Preguntas frecuentes de Amazon Inspector

P: ¿Qué es Amazon Inspector?

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que analiza de forma continua Amazon Elastic Compute Cloud (EC2), las funciones de AWS Lambda y las imágenes de contenedores en Amazon ECR y dentro de herramientas de integración continua y entrega continua (CI/CD), casi en tiempo real para detectar vulnerabilidades de software y exposición involuntaria de la red.

P: ¿Qué beneficios clave ofrece Amazon Inspector?

Amazon Inspector elimina la sobrecarga operativa asociada a la implementación y configuración de una solución de administración de vulnerabilidades, ya que permite implementar Amazon Inspector en todas las cuentas con un solo paso. Los beneficios adicionales incluyen:

• detección automatizada y análisis continuo que proporcionan hallazgos de vulnerabilidad prácticamente en tiempo real
• Administración, configuración y visualización centralizadas de los resultados de todas las cuentas de su organización mediante el establecimiento de una cuenta de administrador delegado (DA)
• Una puntuación de riesgo de Amazon Inspector sumamente contextualizada y significativa para cada resultado con el fin de ayudarlo a establecer prioridades de respuesta más precisas
• Un panel intuitivo de Amazon Inspector para obtener métricas de cobertura, incluidas cuentas, instancias de Amazon EC2, funciones de Lambda e imágenes de contenedores en Amazon ECR y en herramientas de CI/CD, prácticamente en tiempo real.
• Analice fácilmente las instancias de EC2 y cambie entre el análisis basado en agentes y el análisis sin agentes (versión preliminar) para maximizar la cobertura de la evaluación de vulnerabilidades.
• Administre, de forma centralizada, las exportaciones de listas de materiales del software (SBOM) para todos los recursos supervisados. 
• Integración con AWS Security Hub y Amazon EventBridge para automatizar los flujos de trabajo y el enrutamiento de tickets

P: ¿Cómo puedo migrar de Amazon Inspector Classic al nuevo Amazon Inspector?

P: Puede desactivar Amazon Inspector Classic con solo eliminar todas las plantillas de evaluación de su cuenta. Para acceder a los resultados de las evaluaciones existentes, puede descargarlos como informes o exportarlos mediante la API de Amazon Inspector. Puede activar el nuevo Amazon Inspector con unos solos pasos en la Consola de administración de AWS o mediante las nuevas API del inspector de Amazon. Encontrará los pasos detallados de la migración en la Guía del usuario de Amazon Inspector Classic.

P: ¿En qué se diferencia Amazon Inspector de Amazon Inspector Classic?

Amazon Inspector se ha rediseñado y reestructurado con el objeto de crear un nuevo servicio de administración de vulnerabilidades. A continuación, se detallan las principales mejoras con respecto a Amazon Inspector Classic:

• Creado para el escalado: el nuevo Amazon Inspector se ha creado para operar en escala y adaptarse al entorno dinámico en la nube. No hay límite en el número de instancias o imágenes que se pueden analizar a la vez.
• Compatibilidad con imágenes de contenedores y funciones de Lambda: el nuevo Amazon Inspector también analiza las imágenes de contenedores que residen en Amazon ECR y en herramientas de CI/CD, y funciones de Lambda en busca de vulnerabilidades de software. Además, los resultados relacionados con los contenedores se envían a la consola de Amazon ECR.
• Compatibilidad con la administración de varias cuentas: el nuevo Amazon Inspector se integra con AWS Organizations, lo que permite delegar una cuenta de administrador de Amazon Inspector para su organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.
• AWS Systems Manager Agent: con el nuevo Amazon Inspector, ya no es necesario que instale ni que mantenga un agente de Amazon Inspector independiente en todas sus instancias de Amazon EC2. Dado que el nuevo Amazon Inspector emplea un AWS Systems Manager Agent (SSM Agent) totalmente implementado, ya no resulta necesario.
• Análisis automatizado y continuo: el nuevo Amazon Inspector detecta de forma automática todas las instancias de Amazon EC2 recién lanzadas, las funciones de Lambda y las imágenes de contenedor elegibles enviadas a Amazon ECR, y las analiza de inmediato en busca de vulnerabilidades de software y exposición involuntaria a la red. Cuando se produce un evento que puede llegar a presentar una nueva vulnerabilidad, los recursos implicados se vuelven a analizar de forma automática. Algunos de los eventos que provocan que se vuelva a analizar un recurso son la instalación de un nuevo paquete en una instancia EC2, la instalación de un parche y la publicación de nuevas vulnerabilidades y exposiciones comunes (CVE) que afecten al recurso.
• Puntuación de riesgo de Amazon Inspector: el nuevo Amazon Inspector calcula una puntuación de riesgo de Inspector mediante la correlación de la información actualizada de CVE con factores temporales y del entorno, como la accesibilidad a la red y la información de explotabilidad para agregar contexto a la hora de priorizar sus resultados.
  
• Cobertura de evaluación de vulnerabilidades: el nuevo Amazon Inspector mejora la evaluación de vulnerabilidades al analizar de forma íntegra las instancias de EC2 y cambiar entre el análisis basado en agentes y sin agentes (versión preliminar).
• Exportación de listas de materiales (SBOM) de software: el nuevo Amazon Inspector administra y exporta de forma centralizada la SBOM de todos los recursos supervisados. 

P: ¿Puedo utilizar Amazon Inspector y Amazon Inspector Classic simultáneamente en la misma cuenta?

Sí, puede utilizar ambos servicios simultáneamente en la misma cuenta.

P: ¿En qué se diferencia el servicio de análisis de imágenes de contenedores de Amazon Inspector para Amazon ECR de la solución basada en Amazon ECR Clair?

P: ¿Cuánto cuesta Amazon Inspector?

Consulte la página de precios de Amazon Inspector para ver los detalles completos de los precios.

P: ¿Existe un periodo de prueba gratuito para Amazon Inspector?

Todas las cuentas nuevas de Amazon Inspector gozan de una prueba gratuita de 15 días para evaluar el servicio y calcular su costo. Durante la prueba, todas las instancias de Amazon EC2, las funciones de AWS Lambda y las imágenes de contenedores que se envíen a Amazon ECR se analizarán de forma continua y gratuita. También puede consultar los gastos estimados en la consola de Amazon Inspector.

P: ¿En qué regiones está disponible Amazon Inspector?

Amazon Inspector está disponible en todo el mundo. Las disponibilidad específica por región se indica aquí.

P: ¿Cómo puedo comenzar?

Puede activar Amazon Inspector para toda su organización o una cuenta individual con unos pocos pasos en la Consola de administración de AWS. Una vez que se activa, Amazon Inspector detecta automáticamente las instancias de Amazon EC2, las funciones de Lambda y los repositorios de Amazon ECR en ejecución e inmediatamente comienza a analizar de forma continua las cargas de trabajo en busca de vulnerabilidades de software y exposición involuntaria a la red. Si es la primera vez que utiliza Amazon Inspector, hay un periodo de prueba gratuito de 15 días.

P: ¿Qué es un hallazgo de Amazon Inspector?

Un hallazgo de Amazon Inspector representa una vulnerabilidad potencial para la seguridad. Por ejemplo, cuando Amazon Inspector detecta vulnerabilidades de software o rutas de red abiertas en sus recursos informáticos, crea hallazgos de seguridad.

P: ¿Es posible administrar Amazon Inspector con mi estructura de AWS Organizations?

Sí. Amazon Inspector se integra con AWS Organizations. Puede asignar una cuenta de DA para Amazon Inspector, que actúa como cuenta de administrador principal para Amazon Inspector y puede administrarlo y configurarlo de forma centralizada. La cuenta de DA puede ver y administrar de forma centralizada los resultados de todas las cuentas que forman parte de su organización de AWS.

P: ¿Cómo puedo delegar un administrador para el servicio de Amazon Inspector?

La cuenta de administración de AWS Organizations puede asignar una cuenta de DA para Amazon Inspector en la consola de Amazon Inspector o mediante las API de Amazon Inspector.

P: ¿Tengo que activar tipos de análisis específicos (es decir, análisis de Amazon EC2, análisis de funciones de Lambda o análisis de imágenes de contenedores de Amazon ECR)?

Si es la primera vez que inicia Amazon Inspector, todos los tipos de análisis, entre ellos el análisis de EC2, el análisis de Lambda y el análisis de imágenes de contenedores ECR, están activados de forma predeterminada. Sin embargo, puede desactivar cualquiera o todos ellos en todas las cuentas de su organización. Los usuarios existentes pueden activar las nuevas características en la consola de Amazon Inspector o mediante las API de Amazon Inspector.

P: ¿Necesito algún agente para utilizar Amazon Inspector?

No, no necesita un agente para realizar análisis. Para analizar las vulnerabilidades de las instancias de Amazon EC2, puede utilizar AWS Systems Manager Agent (SSM Agent) como solución basada en agentes. Amazon Inspector también ofrece análisis sin agente (versión preliminar) si no tiene el agente SSM implementado o configurado. Para evaluar la accesibilidad de red de las instancias de Amazon EC2 y el análisis de vulnerabilidades de las imágenes de contenedores o el análisis de vulnerabilidades de las funciones de Lambda, no se requieren agentes. 

P: ¿Cómo hago para instalar y configurar Amazon Systems Manager Agent?

Para analizar correctamente las instancias de Amazon EC2 en busca de vulnerabilidades de software, Amazon Inspector requiere que estas instancias se administren mediante AWS Systems Manager y el agente SSM. Consulte los requisitos previos de Systems Manager en la Guía del usuario de AWS Systems Manager para obtener instrucciones para activar y configurar Systems Manager. Para obtener más información sobre las instancias administradas, consulte la sección Instancias administradas en la Guía del usuario de AWS Systems Manager.

P: ¿Cómo distingo los repositorios de Amazon ECR que se configuraron para el análisis? ¿Y cómo puedo administrar qué repositorios deben configurarse para el análisis?

Amazon Inspector admite la configuración de reglas de inclusión para seleccionar qué repositorios de ECR se analizan. Las reglas de inclusión pueden crearse y administrarse en la página de configuración del registro de la consola de ECR o mediante las API de ECR. Los repositorios de ECR que coinciden con las reglas de inclusión se configuran para su análisis. El estado del análisis en detalle de los repositorios está disponible en las consolas de ECR y Amazon Inspector.

P: ¿Cómo puedo saber si mis recursos se analizan de forma activa?

El panel de cobertura de entorno del panel de control de Amazon Inspector muestra las métricas de las cuentas, las instancias de Amazon EC2, las funciones de Lambda y los repositorios de ECR que Amazon Inspector analiza activamente. Cada instancia e imagen tiene un estado de análisis: Scanning (Analizando) o Not Scanning (No analizando). “Scanning” (Analizando) significa que el recurso se analiza de forma continua y prácticamente en tiempo real. Un estado de “Not Scanning” (No analizando) podría significar que el análisis inicial aún no se ha realizado, que el sistema operativo no es compatible o que hay algo que impide el análisis.

P: ¿Con qué frecuencia se vuelven a realizar los análisis automáticos?

Todos los análisis se realizan automáticamente en función de los eventos. Todas las cargas de trabajo se analizan por primera vez cuando se detectan y, posteriormente, se vuelven a analizar.

• Para instancias de Amazon EC2: En el caso de los análisis basados en agentes SSM, se inician nuevos análisis cuando se instala o desinstala un nuevo paquete de software en una instancia, cuando se publica una nueva CVE y después de actualizar un paquete vulnerable (para confirmar que no existen vulnerabilidades adicionales). En el caso de los análisis sin agentes, los análisis se realizan cada 24 horas.
• En el caso de las imágenes de contenedor de Amazon ECR: se inician nuevos análisis automatizados para imágenes de contenedor que cumplan los requisitos cuando se publica una nueva CVE que afecta a una imagen. Los nuevos análisis automatizados de imágenes de contenedor se basan en las duraciones de los nuevos análisis configuradas para la fecha de inserción y la fecha de extracción de la imagen en la consola de Amazon Inspector o en las API. Si la fecha de inserción de una imagen es inferior a la “Duración del nuevo análisis de la fecha de inserción” configurada y la imagen se ha extraído dentro de la “Duración del nuevo análisis de la fecha de extracción” configurada, la imagen del contenedor seguirá supervisándose y los nuevos análisis automatizados se iniciarán cuando se publique una nueva CVE que afecte a una imagen. Las configuraciones de duración de nuevos análisis disponibles para la fecha de inserción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días o 180 días.
• En el caso de las funciones de Lambda: todas las funciones de Lambda nuevas se evalúan inicialmente cuando se detectan y se reevalúan de forma continua cuando hay una actualización de la función de Lambda o se publica una nueva CVE.

P: ¿Durante cuánto tiempo se vuelven a analizar continuamente las imágenes de contenedores con Amazon Inspector?

• Cuando el análisis de Amazon Inspector ECR está activado, Amazon Inspector solo elige imágenes insertadas o extraídas durante los últimos 30 días para analizarlas, pero sigue analizándolas de manera continua durante el periodo configurado para la fecha de inserción y extracción, por ejemplo, 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Si la fecha de inserción de una imagen es inferior a la “Duración del nuevo análisis de la fecha de inserción” configurada Y la imagen se ha extraído dentro de la “Duración del nuevo análisis de la fecha de extracción” configurada, la imagen del contenedor seguirá supervisándose y los nuevos análisis automatizados se iniciarán cuando se publique una nueva CVE que afecte a una imagen. Por ejemplo, al activar el análisis de Amazon Inspector ECR, Amazon Inspector recogerá las imágenes insertadas o extraídas en los últimos 30 días para analizarlas. Sin embargo, después de la activación, si selecciona la duración de 180 días para el nuevo análisis tanto para las configuraciones de fecha de inserción como de fecha de extracción, Amazon Inspector seguirá analizando las imágenes si se han insertado en los últimos 180 días o si se han extraído al menos una vez en los últimos 180 días. Si no se ha insertado ni extraído una imagen en los últimos 180 días, Amazon Inspector dejará de supervisarla.
• Todas las imágenes insertadas en ECR tras la activación del análisis de Amazon Inspector ECR se analizan de manera continua durante el periodo configurado en “Duración del nuevo análisis de la fecha de inserción” y “Duración del nuevo análisis de la fecha de extracción”. Las configuraciones de duración de nuevos análisis disponibles para la fecha de inserción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días o 180 días. La duración del nuevo análisis automatizado se calcula en función de la última fecha de inserción o extracción de una imagen de contenedor. Por ejemplo, después de activar el análisis de Amazon Inspector ECR, si selecciona la duración de 180 días para el nuevo análisis tanto para las configuraciones de fecha de inserción como de fecha de extracción, Amazon Inspector seguirá analizando las imágenes si se han insertado en los últimos 180 días o si se han extraído al menos una vez en los últimos 180 días. Sin embargo, si no se ha insertado ni extraído una imagen en los últimos 180 días, Amazon Inspector dejará de supervisarla.
• Si la imagen se encuentra en el estado “caducó la elegibilidad para analizar”, puede extraerla para que vuelva a estar bajo la supervisión de Amazon Inspector. La imagen se analizará continuamente durante el tiempo del nuevo análisis de la fecha de inserción y fecha de extracción configuradas a partir de la última fecha de extracción.

P: ¿Puedo evitar que mis recursos se sometan a un análisis?

• Para las instancias de Amazon EC2: Sí, se puede excluir una instancia EC2 del escaneo añadiendo una etiqueta de recurso. <optional>Puede usar la clave 'InspectorEC2Exclusion', y el valor es.
• En el caso de las imágenes de contenedores que se encuentran en Amazon ECR: sí. Aunque puede seleccionar qué repositorios de Amazon ECR están configurados para el escaneo, se escanearán todas las imágenes de un repositorio. Puede crear reglas de inclusión que permitan seleccionar los repositorios que se deben analizar.
  
• Para las funciones de Lambda: Sí, se puede excluir una función de Lambda del análisis al agregar una etiqueta de recurso. Para el análisis estándar, utilice la clave 'InspectorExclusion' y el valor 'LambdaStandardScanning'. Para analizar un código, utilice la clave 'InspectorCodeExclusion' y el valor 'LambdaCodeScanning'.
  

P: ¿Cómo puedo utilizar Amazon Inspector para evaluar las vulnerabilidades de seguridad de mis funciones de Lambda?

En una estructura de varias cuentas, puede activar Amazon Inspector para las evaluaciones de vulnerabilidades de Lambda para todas sus cuentas dentro de la organización de AWS desde la consola o las API de Amazon Inspector a través de la cuenta de administrador delegado (DA), mientras que otras cuentas miembro pueden activar Amazon Inspector para su propia cuenta si el equipo de seguridad central aún no lo activó para ellas. Las cuentas que no forman parte de la organización de AWS pueden activar Amazon Inspector para su cuenta individual a través de la consola de Amazon Inspector o las API.

P: Si una función de Lambda tiene varias versiones, ¿qué versión evaluará Amazon Inspector?

Amazon Inspector controlará y evaluará continuamente solo la versión $LATEST. Los nuevos análisis automatizados continuarán solamente para la última versión, por lo que los nuevos resultados se generarán solo para la última versión. En la consola, podrá ver los resultados de cualquier versión si selecciona la versión en el menú desplegable.

P: ¿Puedo activar el análisis de código Lambda sin activar el análisis estándar de Lambda?

No. Tiene dos opciones: activar el análisis estándar de Lambda por sí solo o habilitar el análisis estándar de Lambda y de código al mismo tiempo. El análisis estándar de Lambda proporciona una protección de seguridad fundamental contra las dependencias vulnerables utilizadas en la aplicación implementada como funciones de Lambda y capas de asociación. El análisis de código Lambda proporciona un valor de seguridad adicional al analizar el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o secretos incrustados.

P: ¿De qué manera afecta el cambio de la frecuencia de recopilación de inventario de SSM de los 30 minutos predeterminados a 12 horas al análisis continuo que hace Amazon Inspector?

El cambio de la frecuencia de recopilación de inventario de SSM predeterminado puede repercutir en la continuidad del análisis. Amazon Inspector se basa en el agente SSM para recopilar el inventario de aplicaciones y generar hallazgos. Si se aumenta la duración del inventario de aplicaciones con respecto al valor predeterminado de 30 minutos, se retrasará la detección de cambios en el inventario de aplicaciones y podrían retrasarse los nuevos resultados.

P: ¿Qué es la puntuación de riesgo de Amazon Inspector?

La puntuación de riesgo de Amazon Inspector es un valor sumamente contextualizado que se genera para cada hallazgo mediante la correlación de la información sobre vulnerabilidades y exposiciones comunes (CVE) con los resultados de alcance de la red, los datos de explotabilidad y las tendencias de las redes sociales. De este modo, le resultará más fácil priorizar los resultados y centrarse en los más críticos y en los recursos vulnerables. Puede ver la forma en que se calculó la puntuación de riesgo de Inspector y cuáles fueron los factores que influyeron en ella en la pestaña “Inspector Score” (Puntuación de Inspector) dentro del panel lateral de “Findings Details” (Detalles de los hallazgos).

Por ejemplo: Hay una nueva CVE identificada en su instancia de Amazon EC2, que solo puede explotarse de forma remota. Si los análisis continuos de accesibilidad a la red de Amazon Inspector también detectan que no es posible acceder a la instancia desde Internet, entonces se sabrá que es menos probable que se explote la vulnerabilidad. Por lo tanto, Amazon Inspector relaciona los resultados del análisis con la CVE a fin de que la puntuación de riesgo se reduzca y refleje con mayor precisión el impacto de la CVE en esa instancia en particular.

P: ¿Cómo se determina la gravedad de un resultado?

P: ¿Cómo funcionan las reglas de supresión?

Amazon Inspector le permite suprimir los hallazgos en función de los criterios personalizados que defina. Puede crear reglas de supresión para los resultados que su organización considere aceptables.

P: ¿Cómo puedo exportar mis resultados y qué incluyen?

Puede generar informes en diversos formatos (CSV o JSON) con unos pocos pasos en la consola de Amazon Inspector o a través de las API de Amazon Inspector. Puede descargar un informe completo con todos los resultados, o bien generar y descargar un informe personalizado según los filtros de visualización establecidos en la consola.

P: ¿Puedo activar el análisis de código Lambda sin activar el análisis estándar de Lambda?

No. Tiene dos opciones: activar el análisis estándar de Lambda por sí solo o habilitar el análisis estándar de Lambda y de código al mismo tiempo. El análisis estándar de Lambda proporciona una protección de seguridad fundamental contra las dependencias vulnerables utilizadas en la aplicación implementada como funciones de Lambda y capas de asociación. El análisis de código Lambda proporciona un valor de seguridad adicional al analizar el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o secretos incrustados.

P: ¿Cómo puedo exportar la SBOM para mis recursos y qué incluyen?

Puede generar y exportar SBOM para todos los recursos supervisados con Amazon Inspector, en varios formatos (CycloneDX o SPDX), con unos pocos pasos en la consola de Amazon Inspector o mediante las API de Amazon Inspector. Puede descargar un informe completo con SBOM para todos los recursos, o generar y descargar SBOM de forma selectiva para algunos recursos seleccionados en función de los filtros de visualización establecidos.

P: ¿Cómo puedo activar el análisis sin agentes en mi cuenta?

Para los clientes actuales de Amazon Inspector que utilizan una sola cuenta, pueden habilitar el análisis sin agentes (versión preliminar) si visitan la página de administración de cuentas en la consola de Amazon Inspector o mediante las API.

En el caso de los clientes actuales de Amazon Inspector que utilizan AWS Organizations, su administrador delegado debe migrar por completo toda la organización a una solución sin agentes o seguir utilizando exclusivamente la solución basada en agentes de SSM. Puede cambiar la configuración del modo de análisis desde la página de configuración de EC2 de la consola o mediante las API.

Para los nuevos clientes de Amazon Inspector, durante el período de versión preliminar del análisis sin agente, las instancias se analizan en el modo de análisis basado en agentes al habilitar el análisis de EC2. Si es necesario, puede cambiar al modo de análisis híbrido. En el modo de análisis híbrido, Amazon Inspector confía en los agentes de SSM para recopilar el inventario de aplicaciones a fin de realizar evaluaciones de vulnerabilidades y recurre automáticamente al análisis sin agentes para las instancias que no tienen agentes de SSM instalados o configurados.

P: ¿Cuál es la frecuencia de los análisis sin agente?

Amazon Inspector activará de manera automática un análisis cada 24 horas para las instancias que estén marcadas para ser analizadas sin agentes (versión preliminar). No habrá ningún cambio en el comportamiento de análisis continuo de las instancias marcadas para análisis basados en agentes SSM. 

P: ¿Dónde puedo ver qué instancias se analizan con agente o sin agente cuando uso el modo de análisis híbrido para el análisis de EC2?

Puede ver el modo de análisis en la columna “Uso supervisado” si visita las páginas de cobertura de recursos en la consola de Amazon Inspector o mediante las API de cobertura de Amazon Inspector. 

P: ¿Es posible que las cuentas de los miembros con una configuración multicuenta modifiquen el modo de análisis para el análisis de EC2 de sus cuentas respectivas?

No, en una configuración de varias cuentas, solo los administradores delegados pueden configurar el modo de análisis para toda la organización.

P: ¿Cómo integro Amazon Inspector en mis herramientas de CI/CD para analizar imágenes de contenedores?

Los equipos de aplicaciones y plataformas pueden integrar Amazon Inspector en sus procesos de creación mediante complementos de Amazon Inspector especialmente diseñados para diversas herramientas de CI/CD, como Jenkins y TeamCity. Estos complementos están disponibles en el mercado de cada herramienta de CI/CD correspondiente. Una vez instalado el complemento, puede agregar un paso en la canalización para realizar una evaluación de la imagen del contenedor y tomar medidas, como bloquear la canalización en función de los resultados de la evaluación. Cuando se identifican las vulnerabilidades en la evaluación, se generan resultados de seguridad procesables. Estos resultados incluyen detalles de la vulnerabilidad, recomendaciones de corrección y detalles de explotabilidad. Se devuelven a la herramienta CI/CD en formatos JSON y CSV, que luego pueden traducirse a un panel legible por humanos mediante el complemento Amazon Inspector o pueden ser descargados por los equipos.

P: ¿Necesito permitir que Amazon Inspector utilice la integración CI/CD de Amazon Inspector para analizar imágenes de contenedores?

No, no necesita habilitar Amazon Inspector para usar esta característica siempre que tenga una cuenta de AWS activa.

P: ¿Puedo analizar mis instancias privadas de Amazon EC2 mediante la configuración de Amazon Inspector como punto de conexión de VPC?

Sí. Amazon Inspector utiliza SSM Agent para recopilar el inventario de aplicaciones, que pueden configurarse como puntos de conexión de la nube virtual privada (VPC) de Amazon para evitar el envío de información a través de Internet.

P: ¿Qué sistemas operativos admite Amazon Inspector?

Puede encontrar la lista de los sistemas operativos (SO) que se admiten aquí.

P: ¿Qué paquetes de lenguaje de programación son compatibles con Amazon Inspector para analizar imágenes de contenedores?

Puede encontrar la lista de paquetes de lenguajes de programación compatibles aquí.

P: ¿Funcionará Amazon Inspector con instancias que utilizan la traducción de direcciones de red (NAT)?

Sí. Las instancias que utilizan NAT son automáticamente compatibles con Amazon Inspector.

P: Uso un proxy para mis instancias. ¿Amazon Inspector funcionará con estas instancias?

Sí. Para obtener más información, consulte Cómo configurar SSM Agent para usar un proxy.

P: ¿Es posible integrar Amazon Inspector en otros servicios de AWS para obtener registros y notificaciones?

Amazon Inspector se integra a Amazon EventBridge para proporcionar notificaciones de eventos, tales como un nuevo hallazgo, el cambio de estado de un hallazgo o la creación de una regla de supresión. Asimismo, Amazon Inspector se integra a AWS CloudTrail para el registro de llamadas.

P: ¿Amazon Inspector ofrece análisis de “referencias de la configuración de seguridad del sistema operativo CIS”?

Sí. Puede ejecutar Amazon Inspector para realizar evaluaciones específicas y bajo demanda, las cuales establecen una comparación con los puntos de referencia de configuración del CIS en el nivel del sistema operativo para las instancias de Amazon EC2 en toda su organización de AWS.

P: ¿Es Amazon Inspector compatible con las soluciones de los socios de AWS?

Sí. Para más información, consulte socios de Amazon Inspector.

P: ¿Puedo desactivar Amazon Inspector?

Sí. Puede desactivar todos los tipos de escaneo (escaneo de Amazon EC2, escaneo de imágenes de contenedores de Amazon ECR y escaneo de funciones de Lambda) al desactivar el servicio de Amazon Inspector, o puede desactivar cada tipo de escaneo individualmente para una cuenta.

P: ¿Puedo suspender Amazon Inspector?

No. Amazon Inspector no admite el estado de suspensión.