P: ¿Qué es Amazon Inspector?
Amazon Inspector es un servicio de evaluación de seguridad automatizada que le ayuda a probar la seguridad de sus aplicaciones ejecutadas en Amazon EC2.

P: ¿Qué puedo hacer con Amazon Inspector?
Amazon Inspector le permite automatizar la evaluación de vulnerabilidades de seguridad en toda la canalización de desarrollo e implementación o frente a sistemas de producción estáticos. Eso le permite realizar pruebas de seguridad de forma más frecuente como parte de las operaciones de TI y desarrollo. Amazon Inspector está basado en el agente, impulsado por API y se entrega como servicio para facilitar la implementación, gestión y automatización.

Introducción a Amazon Inspector

Cree una cuenta gratuita

P: ¿Qué es una plantilla de evaluación?
Una plantilla de evaluación es una configuración que crea en Amazon Inspector para definir cómo se ejecutan las evaluaciones. La plantilla de evaluación contiene un paquete de reglas según las cuales desea que Amazon Inspector evalúe el objetivo, la duración de la evaluación, temas de Amazon Simple Notification Service (SNS) sobre los que desea que Amazon Inspector envíe notificaciones sobre los estados y los resultados de la evaluación, y atributos específicos de Amazon Inspector (pares de claves/valores) que puede asignar a los datos generados por la evaluación.

P: ¿Qué es una evaluación?
Una evaluación es el proceso de descubrir posibles problemas de seguridad mediante el análisis de la configuración del objetivo y de su comportamiento respecto de paquetes de reglas especificados. Durante una evaluación, el agente monitoriza, recopila y analiza datos de comportamiento (telemetría) en el objetivo especificado, como el uso de canales seguros, el tráfico de red entre los procesos en ejecución y detalles de comunicación con los servicios de AWS. A continuación, el agente analiza los datos y los compara con un conjunto de paquetes de reglas de seguridad especificados en la plantilla de la evaluación utilizada durante dicha evaluación. Una evaluación produce una serie de datos que contienen posibles problemas de seguridad de distintos niveles de gravedad.

P: ¿Qué es un objetivo?
Un objetivo representa una colección de recursos de AWS que se combinan como unidad para ayudarle a alcanzar sus objetivos empresariales. Amazon Inspector evalúa la seguridad de los recursos que constituyen el objetivo. Crea un objetivo mediante el uso de etiquetas de Amazon EC2. A continuación, puede definir los recursos etiquetados como objetivo de la evaluación definida por la plantilla de la evaluación.

P: ¿Qué son los datos?
Cada dato es un problema de seguridad potencial descubierto durante la evaluación de Amazon Inspector del objetivo especificado. Los datos se muestran en la consola de Amazon Inspector o se recuperan mediante la API y contienen una descripción detallada del problema de seguridad y un consejo sobre cómo solucionarlo.

P: ¿Qué es un paquete de reglas?
Un paquete de reglas es una colección de pruebas de seguridad que se pueden configurar como parte de una plantilla de evaluación y de una evaluación. Amazon Inspector dispone de numerosos paquetes de reglas, incluidas vulnerabilidades y exposiciones comunes (CVE), marcas de referencia de configuración del sistema operativo CIS y prácticas recomendadas de seguridad. Consulte la documentación de Amazon Inspector para ver una lista de todos los paquetes de reglas disponibles.

P: ¿Qué es un informe de evaluación y qué incluye?
Se puede generar un informe de evaluación de Amazon Inspector para una ejecución de evaluación una vez que se haya completado correctamente. Un informe de evaluación es un documento que detalla lo que se prueba en la ejecución de la evaluación y los resultados de dicha evaluación. Los resultados de su evaluación se presentan en un informe estándar, que se puede generar para compartir los resultados dentro de su equipo para realizar acciones de corrección, con el objetivo de enriquecer los datos de auditoría de cumplimiento o para guardarlos como referencia futura.

Puede seleccionar entre dos tipos de informe para su evaluación: un informe de resultados o un informe completo. El informe de resultados contiene un resumen ejecutivo de la evaluación, las instancias a las que iba dirigido, los paquetes de reglas probados, las reglas que generaron hallazgos e información detallada acerca de cada una de estas reglas, junto con la lista de instancias que no pudieron comprobarse. El informe completo contiene toda la información del informe de resultados y, además, proporciona la lista de reglas que se comprobaron y se aprobaron en todas las instancias del destino de evaluación.

P: ¿Qué pasa si algunos de mis destinos no están disponibles cuando ejecuto una evaluación?
Amazon Inspector reunirá datos de vulnerabilidad de todos los destinos disponibles configurados para la plantilla de evaluación y mostrará cualquier resultado de seguridad pertinente de los destinos disponibles. Si no hay destinos disponibles para la plantilla de evaluación cuando se inicie la ejecución, el sistema informará de que no se ha podido ejecutar la evaluación y aparecerá la siguiente notificación: "La evaluación no se ha podido ejecutar en este momento, ya que no hay instancias de destino disponibles para la plantilla de evaluación seleccionada".

P: ¿Cómo es que algunos destinos dejan de estar disponibles?
Los recursos objetivo de una evaluación pueden no estar disponibles por varias razones, como por ejemplo que la instancia de EC2 esté inactiva o no responda, que la instancia etiquetada (de destino) no tenga instalado el agente de Amazon Inspector, o que el agente de Amazon Inspector instalado no esté disponible o no pueda mostrar datos de vulnerabilidad.

P: ¿Cuánto cuesta Amazon Inspector?
El precio de Inspector depende de la cantidad de evaluaciones y de la cantidad de agentes o sistemas evaluados durante las mismas. Los llamamos "agente-evaluaciones". Un periodo de facturación bajo demanda es un mes natural, al igual que con todos los servicios de AWS. Por ejemplo:

     1 evaluación de 1 agente = 1 agente-evaluación
     1 evaluación de 10 agentes = 10 agentes-evaluación
     10 evaluaciones de 2 agentes cada una = 20 agente-evaluaciones
     30 evaluaciones de 10 agentes cada una = 300 agente-evaluaciones

Si lo anterior representase la actividad de evaluaciones de Amazon Inspector en su cuenta durante un periodo de facturación determinado, se le cobraría por un total de 331 agente-evaluaciones.

El precio de cada agente-evaluación individual se basa en un modelo de precios escalonado. A medida que incrementa el volumen de agente-evaluaciones en un periodo de facturación determinado, paga menos por agente-evaluación. Por ejemplo, los dos primeros niveles de los precios de agente-evaluación son:

     Primeros 250 agente-evaluaciones: 0,30 USD por agente-evaluación
     Primeros 750 agente-evaluaciones: 0,25 USD por agente-evaluación

Es decir, en el ejemplo de arriba de 331 agente-evaluaciones en total en un periodo de facturación determinado, se le cobraría 0,30 USD por los primeros 250 y 0,25 USD por los siguientes 81, o 95,25 USD en total por el periodo de facturación. Consulte la página de precios de Amazon Inspector para ver la tabla de precios al completo.

P: ¿Existe un periodo de prueba gratuito para Amazon Inspector?
Sí. Amazon Inspector ofrece las primeras 250 agente-evaluaciones sin costo alguno durante los primeros 90 días de uso del servicio. Pueden beneficiarse de la oferta todas las cuentas de AWS que todavía no han probado Amazon Inspector.

P: ¿En qué regiones está disponible Amazon Inspector?
En la actualidad, Amazon Inspector está disponible en las regiones Asia Pacífico (Mumbai), Asia Pacífico (Seúl), Asia Pacífico (Sídney), Asia Pacífico (Tokio), UE (Irlanda), EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Norte de California) y EE.UU. Oeste (Oregón).

P: ¿Qué versiones del kernel de Linux son compatibles con Amazon inspector?
Aquí se encuentra disponible una lista actualizada de las versiones de kernel de Linux soportadas para las evaluaciones de inspectores de Amazon.

P: ¿De qué se compone el servicio Amazon Inspector?
Amazon Inspector se compone de un agente desarrollado por Amazon que se instala en el sistema operativo de sus instancias de Amazon EC2 y una función de servicio de IAM que se crea con un solo clic durante la configuración del servicio Amazon Inspector. Esta función del servicio otorga permisos a Amazon Inspector para enumerar instancias y etiquetas para marcar el objetivo de la evaluación. Consulte la documentación de Amazon Inspector para ver una lista actual de sistemas operativos admitidos.

P: Me gusta la idea de Amazon Inspector. ¿Cómo puedo empezar?
Inscríbase para Amazon Inspector en la consola de administración de AWS. Una vez que se haya inscrito, debe instalar el agente de Amazon Inspector correspondiente en sus instancias de Amazon EC2, crear una nueva plantilla de evaluación, seleccionar los paquetes de reglas que desea usar y programar una evaluación. Una vez completada, el sistema generará un informe de datos que contendrá los problemas identificados en su entorno.

P: ¿Es Amazon Inspector compatible con las soluciones de los socios de AWS?
Sí, Amazon Inspector cuenta con API de cara al público disponibles para uso de los clientes y socios de AWS. Varios socios se han integrado con Amazon Inspector para incorporar los datos al correo electrónico, sistemas de tickets, plataformas de pager o paneles de seguridad más generales. Para obtener detalles sobre los socios compatibles, visite la página de socios de Amazon Inspector.

P: Utilizo una traducción de direcciones de red (NAT) para mis instancias. ¿Amazon Inspector funcionará con estas instancias?
Sí. Las instancias que usan una NAT son compatibles con Amazon Inspector y no es necesario que tome ninguna acción.

P: Uso un proxy para mis instancias. ¿Amazon Inspector funcionará con estas instancias?
Sí. El agente de Amazon Inspector es compatible con entornos con proxy. Para instancias con Linux, admitimos el proxy HTTPS, y para instancias con Windows, admitimos el proxy WinHTTP. Consulte la Guía del usuario de Amazon Inspector para obtener instrucciones acerca de cómo configurar la compatibilidad con proxy para el agente de Amazon Inspector.

P: ¿Qué aplicaciones puede analizar Inspector en busca de vulnerabilidades?
Amazon Inspector busca aplicaciones consultando el administrador de paquetes o el sistema de instalación del software en el sistema operativo donde esté instalado el agente. Esto significa que el software que se instaló a través del administrador de paquetes se evalúa para detectar vulnerabilidades. Inspector no reconocerá la versión y el nivel de parche del software que no esté instalado a través de estos métodos. Por ejemplo, Inspector evaluará los programas instalados a través de apt, yum o Microsoft Installer. Inspector no evaluará el software instalado a través de make config/make install o archivos binarios copiados directamente en el sistema utilizando software de automatización como Puppet o Ansible.

P: ¿Dónde puedo encontrar información de métricas sobre mis evaluaciones de Amazon Inspector?
Amazon Inspector publica automáticamente datos de métricas de sus evaluaciones en Amazon CloudWatch. Si es un usuario de CloudWatch, las estadísticas de evaluación de Inspector se cargarán automáticamente en CloudWatch. Actualmente, las métricas de Inspector disponibles son: cantidad de evaluaciones ejecutadas, agentes focalizados y hallazgos generados. Si desea conocer más detalles, consulte la documentación de Amazon Inspector para obtener información acerca de las métricas de evaluación publicadas en CloudWatch.

P: ¿Puede integrarse Amazon Inspector con otros servicios de AWS para obtener registros y notificaciones?
Amazon Inspector se integra con SNS para proporcionar notificaciones de varios eventos, como hitos de monitoreo, fallos o el vencimiento de excepciones, y se integra con AWS CloudTrail para registrar las llamadas efectuadas a Amazon Inspector.

P: Me gustaría automatizar la evaluación de mi infraestructura de forma periódica. ¿Se ofrece alguna manera automatizada de enviar evaluaciones?
Sí. Amazon Inspector dispone de una API completa que le facilita la creación automática de entornos de aplicaciones, la creación de evaluaciones, la evaluación de políticas, la creación de excepciones de políticas y filtros, así como la recuperación de los resultados.

P: ¿Puedo programar evaluaciones de seguridad para que se ejecuten a una fecha y hora determinada?
Sí. Amazon Inspector tiene disponible una guía de AWS Lambda para que pueda crear eventos programados recurrentes. Una vez que haya creado una plantilla de evaluación para la evaluación de seguridad que desee ejecutar, simplemente tiene que acceder a AWS Lambda desde la consola de administración de AWS. En AWS Lambda, haga clic en "Create a Lambda function" y seleccione la guía "inspector-scheduled-run". La guía le explicará paso a paso cómo crear un programa recurrente para ejecutar su evaluación.

P: ¿Puede ejecutarse Amazon Inspector sin etiquetar los recursos?
No. Amazon Inspector exige la utilización de etiquetas de instancias de Amazon EC2 para ejecutar una evaluación.

P: ¿Se ve afectado el desempeño durante un escaneo de Amazon Inspector?
Amazon Inspector y el agente de Amazon Inspector se diseñaron para reducir al mínimo el impacto en el rendimiento durante el proceso de evaluación.

P: ¿Puedo definir mis propias normas para las plantillas de evaluación/
No. En un principio, solo se permiten las reglas predefinidas para las evaluaciones. Sin embargo, estamos considerando permitir más adelante la inclusión de conjuntos de reglas superiores de distribuidores de AWS Marketplace y reglas personalizadas de desarrollo propio.

P: ¿Cuál es la gravedad de un resultado?
Cada regla de Amazon Inspector tiene asignado un nivel de seguridad, que Amazon ha clasificado como alto, medio, bajo o informativo. La gravedad está pensada para ayudarle a priorizar las respuestas a los resultados.

P: ¿Qué es el paquete de reglas “referencias de la configuración de seguridad del sistema operativo CIS”?
Las referencias de seguridad CIS las proporciona el Centro para la Seguridad de Internet y son las únicas guías de configuración de seguridad basadas en consensos y prácticas recomendadas desarrolladas y aceptadas por el gobierno, las empresas, la industria y el sector académico. Amazon Web Services es miembro del programa de referencias de seguridad CIS. Aquí puede consultar la lista de certificaciones de Amazon Inspector. Las reglas de referencia CIS están diseñadas para superar/no superar pruebas de seguridad. Cada vez que no se supera una prueba CIS, Inspector genera un resultado de gravedad alta. Además, se genera un resultado informativo por cada instancia que incluye todas las reglas CIS que se han comprobado y el resultado (superado/no superado) de cada regla.

P: ¿Qué es el paquete de reglas “Vulnerabilidades y exposiciones comunes”?
Las reglas de vulnerabilidades y exposiciones comunes o CVE comprueban las vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente. Los detalles de las reglas CVE se encuentran disponibles en la Base de datos nacional de vulnerabilidades (NVD). Utilizamos el sistema de puntuación de vulnerabilidades comunes (CVSS) de la NVD como fuente principal de información de severidad. En caso de que la NVD no puntúe una CVE, pero esta se encuentre presente en Amazon Linux AMI Security Advisory (ALAS), utilizamos la gravedad de Amazon Linux. Si ninguna de estas puntuaciones se encuentra disponible para una CVE, no informamos de ella como resultado. Comprobamos todos los días la información más reciente de la NVD y ALAS y actualizamos nuestros paquetes de reglas en consecuencia.

P: ¿Cómo se determina la gravedad?
La gravedad de una regla depende del impacto potencial del problema de seguridad detectado. Aunque varios paquetes de reglas incluyen niveles de seguridad como parte de las reglas que proporcionan, estos varían a menudo entre conjuntos de reglas. Amazon Inspector ha normalizado la gravedad de los resultados de los paquetes de reglas disponibles al convertir las gravedades individuales en las clasificaciones comunes alta, media, baja e informativa. En el caso de resultados de gravedad alta, media y baja, cuanto más alta sea la gravedad, mayor será el impacto en la seguridad del problema subyacente. Los hallazgos que se clasifican como "informativos" se proporcionan para asesorarle sobre cuestiones de seguridad que podrían no tener un impacto inmediato.

  • En el caso de los paquetes de reglas que admite AWS, la gravedad está determinada por el equipo de seguridad de AWS.
  • Los resultados del paquete de referencias CIS siempre tienen una gravedad "alta".
  • En el caso del paquete de reglas de vulnerabilidades y exposiciones comunes o CVE, Amazon Inspector ha asignado los siguientes niveles de gravedad ALAS y puntuaciones base CVSS proporcionados:
            Gravedad de Amazon Inspector        Puntuación base CVSS           Gravedad ALAS (si no hay puntuación CVSS)
            Alta                                               >= 5                                  Crítica o importante
            Media                                         < 5 y >= 2,1                   Media
            Baja                                               < 2,1 y >= 0,8                Baja
            Informativa                                 < 0,8                                  N/D

 

P: cuando describo los hallazgos a través de API (DescribeFindings), cada hallazgo tiene un atributo "numericSeverity". ¿Qué significa este atributo?
El atributo "numericSeverity" es la representación numérica de la severidad de un hallazgo. La gravedad numérica asigna la severidad de la siguiente manera:
            Informativa = 0,0
            Baja = 3,0
            Mediana= 6,0
            Alta= 9,0