Aspectos generales

P: ¿Qué es Amazon Inspector?

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que analiza continuamente las cargas de trabajo de contenedores y Amazon Elastic Compute Cloud (EC2) en busca de vulnerabilidades de software y exposiciones involuntaria a la red.

P: ¿Qué beneficios clave ofrece Amazon Inspector?

Amazon Inspector elimina la sobrecarga operativa asociada con la implementación y la configuración de una solución de administración de vulnerabilidades, ya que le permite implementar Amazon Inspector en todas las cuentas con un solo clic. Los beneficios adicionales de Amazon Inspector son los siguientes:

  • descubrimiento automatizado y análisis continuo que proporciona hallazgos de vulnerabilidad prácticamente en tiempo real
  • administración, configuración y visualización centralizada de los hallazgos de todas las cuentas de su organización mediante la creación de una cuenta de administrador delegado (DA)
  • puntuación de riesgo de Inspector sumamente contextualizada y significativa para cada hallazgo con la finalidad de ayudarlo a establecer prioridades de respuesta más precisas
  • panel intuitivo de Amazon Inspector para las métricas de cobertura, incluidas las cuentas, las instancias EC2 y los repositorios de Amazon Elastic Container Registry (ECR) que Amazon Inspector analiza activamente.
  • integración a AWS Security Hub y Amazon EventBridge para automatizar los flujos de trabajo y el enrutamiento de tickets

P: ¿En qué se diferencia Amazon Inspector de Amazon Inspector Classic?

Amazon Inspector se ha rediseñado y reestructurado con el objeto de crear un nuevo servicio de administración de vulnerabilidades. A continuación, se detallan las principales mejoras con respecto a Amazon Inspector Classic:

  • Creado para el escalado: el nuevo Amazon Inspector se ha creado para operar en escala y adaptarse al entorno dinámico en la nube. No hay límite en el número de instancias o imágenes que se pueden analizar a la vez.
  • Compatibilidad con las imágenes de contenedores: el nuevo Amazon Inspector también analiza las imágenes de contenedores que se encuentran en Amazon ECR en busca de vulnerabilidades de software. Además, los hallazgos relacionados con los contenedores se envían a la consola de ECR.
  • Suporte para administrar varias cuentas: el nuevo Amazon Inspector se integra a AWS Organizations. De esta manera, puede delegar una cuenta de administrador de Amazon Inspector para su organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.
  • AWS Systems Manager Agent: con el nuevo Amazon Inspector, ya no es necesario que instale ni que mantenga un agente de Amazon Inspector independiente en todas sus instancias de Amazon EC2. Dado que el nuevo Amazon Inspector emplea un AWS Systems Manager Agent (SSM Agent) totalmente implementado, ya no resulta necesario.
  • Análisis continuo y automatizado: el nuevo Amazon Inspector detecta automáticamente todas las instancias de Amazon EC2 recién lanzadas y las imágenes de contenedores aptas para ello que se envían a Amazon ECR y, a continuación, las analiza inmediatamente en busca de vulnerabilidades de software y exposiciones involuntarias a la red. Cuando se produce un evento que puede llegar a presentar una nueva vulnerabilidad, los recursos implicados se vuelven a analizar de forma automática. Algunos de los eventos que provocan que se vuelva a analizar un recurso son la instalación de un nuevo paquete en una instancia EC2, la instalación de un parche y la publicación de nuevas vulnerabilidades y exposiciones comunes (CVE) que afecten al recurso.
  • Puntuación de riesgo de Inspector: el nuevo Amazon Inspector calcula una puntuación de riesgo de Inspector mediante la correlación de la información actualizada de CVE con factores temporales y del entorno, como la accesibilidad a la red y la información de explotabilidad para agregar contexto a la hora de priorizar sus hallazgos.

P: ¿Puedo utilizar Amazon Inspector y Amazon Inspector Classic simultáneamente en la misma cuenta?

Sí, puede utilizar ambos servicios simultáneamente en la misma cuenta.

P: ¿Cómo puedo migrar de Amazon Inspector Classic al nuevo Amazon Inspector?

Para desactivar Amazon Inspector Classic, solo tiene que eliminar todas las plantillas de evaluación de su cuenta. Si desea acceder a los hallazgos de las ejecuciones de evaluación existentes, puede descargarlos como informes o exportarlos mediante la API de Amazon Inspector. Puede habilitar el nuevo Amazon Inspector con tan solo unos clics en la consola de administración de AWS o mediante las nuevas API de Amazon Inspector. Además, puede encontrar los pasos detallados de la migración en la Guía del usuario de Amazon Inspector Classic.

P: ¿En qué se diferencia el servicio de análisis de imágenes de contenedores de Amazon Inspector para Amazon ECR de la solución basada en Amazon ECR Clair?

  Análisis de imágenes de contenedores de Amazon Inspector  Solución basada en Amazon ECR Clair

Motor de análisis

Amazon Inspector es un servicio de administración de vulnerabilidades desarrollado por AWS con soporte integrado para imágenes de contenedores que se encuentran en Amazon ECR.

Amazon ECR ofrece un proyecto Clair de código abierto administrado como solución básica de análisis.

Cobertura del paquete

Identifica vulnerabilidades tanto en los paquetes del sistema operativo (SO) como en los del lenguaje de programación (por ejemplo, Python, Java, Ruby, etc.).

Identifica vulnerabilidades del software únicamente en los paquetes del sistema operativo.

Frecuencia de análisis

Ofrece análisis continuo y análisis al insertar.

Ofrece solo análisis al insertar.

Hallazgos

Los hallazgos están disponibles en las consolas de Amazon Inspector y ECR, así como en la interfaz de programación de aplicaciones (API) de Amazon Inspector y ECR y en el kit de desarrollo de software (SDK).

Los hallazgos están disponibles en la consola de ECR, las API de ECR y el SDK.

Puntuación de vulnerabilidad

Proporciona una puntuación contextual de Inspector y puntuaciones del Sistema de puntuación de vulnerabilidades comunes (CVSS) v2 y v3 tanto de la Base de datos nacional de vulnerabilidades (NVD) como de los proveedores.

Solo puntuaciones del CVSS v2

Integraciones de servicios de AWS

Integrado a AWS Security Hub, AWS Organizations y AWS EventBridge

No hay integraciones a otros servicios de AWS disponibles.

 

P: ¿Cuánto cuesta Amazon Inspector?

Consulte la página de precios de Amazon Inspector para ver los detalles completos de los precios.

P: ¿Existe un periodo de prueba gratuito para Amazon Inspector?

Todas las cuentas de Amazon Inspector pueden acceder a un periodo de prueba gratuito de 15 días para evaluar el servicio y calcular su costo. Durante la prueba, todas las instancias de Amazon EC2 y las imágenes de contenedores que cumplan los requisitos y que se envíen a ECR se analizan continuamente sin costo alguno. También puede consultar los gastos estimados en la consola de Amazon Inspector.

P: ¿En qué regiones está disponible Amazon Inspector?

Amazon Inspector está disponible en todo el mundo. Las disponibilidad específica por región se indica aquí.

Introducción

P: ¿Cómo comienzo?

Puede habilitar Amazon Inspector para toda su organización o una cuenta individual con tan solo unos pocos clics en la consola de administración de AWS. Una vez habilitado, Amazon Inspector detecta automáticamente las instancias de Amazon EC2 en ejecución y los repositorios de Amazon ECR e inmediatamente comienza a analizar de forma continua las cargas de trabajo en busca de vulnerabilidades de software y exposiciones involuntarias a la red. Si es la primera vez que utiliza Inspector, también hay un periodo de prueba gratuito de 15 días.

P: ¿Qué es un hallazgo de Amazon Inspector?

Un hallazgo de Amazon Inspector representa una vulnerabilidad potencial para la seguridad. Por ejemplo, cuando Amazon Inspector detecta vulnerabilidades de software o rutas de red abiertas en sus recursos informáticos, crea hallazgos de seguridad.

P: ¿Es posible administrar Amazon Inspector con mi estructura de AWS Organizations?

Sí. Amazon Inspector se integra a AWS Organizations. Puede asignar una cuenta de DA para Amazon Inspector, que funciona como cuenta de administrador principal y, además, puede administrar y configurar este servicio de forma centralizada. Con la cuenta de DA, se pueden ver y administrar de forma centralizada los hallazgos de todas las cuentas que forman parte de su organización de AWS.

P: ¿Cómo puedo delegar un administrador para el servicio de Amazon Inspector?

La cuenta de administración de AWS Organizations puede asignar una cuenta de DA para Amazon Inspector en la consola correspondiente o mediante las API de Amazon Inspector.

P: ¿Tengo que habilitar los tipos de análisis específicos, es decir, el análisis de Amazon EC2 o el de imágenes de contenedores para Amazon ECR?

El análisis de instancias EC2 y el de imágenes para ECR se encuentran habilitados de forma predeterminada. Sin embargo, puede desactivar el análisis de instancias de Amazon EC2, el de imágenes para Amazon ECR o ambos en las cuentas.

P: ¿Necesito algún agente para utilizar Amazon Inspector?

Depende de qué recursos esté analizando. Se necesita AWS Systems Manager Agents (SSM Agents) para analizar la vulnerabilidad de las instancias de Amazon EC2. No se requieren agentes para la accesibilidad a la red de las instancias de Amazon EC2 y el análisis de vulnerabilidad de las imágenes de contenedores.

P: ¿Cómo hago para instalar y configurar Amazon Systems Manager Agent?

A fin de analizar correctamente las instancias de Amazon EC2 en busca de vulnerabilidades de software, Amazon Inspector requiere que estas instancias sean administradas por AWS Systems Manager (SSM) y SSM Agent. Consulte los requisitos previos de Systems Manager en la Guía del usuario de AWS Systems Manager para obtener información sobre cómo habilitar y configurar este servicio. Para obtener más información sobre las instancias administradas, consulte la sección Instancias administradas en la Guía del usuario de AWS Systems Manager.

P: ¿Puedo excluir algunas instancias de Amazon EC2 del análisis?

No. Una vez que Amazon Inspector está habilitado en el análisis de Amazon EC2, se analizan continuamente todas las instancias EC2 con Amazon SSM Agents instalados y configurados en una cuenta.

P: ¿Cómo distingo los repositorios de Amazon ECR que se han configurado para el análisis? Y, ¿de qué manera puedo administrar los repositorios que se deben configurar para el análisis?

Amazon Inspector admite la configuración de reglas de inclusión que permiten seleccionar los repositorios de Amazon ECR que se analizarán. Las reglas de inclusión se crean y administran en la página de configuración del registro que tiene la consola de ECR o mediante las API de ECR. Los repositorios de ECR que coinciden con las reglas de inclusión se configuran para su análisis. El estado del análisis en detalle de los repositorios está disponible en las consolas de ECR y Amazon Inspector.

Trabajar con Amazon Inspector

P: ¿Cómo puedo conocer si mis recursos se están analizando de forma activa?

El panel de cobertura de entorno en el panel de control de Amazon Inspector muestra las métricas de las cuentas, las instancias de Amazon EC2 y los repositorios de Amazon ECR que analiza activamente Amazon Inspector. Cada instancia e imagen tiene un estado de análisis: “Scanning” (Analizando) o “Not Scanning” (No analizando). “Scanning” (Analizando) significa que el recurso se analiza de forma continua y prácticamente en tiempo real. Un estado de “Not Scanning” (No analizando) podría significar que el análisis inicial aún no se ha realizado, que el sistema operativo no es compatible o que hay algo que impide el análisis.

P: ¿Con qué frecuencia se vuelven a realizar los análisis automáticos?

Todos los análisis se realizan automáticamente en función de los eventos. Todas las cargas de trabajo se analizan por primera vez cuando se detectan y, posteriormente, se vuelven a analizar.

  • En el caso de las instancias de Amazon EC2: los nuevos análisis se inician cuando se instala o desinstala un nuevo paquete de software en una instancia, cuando se publica una nueva CVE y una vez que se actualiza un paquete vulnerable (para confirmar que no existen vulnerabilidades adicionales).
  • En el caso de las imágenes de contenedores de ECR: cuando se publica una nueva CVE que afecta a una imagen, se inician nuevos análisis automatizados de las imágenes de contenedores que cumplan los requisitos. Los nuevos análisis automatizados para las imágenes de contenedores se realizan durante los primeros 30 días desde que se envía la imagen.

P: ¿Durante cuánto tiempo se vuelven a analizar continuamente las imágenes de contenedores con Amazon Inspector?

Las imágenes de contenedores que se encuentran en los repositorios de Amazon ECR y que se han configurado para un análisis continuo se realizan durante los 30 días posteriores a su envío al repositorio.

P: ¿Puedo evitar que mis recursos se sometan a un análisis?

  • En el caso de las instancias de Amazon EC2: No. Amazon Inspector detecta de forma automática todas las instancias EC2 de una cuenta y analiza continuamente todas ellas con Amazon SSM Agent ya configurado.
  • En el caso de las imágenes de contenedores que se encuentran en Amazon ECR: Sí. Aunque puede seleccionar los repositorios de ECR que se han configurado para el análisis, todas las imágenes de un repositorio se someterán a este proceso. Puede crear reglas de inclusión que permitan seleccionar los repositorios que se deben analizar.

P: ¿De qué manera afecta el cambio de la frecuencia de recopilación de inventario de SSM de los 30 minutos predeterminados a 12 horas al análisis continuo que hace Amazon Inspector?

El cambio de la frecuencia de recopilación de inventario de SSM predeterminado puede repercutir en la continuidad del análisis. Amazon Inspector se basa en los SSM Agents para recopilar el inventario de aplicaciones y así generar hallazgos. Si se aumenta la duración del inventario de aplicaciones con respecto al valor predeterminado de 30 minutos, ello retrasará la detección de cambios en el inventario de aplicaciones e incluso los nuevos hallazgos podrían verse retrasados.

P: ¿Qué es la puntuación de riesgo de Inspector?

La puntuación de riesgo de Inspector es un valor sumamente contextualizado que se genera para cada hallazgo mediante la correlación de la información sobre vulnerabilidades y exposiciones comunes (CVE) con los resultados de alcance de la red, los datos de explotabilidad y las tendencias de las redes sociales. De este modo, le resultará más fácil priorizar los hallazgos y centrarse en los más críticos y en los recursos vulnerables. Puede ver la forma en que se calculó la puntuación de riesgo de Inspector y cuáles fueron los factores que influyeron en ella en la pestaña “Inspector Score” (Puntuación de Inspector) dentro del panel lateral de “Findings Details” (Detalles de los hallazgos).

Por ejemplo: Hay una nueva CVE identificada en su instancia de Amazon EC2, que solo puede explotarse de forma remota. Si los análisis continuos de accesibilidad a la red de Amazon Inspector también detectan que no es posible acceder a la instancia desde Internet, entonces se sabrá que es menos probable que se explote la vulnerabilidad. Por lo tanto, Amazon Inspector relaciona los resultados del análisis con la CVE a fin de que la puntuación de riesgo se reduzca y refleje con mayor precisión el impacto de la CVE en esa instancia en particular.

P: ¿Cómo se determina la gravedad de un hallazgo?

Puntuación de Inspector  Gravedad 
0 Informativa
0,2–3,9 Baja
4,0–6,9 Mediana
7,0–8,9 Alta
9,0–10,0 Crítica

P: ¿Cómo funcionan las reglas de supresión?

Amazon Inspector le permite suprimir los hallazgos en función de los criterios personalizados que defina. Puede crear reglas de supresión para los hallazgos que su organización considere como aceptables.

P: ¿Cómo puedo exportar mis hallazgos y en qué consiste?

Puede generar informes en diversos formatos (CSV o JSON) con unos pocos clics en la consola de Amazon Inspector o a través de las API de Amazon Inspector. Puede descargar un informe completo con todos los hallazgos, o bien generar y descargar un informe personalizado según los filtros de visualización establecidos en la consola.

P: ¿Puedo analizar mis instancias privadas de Amazon EC2 mediante la configuración de Amazon Inspector como punto de enlace de la VPC?

Sí. Amazon Inspector utiliza Amazon SSM Agents para recopilar el inventario de las aplicaciones, que pueden configurarse como puntos de enlace de Amazon Virtual Private Cloud (Amazon VPC) y así evitar el envío de información a través de Internet.

P: ¿Qué sistemas operativos admite Amazon Inspector?

Puede encontrar la lista de los sistemas operativos (SO) que se admiten aquí.

P: ¿Qué paquetes de lenguaje de programación son compatibles con Amazon Inspector para analizar imágenes de contenedores?

Puede encontrar la lista de paquetes de lenguajes de programación compatibles aquí.

P: ¿Funcionará Amazon Inspector con instancias que utilizan la traducción de direcciones de red (NAT)?

Sí. Las instancias que utilizan NAT son automáticamente compatibles con Amazon Inspector.

P: Uso un proxy para mis instancias. ¿Amazon Inspector funcionará con estas instancias?

Sí. Para obtener más información, consulte Cómo configurar SSM Agent para usar un proxy.

P: ¿Es posible integrar Amazon Inspector en otros servicios de AWS para obtener registros y notificaciones?

Amazon Inspector se integra a Amazon EventBridge para proporcionar notificaciones de eventos, tales como un nuevo hallazgo, el cambio de estado de un hallazgo o la creación de una regla de supresión. Asimismo, Amazon Inspector se integra a AWS CloudTrail para el registro de llamadas.

P: ¿Amazon Inspector ofrece análisis de “referencias de la configuración de seguridad del sistema operativo CIS”?

No. Si bien Amazon Inspector no admite actualmente los análisis del CIS, esta capacidad se agregará más adelante. Sin embargo, puede seguir utilizando el paquete de reglas de análisis de CIS que se ofrece en Amazon Inspector Classic.

P: ¿Es Amazon Inspector compatible con las soluciones de los socios de AWS?

Sí. Para obtener más información, consulte socios de Amazon Inspector.

P: ¿Puedo desactivar Amazon Inspector?

Sí. Puede desactivar todos los tipos de análisis (análisis de EC2 y análisis de imágenes de contenedores de ECR) si desactiva el servicio de Amazon Inspector, o bien desactivar cada tipo de análisis de manera individual para una cuenta.

P: ¿Puedo suspender Amazon Inspector?

No. Amazon Inspector no admite el estado de suspensión.

Más información sobre los clientes de Amazon Inspector

Visite la página del cliente
¿Todo listo para crear?
Introducción a Amazon Inspector
¿Tiene más preguntas?
Contacte con nosotros