Preguntas frecuentes de Amazon Inspector

P: ¿Qué es Amazon Inspector?

Amazon Inspector es un servicio automatizado de administración de vulnerabilidades que analiza continuamente Amazon Elastic Compute Cloud (EC2), las funciones de AWS Lambda y las cargas de trabajo de contenedores en busca de vulnerabilidades de software y exposición involuntaria a la red.

P: ¿Qué beneficios clave ofrece Amazon Inspector?

Amazon Inspector elimina la sobrecarga operativa asociada a la implementación y configuración de una solución de administración de vulnerabilidades, ya que permite implementar Amazon Inspector en todas las cuentas con un solo paso. Los beneficios adicionales incluyen:

• detección automatizada y análisis continuo que proporcionan hallazgos de vulnerabilidad prácticamente en tiempo real
• Administración, configuración y visualización centralizadas de los resultados de todas las cuentas de su organización mediante el establecimiento de una cuenta de administrador delegado (DA)
• Una puntuación de riesgo de Amazon Inspector sumamente contextualizada y significativa para cada resultado con el fin de ayudarlo a establecer prioridades de respuesta más precisas
• Un panel intuitivo de Amazon Inspector para las métricas de cobertura, incluidas las cuentas, las instancias de Amazon EC2, las funciones de Lambda y los repositorios de Amazon Elastic Container Registry (ECR) que escanea activamente Amazon Inspector
• Integración con AWS Security Hub y Amazon EventBridge para automatizar los flujos de trabajo y el enrutamiento de tickets
  

P: ¿En qué se diferencia Amazon Inspector de Amazon Inspector Classic?

Amazon Inspector se ha rediseñado y reestructurado con el objeto de crear un nuevo servicio de administración de vulnerabilidades. A continuación, se detallan las principales mejoras con respecto a Amazon Inspector Classic:

• Creado para el escalado: el nuevo Amazon Inspector se ha creado para operar en escala y adaptarse al entorno dinámico en la nube. No hay límite en el número de instancias o imágenes que se pueden analizar a la vez.
• Compatibilidad con imágenes de contenedores y funciones de Lambda: el nuevo Amazon Inspector también analiza las imágenes de contenedores que residen en Amazon ECR y funciones de Lambda en busca de vulnerabilidades de software. Además, los hallazgos relacionados con los contenedores se envían a la consola de Amazon ECR.
• Compatibilidad con la administración de varias cuentas: el nuevo Amazon Inspector se integra con AWS Organizations, lo que permite delegar una cuenta de administrador de Amazon Inspector para su organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.
• AWS Systems Manager Agent: con el nuevo Amazon Inspector, ya no es necesario que instale ni que mantenga un agente de Amazon Inspector independiente en todas sus instancias de Amazon EC2. Dado que el nuevo Amazon Inspector emplea un AWS Systems Manager Agent (SSM Agent) totalmente implementado, ya no resulta necesario.
• Análisis automatizado y continuo: el nuevo Amazon Inspector detecta de forma automática todas las instancias de Amazon EC2 recién lanzadas, las funciones de Lambda y las imágenes de contenedor elegibles enviadas a Amazon ECR, y las analiza de inmediato en busca de vulnerabilidades de software y exposición involuntaria a la red. Cuando se produce un evento que puede llegar a presentar una nueva vulnerabilidad, los recursos implicados se vuelven a analizar de forma automática. Algunos de los eventos que provocan que se vuelva a analizar un recurso son la instalación de un nuevo paquete en una instancia EC2, la instalación de un parche y la publicación de nuevas vulnerabilidades y exposiciones comunes (CVE) que afecten al recurso.
• Puntuación de riesgo de Amazon Inspector: el nuevo Amazon Inspector calcula una puntuación de riesgo de Inspector mediante la correlación de la información actualizada de CVE con factores temporales y del entorno, como la accesibilidad a la red y la información de explotabilidad para agregar contexto a la hora de priorizar sus resultados.
  

P: ¿Puedo utilizar Amazon Inspector y Amazon Inspector Classic simultáneamente en la misma cuenta?

Sí, puede utilizar ambos servicios simultáneamente en la misma cuenta.

P: ¿Cómo puedo migrar de Amazon Inspector Classic al nuevo Amazon Inspector?

Puede desactivar Amazon Inspector Classic con solo eliminar todas las plantillas de evaluación de su cuenta. Para acceder a los resultados de las evaluaciones existentes, puede descargarlos como informes o exportarlos mediante la API de Amazon Inspector. Puede activar el nuevo Amazon Inspector con unos solo unos clics en la consola de administración de AWS o mediante las nuevas API del inspector de Amazon. Encontrará los pasos detallados de la migración en la Guía del usuario de Amazon Inspector Classic.

P: ¿En qué se diferencia el servicio de análisis de imágenes de contenedores de Amazon Inspector para Amazon ECR de la solución basada en Amazon ECR Clair?

P: ¿Cuánto cuesta Amazon Inspector?

Consulte la página de precios de Amazon Inspector para ver los detalles completos de los precios.

P: ¿Existe un periodo de prueba gratuito para Amazon Inspector?

Todas las cuentas nuevas de Amazon Inspector gozan de una prueba gratuita de 15 días para evaluar el servicio y calcular su costo. Durante la prueba, todas las instancias de Amazon EC2, las funciones de AWS Lambda y las imágenes de contenedores que se envíen a Amazon ECR se analizarán de forma continua y gratuita. También puede consultar los gastos estimados en la consola de Amazon Inspector.

P: ¿En qué regiones está disponible Amazon Inspector?

Amazon Inspector está disponible en todo el mundo. Las disponibilidad específica por región se indica aquí.

P: ¿Cómo puedo comenzar?

Puede activar Amazon Inspector para toda su organización o una cuenta individual con unos pocos clics en la consola de administración de AWS. Una vez que se activa, Amazon Inspector detecta automáticamente las instancias de Amazon EC2, las funciones de Lambda y los repositorios de Amazon ECR en ejecución e inmediatamente comienza a analizar de forma continua las cargas de trabajo en busca de vulnerabilidades de software y exposición involuntaria a la red. Si es la primera vez que utiliza Amazon Inspector, hay un periodo de prueba gratuito de 15 días.

P: ¿Qué es un hallazgo de Amazon Inspector?

Un hallazgo de Amazon Inspector representa una vulnerabilidad potencial para la seguridad. Por ejemplo, cuando Amazon Inspector detecta vulnerabilidades de software o rutas de red abiertas en sus recursos informáticos, crea hallazgos de seguridad.

P: ¿Es posible administrar Amazon Inspector con mi estructura de AWS Organizations?

Sí. Amazon Inspector se integra con AWS Organizations. Puede asignar una cuenta de DA para Amazon Inspector, que actúa como cuenta de administrador principal para Amazon Inspector y puede administrarlo y configurarlo de forma centralizada. La cuenta de DA puede ver y administrar de forma centralizada los resultados de todas las cuentas que forman parte de su organización de AWS.

P: ¿Cómo puedo delegar un administrador para el servicio de Amazon Inspector?

La cuenta de administración de AWS Organizations puede asignar una cuenta de DA para Amazon Inspector en la consola de Amazon Inspector o mediante las API de Amazon Inspector.

P: ¿Tengo que activar tipos de análisis específicos (es decir, análisis de Amazon EC2, análisis de funciones de Lambda o análisis de imágenes de contenedores de Amazon ECR)?

Si es la primera vez que inicia Amazon Inspector, todos los tipos de análisis, entre ellos el análisis de EC2, el análisis de Lambda y el análisis de imágenes de contenedores ECR, están activados de forma predeterminada. Sin embargo, puede desactivar cualquiera o todos ellos en todas las cuentas de su organización. Los usuarios existentes pueden activar las nuevas características en la consola de Amazon Inspector o mediante las API de Amazon Inspector.

P: ¿Necesito algún agente para utilizar Amazon Inspector?

Depende de qué recursos esté analizando. Se necesita AWS Systems Manager Agent (SSM Agent) para el análisis de vulnerabilidades de las instancias de Amazon EC2. No se necesitan agentes para la accesibilidad de red de las instancias de Amazon EC2 y el análisis de vulnerabilidades de las imágenes de contenedores, ni para el análisis de vulnerabilidades de las funciones de Lambda.

P: ¿Cómo hago para instalar y configurar Amazon Systems Manager Agent?

Para analizar correctamente las instancias de Amazon EC2 en busca de vulnerabilidades de software, Amazon Inspector requiere que estas instancias se administren mediante AWS Systems Manager y el agente SSM. Consulte los requisitos previos de Systems Manager en la Guía del usuario de AWS Systems Manager para obtener instrucciones para activar y configurar Systems Manager. Para obtener más información sobre las instancias administradas, consulte la sección Instancias administradas en la Guía del usuario de AWS Systems Manager.

P: ¿Cómo distingo los repositorios de Amazon ECR que se configuraron para el análisis? ¿Y cómo puedo administrar qué repositorios deben configurarse para el análisis?

Amazon Inspector admite la configuración de reglas de inclusión para seleccionar qué repositorios de ECR se analizan. Las reglas de inclusión pueden crearse y administrarse en la página de configuración del registro de la consola de ECR o mediante las API de ECR. Los repositorios de ECR que coinciden con las reglas de inclusión se configuran para su análisis. El estado del análisis en detalle de los repositorios está disponible en las consolas de ECR y Amazon Inspector.

P: ¿Cómo puedo saber si mis recursos se analizan de forma activa?

El panel de cobertura de entorno del panel de control de Amazon Inspector muestra las métricas de las cuentas, las instancias de Amazon EC2, las funciones de Lambda y los repositorios de ECR que Amazon Inspector analiza activamente. Cada instancia e imagen tiene un estado de análisis: Scanning (Analizando) o Not Scanning (No analizando). “Scanning” (Analizando) significa que el recurso se analiza de forma continua y prácticamente en tiempo real. Un estado de “Not Scanning” (No analizando) podría significar que el análisis inicial aún no se ha realizado, que el sistema operativo no es compatible o que hay algo que impide el análisis.

P: ¿Con qué frecuencia se vuelven a realizar los análisis automáticos?

Todos los análisis se realizan automáticamente en función de los eventos. Todas las cargas de trabajo se analizan por primera vez cuando se detectan y, posteriormente, se vuelven a analizar.

• En el caso de las instancias de Amazon EC2: los nuevos análisis se inician cuando se instala o desinstala un nuevo paquete de software en una instancia, cuando se publica una nueva CVE y una vez que se actualiza un paquete vulnerable (para confirmar que no existen vulnerabilidades adicionales).
• En el caso de las imágenes de contenedor de Amazon ECR: se inician rescates automatizados para imágenes de contenedor que cumplan los requisitos cuando se publica una nueva CVE que afecta a una imagen. Los análisis recurrentes automatizadas de imágenes de contenedores se siguen realizando durante el periodo configurado en la consola de Amazon Inspector o en las API. Las configuraciones disponibles son Lifetime (Ciclo de vida) (predeterminado), 180 días o 30 días.
  
• En el caso de las funciones de Lambda: todas las funciones de Lambda nuevas se evalúan inicialmente cuando se detectan y se reevalúan de forma continua cuando hay una actualización de la función de Lambda o se publica una nueva CVE.

P: ¿Durante cuánto tiempo se vuelven a analizar continuamente las imágenes de contenedores con Amazon Inspector?

• Cuando el análisis de Amazon Inspector ECR está activado, Amazon Inspector solo elige imágenes enviadas durante los últimos 30 días para análisis, pero sigue analizándolas de manera continuas durante el periodo configurado, por ejemplo, Lifetime (Ciclo de vida) (predeterminado), 180 días o 30 días.
  
• Todas las imágenes enviadas a ECR tras la activación del análisis de Amazon Inspector ECR se analizan de manera continua durante el periodo configurado, por ejemplo, Lifetime (Ciclo de vida) (predeterminado), 180 días o 30 días.

P: ¿Puedo evitar que mis recursos se sometan a un análisis?

• Para las instancias de Amazon EC2: Sí, se puede excluir una instancia EC2 del escaneo añadiendo una etiqueta de recurso. <optional>Puede usar la clave 'InspectorEC2Exclusion', y el valor es.
• En el caso de las imágenes de contenedores que se encuentran en Amazon ECR: sí. Aunque puede seleccionar qué repositorios de Amazon ECR están configurados para el escaneo, se escanearán todas las imágenes de un repositorio. Puede crear reglas de inclusión que permitan seleccionar los repositorios que se deben analizar.
  
• Para las funciones de Lambda: Sí, se puede excluir una función de Lambda del análisis al agregar una etiqueta de recurso. Para el análisis estándar, utilice la clave 'InspectorExclusion' y el valor 'LambdaStandardScanning'. Para analizar un código, utilice la clave 'InspectorCodeExclusion' y el valor 'LambdaCodeScanning'.
  

P: ¿Cómo puedo utilizar Amazon Inspector para evaluar las vulnerabilidades de seguridad de mis funciones de Lambda?

En una estructura de varias cuentas, puede activar Amazon Inspector para las evaluaciones de vulnerabilidades de Lambda para todas sus cuentas dentro de la organización de AWS desde la consola o las API de Amazon Inspector a través de la cuenta de administrador delegado (DA), mientras que otras cuentas miembro pueden activar Amazon Inspector para su propia cuenta si el equipo de seguridad central aún no lo activó para ellas. Las cuentas que no forman parte de la organización de AWS pueden activar Amazon Inspector para su cuenta individual a través de la consola de Amazon Inspector o las API.

P: Si una función de Lambda tiene varias versiones, ¿qué versión evaluará Amazon Inspector?

Amazon Inspector controlará y evaluará continuamente solo la versión $LATEST. Los nuevos análisis automatizados continuarán solamente para la última versión, por lo que los nuevos resultados se generarán solo para la última versión. En la consola, podrá ver los resultados de cualquier versión si selecciona la versión en el menú desplegable.

P: ¿Puedo activar el análisis de código Lambda sin activar el análisis estándar de Lambda?

No. Tiene dos opciones: activar el análisis estándar de Lambda por sí solo o habilitar el análisis estándar de Lambda y de código al mismo tiempo. El análisis estándar de Lambda proporciona una protección de seguridad fundamental contra las dependencias vulnerables utilizadas en la aplicación implementada como funciones de Lambda y capas de asociación. El análisis de código Lambda proporciona un valor de seguridad adicional al analizar el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o secretos incrustados.

P: ¿De qué manera afecta el cambio de la frecuencia de recopilación de inventario de SSM de los 30 minutos predeterminados a 12 horas al análisis continuo que hace Amazon Inspector?

El cambio de la frecuencia de recopilación de inventario de SSM predeterminado puede repercutir en la continuidad del análisis. Amazon Inspector se basa en el agente SSM para recopilar el inventario de aplicaciones y generar hallazgos. Si se aumenta la duración del inventario de aplicaciones con respecto al valor predeterminado de 30 minutos, se retrasará la detección de cambios en el inventario de aplicaciones y podrían retrasarse los nuevos resultados.

P: ¿Qué es la puntuación de riesgo de Amazon Inspector?

La puntuación de riesgo de Amazon Inspector es un valor sumamente contextualizado que se genera para cada hallazgo mediante la correlación de la información sobre vulnerabilidades y exposiciones comunes (CVE) con los resultados de alcance de la red, los datos de explotabilidad y las tendencias de las redes sociales. De este modo, le resultará más fácil priorizar los resultados y centrarse en los más críticos y en los recursos vulnerables. Puede ver la forma en que se calculó la puntuación de riesgo de Inspector y cuáles fueron los factores que influyeron en ella en la pestaña “Inspector Score” (Puntuación de Inspector) dentro del panel lateral de “Findings Details” (Detalles de los hallazgos).

Por ejemplo: Hay una nueva CVE identificada en su instancia de Amazon EC2, que solo puede explotarse de forma remota. Si los análisis continuos de accesibilidad a la red de Amazon Inspector también detectan que no es posible acceder a la instancia desde Internet, entonces se sabrá que es menos probable que se explote la vulnerabilidad. Por lo tanto, Amazon Inspector relaciona los resultados del análisis con la CVE a fin de que la puntuación de riesgo se reduzca y refleje con mayor precisión el impacto de la CVE en esa instancia en particular.

P: ¿Cómo se determina la gravedad de un hallazgo?

P: ¿Cómo funcionan las reglas de supresión?

Amazon Inspector le permite suprimir los hallazgos en función de los criterios personalizados que defina. Puede crear reglas de supresión para los resultados que su organización considere aceptables.

P: ¿Cómo puedo exportar mis hallazgos y qué incluyen?

Puede generar informes en diversos formatos (CSV o JSON) con unos pocos clics en la consola de Amazon Inspector o a través de las API de Amazon Inspector. Puede descargar un informe completo con todos los resultados, o bien generar y descargar un informe personalizado según los filtros de visualización establecidos en la consola.

P: ¿Cómo puedo exportar la SBOM para mis recursos y qué incluyen?

Puede generar y exportar SBOM para todos los recursos supervisados con Amazon Inspector, en varios formatos (CycloneDX o SPDX), con unos pocos pasos en la consola de Amazon Inspector o mediante las API de Amazon Inspector. Puede descargar un informe completo con SBOM para todos los recursos, o generar y descargar SBOM de forma selectiva para algunos recursos seleccionados en función de los filtros de visualización establecidos.

P: ¿Puedo escanear mis instancias privadas de Amazon EC2 al establecer Amazon Inspector como VPC?

Sí. Amazon Inspector utiliza SSM Agent para recopilar el inventario de aplicaciones, que pueden configurarse como puntos de conexión de la nube virtual privada (VPC) de Amazon para evitar el envío de información a través de Internet.

P: ¿Qué sistemas operativos admite Amazon Inspector?

Puede encontrar la lista de los sistemas operativos (SO) que se admiten aquí.

P: ¿Qué paquetes de lenguaje de programación son compatibles con Amazon Inspector para analizar imágenes de contenedores?

Puede encontrar la lista de paquetes de lenguajes de programación compatibles aquí.

P: ¿Funcionará Amazon Inspector con instancias que utilizan la traducción de direcciones de red (NAT)?

Sí. Las instancias que utilizan NAT son automáticamente compatibles con Amazon Inspector.

P: Uso un proxy para mis instancias. ¿Amazon Inspector funcionará con estas instancias?

Sí. Para obtener más información, consulte Cómo configurar SSM Agent para usar un proxy.

P: ¿Es posible integrar Amazon Inspector en otros servicios de AWS para obtener registros y notificaciones?

Amazon Inspector se integra a Amazon EventBridge para proporcionar notificaciones de eventos, tales como un nuevo hallazgo, el cambio de estado de un hallazgo o la creación de una regla de supresión. Asimismo, Amazon Inspector se integra a AWS CloudTrail para el registro de llamadas.

P: ¿Amazon Inspector ofrece análisis de “referencias de la configuración de seguridad del sistema operativo CIS”?

No. Si bien Amazon Inspector no admite actualmente los análisis del CIS, esta capacidad se agregará más adelante. Sin embargo, puede seguir utilizando el paquete de reglas de análisis de CIS que se ofrece en Amazon Inspector Classic.

P: ¿Es Amazon Inspector compatible con las soluciones de los socios de AWS?

Sí. Para más información, consulte socios de Amazon Inspector.

P: ¿Puedo desactivar Amazon Inspector?

Sí. Puede desactivar todos los tipos de escaneo (escaneo de Amazon EC2, escaneo de imágenes de contenedores de Amazon ECR y escaneo de funciones de Lambda) al desactivar el servicio de Amazon Inspector, o puede desactivar cada tipo de escaneo individualmente para una cuenta.

P: ¿Puedo suspender Amazon Inspector?

No. Amazon Inspector no admite el estado de suspensión.