
Als AWS Reseller unterstützt innFactory Sie bei Amazon Inspector: Einrichtung für Multi-Account-Umgebungen, Integration in CI/CD-Pipelines, automatisierte Remediation-Workflows und Security Hub Dashboard-Konfiguration.
Typische Anwendungsfälle
Häufig gestellte Fragen
Was ist Amazon Inspector?
Amazon Inspector ist ein automatisierter Schwachstellen-Scanner für AWS-Workloads. Der Service analysiert EC2-Instanzen, Lambda-Funktionen und Container-Images in ECR auf bekannte Sicherheitslücken (CVEs) und Netzwerk-Fehlkonfigurationen. Inspector liefert priorisierte Findings mit Remediation-Empfehlungen.
Was kostet Amazon Inspector?
Inspector berechnet pro gescanntem Workload: EC2-Instanzen ca. 1,25 USD/Monat, Lambda-Funktionen ca. 0,30 USD/Monat pro Funktion, Container-Images 0,09 USD pro Initial-Scan plus 0,01 USD pro Rescan. Die ersten 15 Tage sind kostenlos zum Testen.
Wie unterscheidet sich Inspector von GuardDuty?
Inspector ist proaktiv und findet Schwachstellen vor einem Angriff durch CVE-Scans und Konfigurationsanalyse. GuardDuty ist reaktiv und erkennt aktive Bedrohungen durch Analyse von CloudTrail, VPC Flow Logs und DNS-Logs. Beide Services ergänzen sich und sollten gemeinsam eingesetzt werden.
Welche Schwachstellen erkennt Inspector?
Inspector erkennt: Software-Schwachstellen aus der NVD-Datenbank (CVEs), Netzwerk-Erreichbarkeit von EC2-Instanzen, Package-Vulnerabilities in OS und Anwendungen, Container-Image-Schwachstellen. Findings werden nach CVSS-Score priorisiert.
Wie aktiviere ich Amazon Inspector?
Inspector kann mit einem Klick für alle EC2, Lambda und ECR aktiviert werden. Der Service nutzt SSM Agent für EC2-Scans, benötigt keine Agenten-Installation bei Lambda/ECR. Multi-Account-Aktivierung über AWS Organizations möglich.