D: Cos'è Amazon Inspector?
Amazon Inspector è un servizio di valutazione della sicurezza automatizzato che aiuta a testare lo stato di protezione delle applicazioni in esecuzione in Amazon EC2.

D: Cosa è possibile fare con Amazon Inspector?
Amazon Inspector consente di automatizzare le valutazioni sulle vulnerabilità sia nella pipeline di sviluppo e distribuzione sia in sistemi di produzione statici. In questo modo è possibile integrare il testing della sicurezza nelle attività di sviluppo e operative dell'IT. Amazon Inspector è un servizio basato su agenti gestito tramite API, ed è semplice da distribuire, gestire e automatizzare.

Inizia a usare Amazon Inspector

Crea un account gratuito

D: Cos'è un modello di valutazione?
Un modello di valutazione è una configurazione creata in Amazon Inspector, che consente di definire in che modo eseguire l'attività di valutazione. Il modello include pacchetti di regole che Amazon Inspector impiegherà per valutare l'obiettivo di valutazione, la durata di esecuzione, gli argomenti per Amazon Simple Notification Service (SNS) a cui desideri che Amazon Inspector invii le notifiche su stato dei test ed esiti, nonché attributi specifici di Amazon Inspector (coppie chiave-valore) che puoi assegnare agli esiti generati dall'attività di valutazione.

D: Cos'è un'attività di valutazione?
Un'attività di valutazione è il processo di individuazione di problemi potenziali di sicurezza tramite l'analisi della configurazione e dei comportamenti dell'obiettivo di valutazione secondo un pacchetto di regole specifico. Durante un'attività di valutazione, l'agente monitora, raccoglie e analizza dati di comportamento (telemetria) all'interno dell'obiettivo di valutazione, ad esempio l'utilizzo di canali sicuri, il traffico di rete dei processi in esecuzione e i dettagli sulle comunicazioni con i servizi di AWS. Successivamente, l'agente analizza i dati e li confronta con i pacchetti di regole di sicurezza specificati nel modello di valutazione utilizzato per avviare l'attività di valutazione. Un'attività di valutazione completata produce un elenco di esiti, ovvero di potenziali problemi di sicurezza, con diversi livelli di severità.

D: Cos'è un obiettivo di valutazione?
Un obiettivo di valutazione rappresenta una serie di risorse AWS che funzionano in sinergia come una singola unità per consentirti di raggiungere gli obiettivi aziendali. Amazon Inspector valuta lo stato di sicurezza delle risorse che fanno parte dell'obiettivo di valutazione. Per creare un obiettivo di valutazione è possibile usare i tag di Amazon EC2; le risorse a cui hai applicato un tag possono quindi essere definite come obiettivo di valutazione e fatte oggetto di un'attività di valutazione secondo quanto definito in un modello.

D: Che cos'è un esito?
Gli esiti sono potenziali problemi di sicurezza individuati durante un'attività di valutazione di Amazon Inspector su un obiettivo di valutazione. È possibile visualizzare gli esiti nella console di Amazon Inspector oppure tramite l'API; contengono una descrizione dettagliata del problema di sicurezza e suggerimenti su come risolverlo.

D: Cos'è un pacchetto di regole?
Un pacchetto di regole è un insieme di test di sicurezza che può essere configurato all'interno di un modello di valutazione per un'attività di valutazione. Amazon Inspector offre diversi pacchetti di regole per individuare vulnerabilità ed esposizioni comuni, benchmark di configurazione del sistema operativo CIS e best practice di sicurezza. Consulta la documentazione di Amazon Inspector per un elenco completo dei pacchetti di regole disponibili.

D: Cos'è un report di valutazione e quali informazioni include?
Quando un'attività di valutazione viene completata, è possibile generare un report di valutazione di Amazon Inspector. Un report di valutazione è un documento che illustra nel dettaglio quali elementi sono stati testati durante l'attività di valutazione e ne mostra i risultati. Il formato dei risultati è standard, perciò possono essere condivisi all'interno del team per pianificare operazioni di remediation, per arricchire i dati di audit di conformità oppure per conservarli come riferimento futuro.

I tipi di report selezionabili sono due: il report con i problemi identificati e il report completo. Il primo contiene un riepilogo della valutazione, le istanze prese in esame, i pacchetti di regole testati, le regole che hanno generato problemi e informazioni dettagliate su tali regole, insieme a un elenco delle istanze che hanno presentato errori. Il report completo contiene tutte le informazioni del report con i problemi identificati e l'elenco delle regole che hanno passato la valutazione su tutte le istanze oggetto della valutazione.

D: Cosa accade se uno degli obiettivi non è disponibile al momento della valutazione?
Amazon Inspector raccoglierà i dati sulle vulnerabilità per tutti gli obiettivi disponibili configurati nel modello di valutazione e ne restituirà i relativi risultati. Se non è disponibile alcun obiettivo tra quelli inclusi nel modello di valutazione, il sistema riporterà che la valutazione non è stata eseguita, includendo un messaggio simile al seguente: "Non è stato possibile procedere alla valutazione poiché nessuna delle istanze incluse nel modello di valutazione selezionato era disponibile".

D: Per quale motivo un obiettivo di valutazione potrebbe non essere disponibile?
Un obiettivo di valutazione potrebbe non essere disponibile per diverse ragioni: l'istanza EC2 non risponde, l'agente di Amazon Inspector non è stato installato sull'istanza oggetto di valutazione oppure è stato installato ma non è disponibile o non è in grado di restituire informazioni sulle vulnerabilità.

D: Quanto costa Amazon Inspector?
Le tariffe di Amazon Inspector si basano sul numero di attività di valutazione e sul numero di agenti o sistemi sottoposti a valutazione durante tali attività. L'unità di misura è chiamata "valutazione-agente". Come per tutti i servizi AWS, il periodo di fatturazione corrisponde a un mese di calendario. Ad esempio:

     1 attività di valutazione con 1 agente = 1 valutazione-agente
     1 attività di valutazione con 10 agenti = 10 valutazioni-agente
     10 attività di valutazione con 2 agenti ciascuna = 20 valutazioni-agente
     30 attività di valutazione con 10 agenti ciascuna = 300 valutazioni-agente

Se in un dato periodo di fatturazione venissero svolte le attività di valutazione di Amazon Inspector descritte nel paragrafo precedente, verrebbero fatturate 331 valutazioni-agente totali.

I costi delle singole valutazioni-agente dipendono dallo scaglione di prezzo. Aumentando il volume di valutazioni-agente in uno st esso periodo di fatturazione, il prezzo della singola operazione diminuisce. Ad esempio, i primi due scaglioni di prezzo di valutazioni-agente sono i seguenti:

     Prime 250 valutazioni-agente = 0,30 USD per valutazione-agente
     Successive 750 valutazioni-agente = 0,25 USD per valutazione-agente

Nell'esempio precedente, quindi, che comprendeva 331 valutazioni-agente nello stesso periodo di fatturazione, ti verrebbero fatturati 0,30 USD per le prime 250 valutazioni-agente e 0,25 USD per le successive 81, per un totale di 95,25 USD. Consulta la pagina dei prezzi di Amazon Inspector per visualizzare tutti gli scaglioni di prezzo.

D: È possibile richiedere una prova gratuita di Amazon Inspector?
Sì. Amazon Inspector offre le prime 250 valutazioni-agente per i primi 90 giorni di utilizzo del servizio. Sono considerati idonei tutti gli account AWS che non hanno mai utilizzato Amazon Inspector.

D: In quali regioni è disponibile Amazon Inspector?
Amazon Inspector è al momento disponibile nelle regioni Asia Pacifico (Mumbai), Asia Pacifico (Seoul), Asia Pacifico (Sydney), Asia Pacifico (Tokyo), UE (Irlanda), Stati Uniti orientali (Virginia settentrionale), Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon).

D: Quali versione del kernel Linux supporta Amazon Inspector?
Un elenco aggiornato di versioni di kernel Linux supportate dalle valutazioni di Amazon Inspector è disponibile qui.

D: Da cosa è composto Amazon Inspector?
Amazon Inspector consiste in un agente sviluppato da Amazon che viene installato nel sistema operativo delle istanze Amazon EC2, e in un ruolo di servizio IAM da creare con un singolo clic durante la configurazione del servizio Amazon Inspector. Questo ruolo di servizio fornisce ad Amazon Inspector l'autorizzazione a conteggiare istanze e tag per stabilire gli obiettivi di valutazione. Consulta la documentazione di Amazon Inspector per visualizzare un elenco aggiornato di sistemi operativi supportati.

D: Amazon Inspector sembra un ottimo servizio, ma come si inizia a utilizzarlo?
Registrati ad Amazon Inspector dalla Console di gestione AWS. Una volta eseguita la registrazione, installa l'agente Amazon Inspector più adatto sulle istanze Amazon EC2, crea un nuovo modello di valutazione, seleziona i pacchetti di regole che desideri utilizzare e programma un'attività di valutazione. Una volta completata, il sistema genererà un report con tutti i problemi identificati all'interno dell'ambiente.

D: Amazon Inspector opera con altre soluzioni di partner AWS?
Sì, Amazon Inspector dispone di API pubbliche disponibili per l'utilizzo da parte di clienti e partner AWS. Diversi partner hanno integrato la propria soluzione con Amazon Inspector, incorporando gli esiti delle valutazioni in e-mail, sistemi di ticket, piattaforme per cercapersone o pannelli di controllo di sicurezza. Per ulteriori informazioni sui partner aderenti, visita la pagina relativa ai partner di Amazon Inspector.

D: Nelle istanze è in uso la funzione Network Address Translation (NAT). Amazon Inspector funziona anche in questo tipo di istanze?
Sì. Amazon Inspector supporta le istanze che utilizzano la funzione NAT automaticamente.

D: Nelle istanze è in uso un proxy. Amazon Inspector funziona anche in questo tipo di istanze?
Sì. L'agente di Amazon Inspector supporta gli ambienti proxy. Per le istanze Linux, sono supportati i proxy HTTPS, mentre per le istanze Windows sono supportati i proxy WinHTTP. Consulta la Amazon Inspector User Guide per istruzioni su come configurare il supporto proxy per l'agente di Amazon Inspector.

D: Quali applicazioni è in grado di analizzare Inspector in cerca di vulnerabilità?
Amazon Inspector individua le applicazioni inoltrando query al gestore dei pacchetti o al sistema di installazione del software nel sistema operativo in cui è installato l'agente. Il software che è stato installato tramite un gestore di pacchetti sarà quindi analizzato in cerca di vulnerabilità. Inspector non riconosce invece versioni e livelli di patch del software non installati tramite questi metodi. Ad esempio, Inspector valuterà il software installato tramite apt, yum o Microsoft Installare. Non valuterà invece il software installato tramite comandi make config o make install oppure con file binari copiati direttamente nel sistema tramite software di automazione quali Puppet o Ansible.

D: Dove è possibile trovare informazioni sui parametri nelle valutazioni di Amazon inspector?
Amazon inspector pubblica automaticamente i dati sui parametri nelle valutazioni per Amazon CloudWatch. Se sei un utente di questo servizio, le statistiche della valutazione di Inspector verranno automaticamente compilate. I parametri di Inspector al momento disponibili sono i seguenti: numero di attività di valutazione, agenti target e risultati generati. Per ulteriori dettagli sui parametri di valutazione pubblicati in CloudWatch, consulta la documentazione su Amazon inspector.

D: È possibile integrare Amazon Inspector con altri servizi AWS per accesso e notifiche?
Amazon Inspector si integra con SNS per fornire notifiche relative ad eventi quali errori, eventi di monitoraggio o scadenza di eccezioni; si integra inoltre con AWS CloudTrail per la creazione di log di chiamate.

D: Desidero automatizzare la valutazione periodica dell'infrastruttura. È possibile inoltrare le valutazioni in modo automatico?
Sì. Amazon Inspector offre un'API completa che consente di creare ambienti applicativi, creare valutazioni, valutare le policy, creare eccezioni di policy, nonché filtrare ed effettuare ricerche negli esiti, tutto in modo automatico.

D: Posso programmare l'esecuzione di valutazioni della sicurezza in date e orari specifici?
Sì. Amazon Inspector ha reso disponibile un piano AWS Lambda per consentire agli utenti di creare eventi programmati ricorrenti. Dopo aver creato un modello per la valutazione della sicurezza che desideri eseguire, puoi semplicemente passare ad AWS Lambda dalla Console di gestione AWS. In AWS Lambda fai clic sul comando di creazione di una funzione Lambda e seleziona il piano di esecuzione programmata da Inspector. La procedura guidata del piano ti accompagnerà nella creazione di una programmazione per l'esecuzione ricorrente della valutazione.

D: È possibile eseguire Amazon Inspector senza selezionare un obiettivo di valutazione?
No. Per poter completare una valutazione, Amazon Inspector deve poter disporre di tag su istanze Amazon EC2.

D: La scansione di Amazon Inspector può provocare rallentamenti nelle prestazioni?
Amazon Inspector e il relativo agente sono stati progettati per influire in modo non significativo sulle prestazioni durante il processo di valutazione.

D: È possibile definire regole personalizzate in un modello di valutazione?
No. Inizialmente saranno consentite solo le regole predefinite. Stiamo tuttavia studiando il modo di introdurre set di regole avanzati creati da fornitori che operino in AWS Marketplace e regole personalizzate.

D: Cosa si intende per severità di un esito?
Ad ogni regola di Amazon Inspector è assegnato un livello di severità che Amazon ha classificato come High, Medium, Low e Informational. La severità aiuta a prioritizzare le reazioni agli esiti.

D: Che cos’è il pacchetto di regole per i “benchmark di configurazione della sicurezza del sistema operativo CIS”?
I benchmark per la sicurezza CIS sono forniti dal Center for Internet Security e costituiscono le sole linee guida basate sul consenso per la configurazione della sicurezza e la conformità alle best practice, sviluppate e approvate dalle autorità governative in accordo con imprenditori e industriali e con il mondo accademico. Amazon Web Services è un’azienda aderente al programma Security Benchmarks del CIS e l’elenco delle certificazioni di Amazon Inspector è visibile qui. Le regole CIS per i benchmark sono pensate come riferimento per controlli di sicurezza ad esito binario (superato/non superato). Per ogni controllo CIS non superato, Inspector genera un esito con livello di severità elevato. Inoltre, un esito classificato come Informational viene generato per ogni istanza per la quale sono stati eseguiti tutti i controlli relativi alle regole CIS e in cui per ogni regola risulta indicato il superamento/mancato superamento del controllo.

D: Che cos’è il pacchetto di regole sulle “vulnerabilità e le esposizioni comuni”?
Le regole relative alle vulnerabilità e alle esposizioni comuni (regole CVE) verificano l’esposizione e la vulnerabilità a problemi di sicurezza pubblicamente noti. I dettagli delle regole CVE sono pubblicamente consultabili nell’NVD (National Vulnerability Database, Database nazionale delle vulnerabilità). Utilizziamo il sistema di punteggio CVSS (Common Vulnerability Scoring System, Sistema di punteggio per le vulnerabilità comuni) dell’NVD come fonte primaria delle informazioni sulla severità. Qualora per una CVE non venga indicato alcun punteggio nell’NVD, ma la stessa compaia nel Linux AMI Security Advisory (ALAS) di AWS, si applicherà il livello di severità indicato nell’advisory di Amazon Linux. Nel caso nessuno dei due riferimenti indichi un punteggio per una CVE, quest’ultima non verrà segnalata come esito. Verifichiamo giornalmente le informazioni più recenti tratte dall’NVD e dall’ALAS e aggiorniamo di conseguenza i nostri pacchetti di regole.

D: Come si determina la severità?
La severità di una regola si basa sull’impatto potenziale del problema di sicurezza riscontrato. Sebbene per alcuni pacchetti di regole i livelli di severità siano prestabiliti come parte delle regole cui fanno riferimento, essi possono variare in base al pacchetto. Amazon Inspector ha normalizzato la pericolosità per gli esiti relativi a tutti i pacchetti di regole disponibili mappando le singole severità in base ai seguenti livelli: High, Medium, Low e Informational. Per gli esiti classificati con livello "High", "Medium" e "Low", maggiore è la pericolosità dell'esito, maggiore sarà l'impatto del problema in questione. Gli esiti di livello "Informational" vengono notificati per informare di problemi di sicurezza che potrebbero non avere un impatto immediato.

  • Per i pacchetti di regole supportati da AWS, la severità è definita dal team per la sicurezza di AWS.
  • Gli esiti relativi al pacchetto di regole per i benchmark CIS hanno sempre un livello di severità “Elevato”.
  • Per il pacchetto di regole per l’individuazione delle vulnerabilità e degli exploit comuni (CVE), Amazon Inspector ha mappato il sistema di punteggio di base CVSS e i livelli di severità ALAS disponibili:
            Severità Amazon Inspector        Punteggio base CVSS           Severità ALAS (se CVSS senza punteggio)
            High                                               >= 5                                  Critical or Important
            Medium                                         < 5 e >= 2.1                   Medium
            Low                                               < 2.1 e >= 0.8                Low
            Informational                                 < 0.8                                  N/A

 

D: Quando gli esiti vengono descritti tramite l'API DescribeFindings, ricevono un attributo "numericSeverity". Cosa significa?
L'attributo "numericSeverity" è una rappresentazione numerica della gravità di un esito. Questi valori numerici corrispondono ai seguenti livelli:
            Informational = 0.0
            Low = 3.0
            Medium = 6.0
            High = 9.0