Amazon Inspector es un servicio de administración de vulnerabilidades que analiza continuamente las cargas de trabajo de AWS en busca de vulnerabilidades de software y exposiciones involuntarias a la red. Con tan solo unos clics en la consola de administración de AWS, puede usar Amazon Inspector en todas las cuentas de su organización. Una vez que se inicia, detecta automáticamente las instancias de Amazon Elastic Compute Cloud (EC2) en ejecución, las imágenes de contenedor de Amazon Elastic Container Registry (Amazon ECR) y las funciones de AWS Lambda, a escala, y comienza de manera inmediata a evaluarlas en busca de vulnerabilidades conocidas.
Amazon Inspector calcula una puntuación de riesgo altamente contextualizada para cada hallazgo, ya que correlaciona informaciones de vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) con factores como acceso a la red y explotabilidad. Esta puntuación se utiliza para dar prioridad a las vulnerabilidades más críticas y mejorar la eficiencia de la respuesta para solucionar dichas vulnerabilidades. Todos los hallazgos se agregan en una consola de Amazon Inspector, que presenta un nuevo diseño, y se transfieren a AWS Security Hub y Amazon EventBridge para automatizar los flujos de trabajo. Las vulnerabilidades que se encuentran en imágenes de contenedores también se envían a Amazon ECR para que los propietarios de los recursos las visualicen y solucionen. Con Amazon Inspector, incluso los equipos de seguridad y desarrolladores pequeños pueden garantizar la seguridad de las cargas de trabajo de infraestructura y la conformidad en sus cargas de trabajo de AWS.
Administración de vulnerabilidades para cargas de trabajo de computación
Amazon Inspector es una herramienta de administración de vulnerabilidades exhaustiva que funciona con varios recursos, como cargas de trabajo de Amazon EC2, funciones de Lambda y contenedores. Identifica diferentes tipos de vulnerabilidades, como vulnerabilidades de software y exposición de redes no intencionada, lo que puede usarse para poner en riesgo cargas de trabajo, usar recursos para usos maliciosos o filtrar datos.
Incorporación e integración con un clic simplificada con AWS Organizations
Inicie Amazon Inspector en varias cuentas con un solo clic en la consola de Amazon Inspector o una única llamada a la API. Amazon Inspector le permite asignar una cuenta de administrador delegado (Delegated Administrator, DA) de Inspector para su organización; dicha cuenta puede iniciar y configurar todas las cuentas de miembro, además de consolidar todos los hallazgos.
Detección automatizada y análisis de vulnerabilidades continuo
Una vez que se inicia, Amazon Inspector detecta de manera automática todas las instancias de Amazon EC2, funciones de Lambda e imágenes de contenedores de Amazon ECR identificados para su análisis, para luego comenzar de manera inmediata a analizarlos en busca de vulnerabilidades de software y exposición de redes no intencionada. Todas las cargas de trabajo se vuelven a analizar de manera continua cuando se publica una nueva CVE o cuando se producen cambios en las cargas de trabajo, como la instalación de nuevo software en una instancia de EC2.
AWS Systems Manager Agent
Amazon Inspector usa AWS Systems Manager Agent (SSM Agent), ampliamente implementado, para recopilar el inventario y configuraciones de software de sus instancias de Amazon EC2. El inventario y configuraciones de la aplicación recopilados se usan para evaluar las cargas de trabajo en busca de vulnerabilidades.
Puntuación de riesgo de Inspector para hallazgos
Amazon Inspector genera una puntuación de riesgo de Inspector altamente contextualizada para cada hallazgo, ya que correlaciona la información de CVE con factores de entorno como los resultados de accesibilidad de la red y datos de explotabilidad. De este modo, se ayuda a dar prioridad a los hallazgos y se destacan los hallazgos más críticos y los recursos vulnerables. El cálculo de puntuación de Inspector (y los factores que influyeron en ella) se puede consultar en la pestaña “Inspector Score” (Puntuación de Inspector) dentro del panel lateral de “Findings Details” (Detalles de los hallazgos).
Supresión de hallazgos
Amazon Inspector admite la supresión de hallazgos según los criterios que defina. Puede crear reglas de supresión para suprimir hallazgos que su organización considere como riesgos aceptables.
Cierre automático de hallazgos solucionados
Amazon Inspector detecta de manera automática si se ha revisado o solucionado una vulnerabilidad. Una vez que se detecta, este servicio cambia de manera automática el estado del hallazgo a “Cerrado” sin necesidad de intervención manual.
Monitoreo de cobertura detallada
Amazon Inspector brinda una visión agregada, casi en tiempo real, de la cobertura del entorno en una organización, de modo que pueda evitar brechas en dicha cobertura. Ofrece métricas e información detallada sobre cuentas mediante Amazon Inspector, además de información sobre instancias de Amazon EC2, repositorios de Amazon ECR e imágenes de contenedor analizadas de manera activa por parte de Amazon Inspector. De manera adicional, este servicio destaca los recursos que no están siendo monitoreados de forma activa y brinda orientación para incluirlos.
Integración con Security Hub y EventBridge
Todos los hallazgos se agregan en la consola de Amazon Inspector, se enrutan a AWS Security Hub y se transfieren a través de Amazon EventBridge para automatizar los flujos de trabajo como emisión de tickets.
Asignación de vulnerabilidades por capas en las funciones de Lambda
Las vulnerabilidades detectadas en las dependencias de software usadas en funciones de AWS Lambda se asignan automáticamente a las capas de Lambda subyacentes, lo que simplifica los esfuerzos para solucionarlas. Puede solucionar las vulnerabilidades de las capas una vez, lo cual ayuda a mejorar la seguridad de todas las funciones de Lambda descendentes.
Más información sobre los clientes de Amazon Inspector