¿Cómo evitar errores de "ami de escaneo fallido" al escanear AWS AMI imágenes en Prisma Cloud?

• Cuando Prisma Cloud la consola intenta escanear AWS AMI imágenes, puede devolver el siguiente mensaje de error después de un par de reintentos y tiempo de espera.

• Para evitar tales errores, este artículo tiene la intención de lograr lo siguiente:
  • Describa algunas de las razones más comunes detrás de los errores al escanear AWS AMI imágenes en Prisma Cloud.
  • Proporcione una lista de comprobación de soluciones o soluciones para abordarlas.

• Prisma Cloud Calcular
• AWS

Confirme que el AMI en cuestión es compatible

• Prisma Cloud puede escanear imágenes de máquina Amazon (AMI) de Linux.
• Sin embargo, no se admiten las siguientes AMI:

1. Imágenes que no usan cloud-init para el arranque, como Red Hat Enterprise Linux CoreOS (CoreOS para OpenShift). RHCOS utiliza Ignition.
2. Imágenes que usan paravirtualización.
3. Imágenes que solo admiten protocolos antiguos TLS (menos de TLS 1.1) para utilidades como curl. Por ejemplo, Ubuntu 12.10.

IAM Policy para escanear

• La cuenta Prisma Cloud de servicio utilizada para analizar las AMI debe tener al menos lo siguiente IAM policy:

VPC Selección

• Si se selecciona el valor predeterminado en Prisma Cloud la consola pero no está configurado en AWS, puede aparecer el VPC siguiente mensaje de error.

• Para resolver este mensaje de error, vuelva a crear el valor predeterminado en AWS : Crear un valor predeterminado VPC VPC 
• También es importante tener en cuenta que, según AWS la documentación, el valor predeterminado eliminado anteriormente no se puede restaurar y un no predeterminado existente no se puede marcar como predeterminado VPC VPC.VPC
• En el futuro, también se admiten VPC personalizadas no predeterminadas y Si desea una personalizada VPC para la instancia del analizadorVM, se puede especificar el id: Configurar VM el VPC escaneo de imágenes

Conectividad a la consola

• El acceso desde el valor predeterminado/personalizado VPC a la consola a través del puerto utilizado para la comunicación entre Defender y la consola (8084 predeterminado) debe permitirse para permitir que Defenders en las máquinas virtuales creadas por la consola envíen los resultados del escaneo.
• Si IGW se utiliza (Puerta de enlace de Internet) para el acceso a Internet, asegúrese de que las VM instancias implicadas en el proceso de digitalización tengan direcciones públicas IP .
• Esto se puede solucionar habilitando "asignación automática de dirección IPv4 pública" en las subredes en las que residen las VM instancias: Habilitar la asignación automática de direcciones IPv4 públicas
• Con esto, las nuevas instancias EC2 (nuevas máquinas virtuales) lanzadas después de habilitar esta configuración, podrán establecer conectividad con la Prisma Cloud consola e informar los resultados del escaneo.

despliegue

• Asegúrese de que todos los pasos de implementación se han seguido correctamente como se describe aquí: Configurar VM el escaneo de imágenes

AMI Nombre de la imagen

• Evite los espacios en blanco y doble "/" en AMI Nombre de imagen.
• Algunos de los ejemplos de nombres de AMI imagen que pueden encontrarse con fallas de escaneo son:

1. Test.region.amazonaws.com//tss/test
2. PruebaAMI 

Nota:

• Existe una solicitud de función existente para admitir el análisis de AMI cifradas, sin ETA en este momento: https://prismacloud.ideas.aha.io/ideas/TP-I- 346