P: ¿Qué es Amazon Inspector?
Amazon Inspector es un servicio de evaluación de seguridad automatizada que le ayuda a probar la seguridad de sus aplicaciones ejecutadas en Amazon EC2.

P: ¿Qué puedo hacer con Amazon Inspector?
Amazon Inspector le permite automatizar la evaluación de vulnerabilidades de seguridad en toda la canalización de desarrollo e implementación o frente a sistemas de producción estáticos. Eso le permite realizar pruebas de seguridad de forma más frecuente como parte de las operaciones de TI y desarrollo. Amazon Inspector está basado en el agente, impulsado por API y se entrega como servicio para facilitar la implementación, gestión y automatización.

Introducción a Amazon Inspector

Cree una cuenta gratuita

P: ¿De qué se compone el servicio Amazon Inspector?
Amazon Inspector consiste en un agente desarrollado por Amazon que se encuentra instalado en el sistema operativo de sus instancias de Amazon EC2 y en un servicio de control de seguridad que utiliza telemetría del agente y configuración de AWS para evaluar instancias con el objetivo de detectar riesgos y vulnerabilidades de seguridad.

P: ¿Qué es una plantilla de evaluación?
Una plantilla de evaluación es una configuración que crea en Amazon Inspector para definir cómo se ejecutan las evaluaciones. La plantilla de evaluación contiene un paquete de reglas que usted desea que Amazon Inspector utilice para evaluar el objetivo y la duración de la evaluación, temas de Amazon Simple Notification Service (SNS) sobre los que desea que Amazon Inspector envíe notificaciones sobre los estados y los resultados de la evaluación, y atributos específicos de Amazon Inspector (pares de claves/valores) que puede asignar a los datos generados por la evaluación.

P: ¿Qué es una evaluación?
Una evaluación es el proceso de descubrir posibles problemas de seguridad mediante el análisis de la configuración del objetivo y de su comportamiento respecto de paquetes de reglas especificados. Durante una evaluación, el agente monitoriza, recopila y analiza datos de comportamiento (telemetría) en el objetivo especificado, como el uso de canales seguros, el tráfico de red entre los procesos en ejecución y detalles de comunicación con los servicios de AWS. A continuación, el agente analiza los datos y los compara con un conjunto de paquetes de reglas de seguridad especificados en la plantilla de la evaluación utilizada durante dicha evaluación. Una evaluación produce una serie de datos que contienen posibles problemas de seguridad de distintos niveles de gravedad.

P: ¿La ejecución de una evaluación de Amazon Inspector afecta el desempeño?
Amazon Inspector y el agente de Amazon Inspector se diseñaron para reducir al mínimo el impacto en el rendimiento durante el proceso de evaluación.

P: ¿Qué es un objetivo?
Un objetivo representa una colección de recursos de AWS que se combinan como unidad para ayudarle a alcanzar sus objetivos empresariales. Amazon Inspector evalúa la seguridad de los recursos que constituyen el objetivo. Crea un objetivo mediante el uso de etiquetas de Amazon EC2. A continuación, puede definir los recursos etiquetados como objetivo de la evaluación definida por la plantilla de la evaluación.

P: ¿Qué son los datos?
Cada dato es un problema de seguridad potencial descubierto durante la evaluación de Amazon Inspector del objetivo especificado. Los datos se muestran en la consola de Amazon Inspector o se recuperan mediante la API y contienen una descripción detallada del problema de seguridad y un consejo sobre cómo solucionarlo.

P: ¿Qué es un paquete de reglas?
Un paquete de reglas es una colección de pruebas de seguridad que se pueden configurar como parte de una plantilla de evaluación y de una evaluación. Amazon Inspector dispone de numerosos paquetes de reglas, incluidas vulnerabilidades y riesgos comunes (CVE), marcas de referencia de configuración del sistema operativo del centro para seguridad en Internet (CIS) y prácticas recomendadas de seguridad. Consulte la documentación de Amazon Inspector para ver una lista de todos los paquetes de reglas disponibles.

P: ¿Puedo definir mis propias normas para las plantillas de evaluación/
No. En un principio, solo se permiten las reglas predefinidas para las evaluaciones. Sin embargo, estamos considerando permitir más adelante la inclusión de conjuntos de reglas superiores de distribuidores de AWS Marketplace y reglas personalizadas de desarrollo propio.

P: ¿Qué aplicaciones puede analizar Inspector en busca de vulnerabilidades?
Amazon Inspector busca aplicaciones consultando el administrador de paquetes o el sistema de instalación del software en el sistema operativo donde esté instalado el agente. Esto significa que el software que se instaló a través del administrador de paquetes se evalúa para detectar vulnerabilidades. Inspector no reconocerá la versión y el nivel de parche del software que no esté instalado a través de estos métodos. Por ejemplo, Inspector evaluará los programas instalados a través de apt, yum o Microsoft Installer. Inspector no evaluará el software instalado a través de make config/make install o archivos binarios copiados directamente en el sistema utilizando software de automatización como Puppet o Ansible.

P: ¿Qué es un informe de evaluación y qué incluye?
Se puede generar un informe de evaluación de Amazon Inspector para una ejecución de evaluación una vez que se haya completado correctamente. Un informe de evaluación es un documento que detalla lo que se prueba en la ejecución de la evaluación y los resultados de dicha evaluación. Los resultados de su evaluación se presentan en un informe estándar, que se puede generar para compartir los resultados dentro de su equipo para realizar acciones de corrección, con el objetivo de enriquecer los datos de auditoría de cumplimiento o para guardarlos como referencia futura.

Puede seleccionar entre dos tipos de informe para su evaluación: un informe de resultados o un informe completo. El informe de resultados contiene un resumen ejecutivo de la evaluación, las instancias a las que iba dirigido, los paquetes de reglas probados, las reglas que generaron hallazgos e información detallada acerca de cada una de estas reglas, junto con la lista de instancias que no pudieron comprobarse. El informe completo contiene toda la información del informe de resultados y, además, proporciona la lista de reglas que se comprobaron y se aprobaron en todas las instancias del destino de evaluación.

P: ¿Qué pasa si algunos de mis destinos no están disponibles cuando ejecuto una evaluación?
Amazon Inspector reunirá datos de vulnerabilidad de todos los destinos disponibles configurados para la plantilla de evaluación y mostrará cualquier resultado de seguridad pertinente de los destinos disponibles. Si no hay destinos disponibles para la plantilla de evaluación cuando se inicie la ejecución, el sistema informará de que no se ha podido ejecutar la evaluación y aparecerá la siguiente notificación: "La evaluación no se ha podido ejecutar en este momento, ya que no hay instancias de destino disponibles para la plantilla de evaluación seleccionada".

P: ¿Cómo es que algunos destinos dejan de estar disponibles?
Los recursos objetivo de una evaluación pueden no estar disponibles por varias razones, como por ejemplo que la instancia de EC2 esté inactiva o no responda, que la instancia etiquetada (de destino) no tenga instalado el agente de Amazon Inspector, o que el agente de Amazon Inspector instalado no esté disponible o no pueda mostrar datos de vulnerabilidad.

P: ¿Cuánto cuesta Amazon Inspector?
El precio de Inspector depende de la cantidad de evaluaciones y de la cantidad de agentes o sistemas evaluados durante las mismas. Los llamamos "agente-evaluaciones". Un periodo de facturación bajo demanda es un mes natural, al igual que con todos los servicios de AWS. Por ejemplo:

     1 evaluación de 1 agente = 1 agente-evaluación
     1 evaluación de 10 agentes = 10 agentes-evaluación
     10 evaluaciones de 2 agentes cada una = 20 agente-evaluaciones
     30 evaluaciones de 10 agentes cada una = 300 agente-evaluaciones

Si lo anterior representase la actividad de evaluaciones de Amazon Inspector en su cuenta durante un periodo de facturación determinado, se le cobraría por un total de 331 agente-evaluaciones.

El precio de cada agente-evaluación individual se basa en un modelo de precios escalonado. A medida que incrementa el volumen de agente-evaluaciones en un periodo de facturación determinado, paga menos por agente-evaluación. Por ejemplo, los dos primeros niveles de los precios de agente-evaluación son:

     Primeros 250 agente-evaluaciones: 0,30 USD por agente-evaluación
     Primeros 750 agente-evaluaciones: 0,25 USD por agente-evaluación

Es decir, en el ejemplo de arriba de 331 agente-evaluaciones en total en un periodo de facturación determinado, se le cobraría 0,30 USD por los primeros 250 y 0,25 USD por los siguientes 81, o 95,25 USD en total por el periodo de facturación. Consulte la página de precios de Amazon Inspector para ver la tabla de precios al completo.

P: ¿Existe un periodo de prueba gratuito para Amazon Inspector?
Sí. Amazon Inspector ofrece las primeras 250 agente-evaluaciones sin costo alguno durante los primeros 90 días de uso del servicio. Pueden beneficiarse de la oferta todas las cuentas de AWS que todavía no han probado Amazon Inspector.

P: ¿Qué sistemas operativos admite Amazon Inspector?
Consulte la documentación de Amazon Inspector para ver una lista actualizada de sistemas operativos admitidos.

P: ¿En qué regiones está disponible Amazon Inspector?
Consulte la documentación de Amazon Inspector para ver una lista actualizada de regiones admitidas.

P: ¿Qué versiones del kernel de Linux se admiten en las evaluaciones de Amazon inspector?
Puede ejecutar evaluaciones correctamente para una instancia EC2 con un sistema operativo basado en Linux mediante los paquetes de reglas vulnerabilidades y exposiciones comunes (CVE), indicadores de referencia del centro para seguridad en Internet (CIS) o prácticas recomendadas de seguridad independientemente de la versión del kernel. Sin embargo, para poder ejecutar una evaluación con el paquete de reglas análisis de comportamiento en tiempo de ejecución, la instancia con Linux debe tener una versión de kernel compatible con Amazon Inspector. Aquí se encuentra disponible una lista actualizada de las versiones de kernel de Linux compatibles para las evaluaciones de Amazon Inspector.

P: Me gusta la idea de Amazon Inspector. ¿Cómo puedo empezar?
Inscríbase para Amazon Inspector en la consola de administración de AWS. Una vez que se haya inscrito, debe instalar el agente de Amazon Inspector correspondiente en sus instancias de Amazon EC2, crear una nueva plantilla de evaluación, seleccionar los paquetes de reglas que desea usar y programar una evaluación. Una vez completada, el sistema generará un informe de datos que contendrá los problemas identificados en su entorno.

P: ¿Debo instalar el agente de Amazon Inspector en todas las instancias EC2 que deseo evaluar?
Sí. Durante la ejecución de una evaluación, el agente de Amazon Inspector monitoriza el comportamiento del sistema operativo y de las aplicaciones de la instancia EC2 en la cual está instalado, recopila datos de configuración y comportamiento, y los envía al servicio Amazon Inspector.

P: ¿Cómo instalo el agente de Amazon Inspector?
Existen varias maneras de instalar el agente. Para instalaciones simples, puede instalarlo manualmente en cada instancia o realizar una carga única con el documento Comando ejecutar de AWS Systems Manager (AmazonInspector-ManageAWSAgent). Para implementaciones de mayor envergadura, puede automatizar las instalaciones del agente mediante la función EC2 User Data cuando configura las instancias o crear instalaciones automatizadas del agente con AWS Lambda. También puede lanzar una instancia EC2 con la AMI Amazon Linux que ya incluye el agente de Amazon Inspector a partir de la consola de EC2 o de AWS Marketplace.

P: ¿Cómo puedo controlar si el agente de Amazon Inspector está instalado en instancias EC2 y si se encuentra en buen estado?
Puede ver el estado del agente de Amazon Inspector de todas las instancias EC2 en el objetivo de la evaluación mediante el uso de la funcionalidad "vista previa de objetivos" disponible en la consola de Inspector y mediante la consulta a la API PreviewAgents. La información del agente indica si está instalado en la instancia EC2 y cuál es su estado. Además del estado del agente de Inspector en la instancia EC2 objetivo, se muestran el ID de la instancia, el nombre de host público y la dirección IP pública (si está definida), junto con los enlaces a la consola de EC2 de cada instancia.

P: ¿Puede ejecutarse Amazon Inspector sin etiquetar los recursos?
No. Amazon Inspector exige la utilización de etiquetas de instancias de Amazon EC2 para ejecutar una evaluación.

P: ¿Amazon Inspector obtiene acceso a otros servicios de AWS de mi cuenta?
Amazon Inspector necesita enumerar las instancias EC2 y etiqueta instancias para poder identificar las que fueron especificadas en el objetivo de la evaluación. Amazon Inspector obtiene acceso a ellas mediante una función vinculada a un servicio que se crea en representación suya cuando comienza a usar Inspector como un cliente nuevo o en una región nueva. Amazon Inspector se encarga de administrar la función vinculada al servicio de Inspector, por lo que no tiene que preocuparse por la anulación accidental de los permisos que Amazon Inspector necesita. Para algunos clientes existentes, podría utilizarse una función de IAM que se registró mientras comenzaba a usar Inspector para obtener acceso a otros servicios de AWS hasta que se cree la función vinculada al servicio de Inspector. Puede crear la función vinculada al servicio de Inspector mediante la página del panel de la consola de Inspector.

P: Utilizo una traducción de direcciones de red (NAT) para mis instancias. ¿Amazon Inspector funcionará con estas instancias?
Sí. Las instancias que usan una NAT son compatibles con Amazon Inspector y no es necesario que tome ninguna acción.

P: Uso un proxy para mis instancias. ¿Amazon Inspector funcionará con estas instancias?
Sí. El agente de Amazon Inspector es compatible con entornos con proxy. Para instancias con Linux, admitimos el proxy HTTPS, y para instancias con Windows, admitimos el proxy WinHTTP. Consulte la Guía del usuario de Amazon Inspector para obtener instrucciones acerca de cómo configurar la compatibilidad con proxy para el agente de Amazon Inspector.

P: Me gustaría automatizar la evaluación de mi infraestructura de forma periódica. ¿Se ofrece alguna manera automatizada de enviar evaluaciones?
Sí. Amazon Inspector dispone de una API completa que le facilita la creación automática de entornos de aplicaciones, la creación de evaluaciones, la evaluación de políticas, la creación de excepciones de políticas y filtros, así como la recuperación de los resultados.

P: ¿Puedo programar evaluaciones de seguridad para que se ejecuten en una fecha y hora determinadas?
Sí. Cualquier evento de Amazon CloudWatch Event puede activar evaluaciones de Amazon Inspector. Puede configurar un evento Schedule recurrente mediante un índice de recurrencia fijo y simple o una expresión Cron más detallada.

P: ¿Puedo activar evaluaciones de seguridad para que se ejecuten en función de un evento?
Sí. Puede utilizar eventos de Amazon CloudWatch Events para crear patrones de eventos que monitoreen otros servicios de AWS en busca de acciones que activen una evaluación. Por ejemplo, puede crear un evento que monitoree AWS Auto Scaling en busca de instancias de Amazon EC2 nuevas que se estén lanzando o que monitoree las notificaciones de AWS CodeDeploy para detectar cuando la implementación de un código se haya finalizado correctamente. Una vez que los eventos de CloudWatch se hayan configurado en plantillas de Amazon Inspector, estos eventos de evaluación se mostrarán en la consola de Inspector como parte de las plantillas de evaluación para que pueda ver todas las activaciones automatizadas para dicha evaluación.

P: ¿Puedo configurar las evaluaciones de Amazon Inspector mediante AWS CloudFormation?
Sí, puede crear plantillas de evaluación, objetivos de evaluación y grupos de recursos de Amazon Inspector con las plantillas de AWS CloudFormation. Esto le permite configurar automáticamente evaluaciones de seguridad para las instancias EC2 a medida que se implementan. En la plantilla de CloudFormation, también puede iniciar la instalación del agente de Inspector en las instancias EC2 mediante el uso de los comandos de instalación de agentes en AWS::CloudFormation::Init o en los datos de usuario de EC2. También puede crear instancias EC2 en la plantilla de CloudFormation mediante una AMI con el agente de Inspector ya instalado.

P: ¿Dónde puedo encontrar información de métricas sobre mis evaluaciones de Amazon Inspector?
Amazon Inspector publica automáticamente datos de métricas de sus evaluaciones en Amazon CloudWatch. Si es un usuario de CloudWatch, las estadísticas de evaluación de Inspector se cargarán automáticamente en CloudWatch. Actualmente, las métricas de Inspector disponibles son: cantidad de evaluaciones ejecutadas, agentes focalizados y hallazgos generados. Si desea conocer más detalles, consulte la documentación de Amazon Inspector para obtener información acerca de las métricas de evaluación publicadas en CloudWatch.

P: ¿Es posible integrar Amazon Inspector con otros servicios de AWS para obtener registros y notificaciones?
Amazon Inspector se integra con Amazon SNS para proporcionar notificaciones de varios eventos, como hitos de monitoreo, errores o el vencimiento de excepciones. Además, se integra con AWS CloudTrail para registrar las llamadas efectuadas a Amazon Inspector.

P: ¿Qué es el paquete de reglas “referencias de la configuración de seguridad del sistema operativo CIS”?
Las referencias de seguridad CIS las proporciona el Centro para la Seguridad de Internet y son las únicas guías de configuración de seguridad basadas en consensos y prácticas recomendadas desarrolladas y aceptadas por el gobierno, las empresas, la industria y el sector académico. Amazon Web Services es miembro del programa de referencias de seguridad CIS. Aquí puede consultar la lista de certificaciones de Amazon Inspector. Las reglas de referencia CIS están diseñadas para superar/no superar pruebas de seguridad. Cada vez que no se supera una prueba CIS, Inspector genera un resultado de gravedad alta. Además, se genera un resultado informativo por cada instancia que incluye todas las reglas CIS que se han comprobado y el resultado (superado/no superado) de cada regla.

P: ¿Qué es el paquete de reglas “Vulnerabilidades y exposiciones comunes”?
Las reglas de vulnerabilidades y exposiciones comunes o CVE comprueban las vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente. Los detalles de las reglas CVE se encuentran disponibles en la Base de datos nacional de vulnerabilidades (NVD). Utilizamos el sistema de puntuación de vulnerabilidades comunes (CVSS) de la NVD como fuente principal de información de severidad. En caso de que la NVD no puntúe una CVE, pero esta se encuentre presente en Amazon Linux AMI Security Advisory (ALAS), utilizamos la gravedad de Amazon Linux. Si ninguna de estas puntuaciones se encuentra disponible para una CVE, no informamos de ella como resultado. Comprobamos todos los días la información más reciente de la NVD y ALAS y actualizamos nuestros paquetes de reglas en consecuencia.

P: ¿Cuál es la gravedad de un resultado?
Cada regla de Amazon Inspector tiene asignado un nivel de seguridad, que Amazon ha clasificado como alto, medio, bajo o informativo. La gravedad está pensada para ayudarle a priorizar las respuestas a los resultados.

P: ¿Cómo se determina la gravedad?
La gravedad de una regla depende del impacto potencial del problema de seguridad detectado. Aunque varios paquetes de reglas incluyen niveles de seguridad como parte de las reglas que proporcionan, estos varían a menudo entre conjuntos de reglas. Amazon Inspector ha normalizado la gravedad de los resultados de los paquetes de reglas disponibles al convertir las gravedades individuales en las clasificaciones comunes alta, media, baja e informativa. En el caso de resultados de gravedad alta, media y baja, cuanto más alta sea la gravedad, mayor será el impacto en la seguridad del problema subyacente. Los hallazgos que se clasifican como "informativos" se proporcionan para asesorarle sobre cuestiones de seguridad que podrían no tener un impacto inmediato.

  • En el caso de los paquetes de reglas que admite AWS, la gravedad está determinada por el equipo de seguridad de AWS.
  • Los resultados del paquete de referencias CIS siempre tienen una gravedad "alta".
  • En el caso del paquete de reglas de vulnerabilidades y exposiciones comunes o CVE, Amazon Inspector ha asignado los siguientes niveles de gravedad ALAS y puntuaciones base CVSS proporcionados:
            Gravedad de Amazon Inspector        Puntuación base CVSS           Gravedad ALAS (si no hay puntuación CVSS)
            Alta                                               >= 5                                  Crítica o importante
            Media                                         < 5 y >= 2,1                   Media
            Baja                                               < 2,1 y >= 0,8                Baja
            Informativa                                 < 0,8                                  N/D

P: cuando describo los hallazgos a través de API (DescribeFindings), cada hallazgo tiene un atributo "numericSeverity". ¿Qué significa este atributo?
El atributo "numericSeverity" es la representación numérica de la severidad de un hallazgo. La gravedad numérica asigna la severidad de la siguiente manera:
            Informativa = 0,0
            Baja = 3,0
            Mediana= 6,0
            Alta= 9,0

P: ¿Es Amazon Inspector compatible con las soluciones de los socios de AWS?
Sí, Amazon Inspector cuenta con API de cara al público disponibles para uso de los clientes y socios de AWS. Varios socios se han integrado con Amazon Inspector para incorporar los datos al correo electrónico, sistemas de tickets, plataformas de pager o paneles de seguridad más generales. Para obtener detalles sobre los socios vinculados, visite la página de socios de Amazon Inspector.

P: ¿El servicio Amazon Inspector cumple los requisitos de HIPAA?
Sí, Amazon Inspector cumple los requisitos de HIPAA y se incorporó al anexo para socios empresariales (BAA) de AWS. Si cuenta con un BAA vigente con AWS, puede ejecutar Inspector en instancias EC2 que incluyan información sanitaria protegida (PHI).

P: ¿Con qué programas de control y conformidad cumple Amazon Inspector?
Inspector cumple con SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 e HIPAA. Inspector cumple con los controles de FedRAMP y estamos esperando la finalización del informe de auditoría. Si desea obtener más información acerca de los servicios de AWS dentro del alcance del programa de conformidad, visite la página Servicios de AWS en el ámbito del programa de conformidad.