Wie vermeide ich "Fehler beim Scannen von ami" beim Scannen AWS AMI von Bildern Prisma Cloud?

• Wenn Prisma Cloud die Konsole versucht, Bilder zu scannen AWS AMI , wird möglicherweise nach einigen Wiederholungsversuchen und einer Wartezeit die folgende Fehlermeldung zurückgegeben.

• Um solche Fehler zu vermeiden, soll in diesem Artikel Folgendes erreicht werden:
  • Beschreiben Sie einige der häufigsten Gründe für Fehler beim Scannen AWS AMI von Bildern in Prisma Cloud.
  • Stellen Sie eine Checkliste mit Problemumgehungen oder Lösungen bereit, um diese Probleme zu beheben.

• Prisma Cloud Berechnen
• AWS

Vergewissern Sie sich, dass die betreffende Option AMI unterstützt wird

• Prisma Cloud kann Linux Amazon Machine Images (AMIs) scannen.
• Die folgenden AMIs werden jedoch nicht unterstützt:

1. Images, die cloud-init nicht für Bootstrapping verwenden, wie z. B. Red Hat Enterprise Linux CoreOS (CoreOS für OpenShift). RHCOS verwendet Ignition.
2. Images, die Paravirtualisierung verwenden.
3. Images, die nur alte TLS Protokolle (kleiner als TLS 1.1) für Dienstprogramme wie curl unterstützen. Beispiel: Ubuntu 12.10.

IAM Policy zum Scannen

• Das DienstkontoPrisma Cloud, das zum Scannen von AMIs verwendet wird, muss mindestens über Folgendes IAM policyverfügen:

VPC Auswahl

• Wenn die Standardeinstellung in der Konsole ausgewählt, aber nicht in AWSPrisma Cloud konfiguriert ist, kann die VPC folgende Fehlermeldung auftreten.

• Um diese Fehlermeldung zu beheben, erstellen Sie den Standard VPC in AWS : Erstellen eines Standardwerts VPC neu 
• Es ist auch wichtig zu beachten, AWS dass gemäß der Dokumentation zuvor gelöschte Standardeinstellungen nicht wiederhergestellt werden können und eine vorhandene Nicht-Standardeinstellung VPC VPC nicht als Standard VPCmarkiert werden kann.
• In Zukunft werden auch benutzerdefinierte, nicht standardmäßige VPCs unterstützt, und Wenn Sie eine benutzerdefinierte VPC für die Scanner-Instance VM wünschen, kann die VPC ID angegeben werden: Konfigurieren des VM Scannen von Bildern

Konnektivität zur Konsole

• Der Zugriff von der Standard-/benutzerdefinierten VPC Konsole über den Port, der für die Kommunikation zwischen Defender und Konsole (Standard 8084) verwendet wird, muss zugelassen werden, damit Defender auf VMs, die von der Konsole erstellt wurden, Scanergebnisse zurücksenden können.
• Wenn IGW (Internet Gateway) für den Internetzugang verwendet wird, stellen Sie sicher, dass die VM am Scanvorgang beteiligten Instanzen über öffentliche IP Adressen verfügen.
• Dies kann behoben werden, indem die Option "Automatische Zuweisung öffentlicher IPv4-Adressen" in den Subnetzen aktiviert wird, in denen sich die VM Instanzen befinden: Aktivieren der automatischen Zuweisung öffentlicher IPv4-Adressen
• Auf diese Weise können neue EC2-Instances (neue VMs), die nach der Aktivierung dieser Einstellung gestartet werden, eine Verbindung zur Konsole herstellen und die Prisma Cloud Scanergebnisse zurückmelden.

Einsatz

• Stellen Sie sicher, dass alle Bereitstellungsschritte korrekt ausgeführt wurden, wie hier beschrieben: Konfigurieren des Image-Scans VM

AMI Bild Name

• Vermeiden Sie Leerzeichen und ein doppeltes "/" im AMI Bildnamen.
• Einige Beispiele für AMI Bildnamen, bei denen Scanfehler auftreten können, sind:

1. Test.region.amazonaws.com//tss/test
2. TestAMI 

Hinweis:

• Es gibt eine bestehende Funktionsanforderung zur Unterstützung des Scannens verschlüsselter AMIs, derzeit gibt es keine ETA : https://prismacloud.ideas.aha.io/ideas/TP-I- 346