D: Cos'è Amazon Inspector?
Amazon Inspector è un servizio di valutazione della sicurezza automatizzato che aiuta a testare lo stato di protezione delle applicazioni in esecuzione in Amazon EC2.

D: Cosa è possibile fare con Amazon Inspector?
Amazon Inspector consente di automatizzare le valutazioni sulle vulnerabilità sia nella pipeline di sviluppo e distribuzione sia in sistemi di produzione statici. In questo modo è possibile integrare il testing della sicurezza nelle attività di sviluppo e operative dell'IT. Amazon Inspector è un servizio basato su agenti gestito tramite API, ed è semplice da distribuire, gestire e automatizzare.

Inizia a usare Amazon Inspector

Crea un account gratuito

D: Da cosa è composto Amazon Inspector?
Amazon Inspector consiste in un agente sviluppato da Amazon che viene installato nel sistema operativo delle istanze Amazon EC2 e in un servizio di valutazione della sicurezza che utilizza la telemetria dell'agente e la configurazione AWS per valutare le istanze per l'esposizione e la vulnerabilità a problemi di sicurezza.

D: Cos'è un modello di valutazione?
Un modello di valutazione è una configurazione creata in Amazon Inspector, che consente di definire in che modo eseguire l'attività di valutazione. Il modello include un pacchetto di regole che Amazon Inspector impiegherà per valutare l'obiettivo di valutazione, la durata di esecuzione, gli argomenti per Amazon Simple Notification Service (SNS) a cui desideri che Amazon Inspector invii le notifiche su stato dei test ed esiti, nonché attributi specifici di Amazon Inspector (coppie chiave-valore) che puoi assegnare agli esiti generati dall'attività di valutazione.

D: Cos'è un'attività di valutazione?
Un'attività di valutazione è il processo di individuazione di problemi potenziali di sicurezza tramite l'analisi della configurazione e dei comportamenti dell'obiettivo di valutazione secondo un pacchetto di regole specifico. Durante un'attività di valutazione, l'agente monitora, raccoglie e analizza dati di comportamento (telemetria) all'interno dell'obiettivo di valutazione, ad esempio l'utilizzo di canali sicuri, il traffico di rete dei processi in esecuzione e i dettagli sulle comunicazioni con i servizi di AWS. Successivamente, l'agente analizza i dati e li confronta con i pacchetti di regole di sicurezza specificati nel modello di valutazione utilizzato per avviare l'attività di valutazione. Un'attività di valutazione completata produce un elenco di esiti, ovvero di potenziali problemi di sicurezza, con diversi livelli di severità.

D: L'esecuzione della valutazione di Amazon Inspector può provocare rallentamenti nelle prestazioni?
Amazon Inspector e il relativo agente sono stati progettati per influire in modo non significativo sulle prestazioni durante il processo di valutazione.

D: Cos'è un obiettivo di valutazione?
Un obiettivo di valutazione rappresenta una serie di risorse AWS che funzionano in sinergia come una singola unità per consentirti di raggiungere gli obiettivi aziendali. Amazon Inspector valuta lo stato di sicurezza delle risorse che fanno parte dell'obiettivo di valutazione. Per creare un obiettivo di valutazione è possibile usare i tag di Amazon EC2; le risorse a cui hai applicato un tag possono quindi essere definite come obiettivo di valutazione e fatte oggetto di un'attività di valutazione secondo quanto definito in un modello.

D: Che cos'è un esito?
Gli esiti sono potenziali problemi di sicurezza individuati durante un'attività di valutazione di Amazon Inspector su un obiettivo di valutazione. È possibile visualizzare gli esiti nella console di Amazon Inspector oppure tramite l'API; contengono una descrizione dettagliata del problema di sicurezza e suggerimenti su come risolverlo.

D: Cos'è un pacchetto di regole?
Un pacchetto di regole è un insieme di test di sicurezza che può essere configurato all'interno di un modello di valutazione per un'attività di valutazione. Amazon Inspector offre diversi pacchetti di regole per individuare vulnerabilità ed esposizioni comuni, benchmark di configurazione del sistema operativo del Center for Internet Security (CIS) e best practice di sicurezza. Consulta la documentazione di Amazon Inspector per un elenco completo dei pacchetti di regole disponibili.

D: È possibile definire regole personalizzate in un modello di valutazione?
No. Inizialmente saranno consentite solo le regole predefinite. Stiamo tuttavia studiando il modo di introdurre set di regole avanzati creati da fornitori che operino in AWS Marketplace e regole personalizzate.

D: Quali applicazioni è in grado di analizzare Inspector in cerca di vulnerabilità?
Amazon Inspector individua le applicazioni inoltrando query al gestore dei pacchetti o al sistema di installazione del software nel sistema operativo in cui è installato l'agente. Il software che è stato installato tramite un gestore di pacchetti sarà quindi analizzato in cerca di vulnerabilità. Inspector non riconosce invece versioni e livelli di patch del software non installati tramite questi metodi. Ad esempio, Inspector valuterà il software installato tramite apt, yum o Microsoft Installare. Non valuterà invece il software installato tramite comandi make config o make install oppure con file binari copiati direttamente nel sistema tramite software di automazione quali Puppet o Ansible.

D: Cos'è un report di valutazione e quali informazioni include?
Quando un'attività di valutazione viene completata, è possibile generare un report di valutazione di Amazon Inspector. Un report di valutazione è un documento che illustra nel dettaglio quali elementi sono stati testati durante l'attività di valutazione e ne mostra i risultati. Il formato dei risultati è standard, perciò possono essere condivisi all'interno del team per pianificare operazioni di remediation, per arricchire i dati di audit di conformità oppure per conservarli come riferimento futuro.

I tipi di report selezionabili sono due: il report con i problemi identificati e il report completo. Il primo contiene un riepilogo della valutazione, le istanze prese in esame, i pacchetti di regole testati, le regole che hanno generato problemi e informazioni dettagliate su tali regole, insieme a un elenco delle istanze che hanno presentato errori. Il report completo contiene tutte le informazioni del report con i problemi identificati e l'elenco delle regole che hanno passato la valutazione su tutte le istanze oggetto della valutazione.

D: Cosa accade se uno degli obiettivi non è disponibile al momento della valutazione?
Amazon Inspector raccoglierà i dati sulle vulnerabilità per tutti gli obiettivi disponibili configurati nel modello di valutazione e ne restituirà i relativi risultati. Se non è disponibile alcun obiettivo tra quelli inclusi nel modello di valutazione, il sistema riporterà che la valutazione non è stata eseguita, includendo un messaggio simile al seguente: "Non è stato possibile procedere alla valutazione poiché nessuna delle istanze incluse nel modello di valutazione selezionato era disponibile".

D: Per quale motivo un obiettivo di valutazione potrebbe non essere disponibile?
Un obiettivo di valutazione potrebbe non essere disponibile per diverse ragioni: l'istanza EC2 non risponde, l'agente di Amazon Inspector non è stato installato sull'istanza oggetto di valutazione oppure è stato installato ma non è disponibile o non è in grado di restituire informazioni sulle vulnerabilità.

D: Quanto costa Amazon Inspector?
Le tariffe di Amazon Inspector si basano sul numero di attività di valutazione e sul numero di agenti o sistemi sottoposti a valutazione durante tali attività. L'unità di misura è chiamata "valutazione-agente". Come per tutti i servizi AWS, il periodo di fatturazione corrisponde a un mese di calendario. Ad esempio:

     1 attività di valutazione con 1 agente = 1 valutazione-agente
     1 attività di valutazione con 10 agenti = 10 valutazioni-agente
     10 attività di valutazione con 2 agenti ciascuna = 20 valutazioni-agente
     30 attività di valutazione con 10 agenti ciascuna = 300 valutazioni-agente

Se in un dato periodo di fatturazione venissero svolte le attività di valutazione di Amazon Inspector descritte nel paragrafo precedente, verrebbero fatturate 331 valutazioni-agente totali.

I costi delle singole valutazioni-agente dipendono dallo scaglione di prezzo. Aumentando il volume di valutazioni-agente in uno st esso periodo di fatturazione, il prezzo della singola operazione diminuisce. Ad esempio, i primi due scaglioni di prezzo di valutazioni-agente sono i seguenti:

     Prime 250 valutazioni-agente = 0,30 USD per valutazione-agente
     Successive 750 valutazioni-agente = 0,25 USD per valutazione-agente

Nell'esempio precedente, quindi, che comprendeva 331 valutazioni-agente nello stesso periodo di fatturazione, ti verrebbero fatturati 0,30 USD per le prime 250 valutazioni-agente e 0,25 USD per le successive 81, per un totale di 95,25 USD. Consulta la pagina dei prezzi di Amazon Inspector per visualizzare tutti gli scaglioni di prezzo.

D: È possibile richiedere una prova gratuita di Amazon Inspector?
Sì. Amazon Inspector offre le prime 250 valutazioni-agente per i primi 90 giorni di utilizzo del servizio. Sono considerati idonei tutti gli account AWS che non hanno mai utilizzato Amazon Inspector.

D: Quali sistemi operativi supporta Amazon Inspector?
Consulta la documentazione di Amazon Inspector per visualizzare un elenco aggiornato di sistemi operativi supportati.

D: In quali regioni è disponibile Amazon Inspector?
Consulta la documentazione di Amazon Inspector per visualizzare un elenco aggiornato di regioni supportate.

D: Quali versione del kernel Linux supportano le valutazioni di Amazon Inspector?
È possibile eseguire valutazioni per istanze EC2 con sistema operativo basato su Linux che utilizzi il dizionario CVE (Common Vulnerabilities and Exposures), benchmark CIS (Center for Internet Security) o pacchetti di regole per best practice di sicurezza indipendentemente dalla versione del kernel. Tuttavia, per eseguire una valutazione utilizzando il pacchetto di regole Runtime Behavior Analysis, l'istanza Linux deve disporre di una versione del kernel supportata da Amazon Inspector. Un elenco aggiornato di versioni di kernel Linux supportate dalle valutazioni di Amazon Inspector è disponibile qui.

D: Amazon Inspector sembra un ottimo servizio, ma come si inizia a utilizzarlo?
Registrati ad Amazon Inspector dalla Console di gestione AWS. Una volta eseguita la registrazione, installa l'agente Amazon Inspector più adatto sulle istanze Amazon EC2, crea un nuovo modello di valutazione, seleziona i pacchetti di regole che desideri utilizzare e programma un'attività di valutazione. Una volta completata, il sistema genererà un report con tutti i problemi identificati all'interno dell'ambiente.

D: L'agente di Amazon Inspector deve essere installato su tutte le istanze EC2 che desidero valutare?
Sì. Durante un'attività di valutazione, l'agente di Amazon Inspector monitora il comportamento del sistema operativo e delle applicazioni dell'istanza EC2 su cui è installato, raccoglie dati di configurazione e comportamento e trasferisce i dati al servizio Amazon Inspector.

D: Come possono iniziare a utilizzare l'integrazione con l'agente Amazon Inspector?
Puoi installare l'agente in diversi modi. Per le installazioni semplici, puoi installarlo manualmente su ciascuna istanza o effettuare un caricamento una tantum utilizzando il documento AWS Systems Manager Run Command (AmazonInspector-ManageAWSAgent). Per le distribuzioni più grandi, puoi automatizzare le installazioni degli agenti utilizzando la funzione dati utente EC2 al momento della configurazione delle tue istanze oppure puoi creare installazioni automatizzate dell'agente utilizzando AWS Lambda. Puoi anche lanciare un'istanza EC2 utilizzando l'AMI Amazon Linux con l'agente di Amazon Inspector preinstallato dalla console EC2 o AWS Marketplace.

D: Come posso verificare se l'agente di Amazon Inspector è installato e in buone condizioni sulle mie istanze EC2?
Puoi visualizzare lo stato dell'agente di Amazon Inspector per tutte le istanze EC2 nel tuo target di valutazione utilizzando la funzionalità "Preview Targets" disponibile nella console di Inspector e tramite la query API PreviewAgents. Lo stato dell'agente include se l'agente è installato nell'istanza EC2 e la salute dell'agente. Insieme allo stato dell'agente di Inspector nell'istanza EC2 mirata, vengono visualizzati anche ID istanza, nome host pubblico e indirizzo IP pubblico (se definito), oltre ai link alla console EC2 per ciascuna istanza.

D: È possibile eseguire Amazon Inspector senza selezionare un obiettivo di valutazione?
No. Per poter completare una valutazione, Amazon Inspector deve poter disporre di tag su istanze Amazon EC2.

D: Amazon Inspector accede ad altri servizi AWS nel mio account?
Amazon Inspector deve contare le tue istanze EC2 e i tag per individuare le istanze specificate nel target di valutazione. Amazon Inspector vi ottiene accesso mediante un ruolo collegato ai servizi creato per conto tuo quando inizi a utilizzare Inspector come nuovo cliente o in una nuova regione. Il ruolo collegato ai servizi di Inspector viene gestito da Amazon Inspector, per cui non devi preoccuparti di revocare inavvertitamente autorizzazioni richieste da Amazon Inspector. Per alcuni clienti esistenti, è possibile utilizzare un ruolo IAM registrato durante le fasi iniziali di Inspector per l'accesso ad altri servizi AWS fino al momento della creazione del ruolo collegato ai servizi di Inspector. Puoi creare il ruolo collegato ai servizi di Inspector mediante la pagina del pannello di controllo della console di Inspector.

D: Nelle istanze è in uso la funzione Network Address Translation (NAT). Amazon Inspector funziona anche in questo tipo di istanze?
Sì. Amazon Inspector supporta le istanze che utilizzano la funzione NAT automaticamente.

D: Nelle istanze è in uso un proxy. Amazon Inspector funziona anche in questo tipo di istanze?
Sì. L'agente di Amazon Inspector supporta gli ambienti proxy. Per le istanze Linux, sono supportati i proxy HTTPS, mentre per le istanze Windows sono supportati i proxy WinHTTP. Consulta la Amazon Inspector User Guide per istruzioni su come configurare il supporto proxy per l'agente di Amazon Inspector.

D: Desidero automatizzare la valutazione periodica dell'infrastruttura. È possibile inoltrare le valutazioni in modo automatico?
Sì. Amazon Inspector offre un'API completa che consente di creare ambienti applicativi, creare valutazioni, valutare le policy, creare eccezioni di policy, nonché filtrare ed effettuare ricerche negli esiti, tutto in modo automatico.

D: Posso programmare l'esecuzione di valutazioni della sicurezza in date e orari specifici?
Sì. Le valutazioni di Amazon Inspector possono essere attivate da qualsiasi evento di Amazon CloudWatch. Puoi configurare un evento di programmazione ricorrente con un tasso di ricorrenza semplice fisso o un'espressione Cron più dettagliata.

D: Posso attivare l'esecuzione di valutazioni della sicurezza in base a un evento?
Sì. Puoi utilizzare gli eventi di Amazon CloudWatch per creare motivi di eventi che monitorano le azioni di altri servizi AWS per attivare una valutazione. Ad esempio, puoi creare un evento che monitora l'Auto Scaling di AWS per il lancio delle nuove istanze di Amazon EC2 oppure le notifiche di AWS CodeDeploy per quando è stata completata con successo la distribuzione di un codice. Una volta configurati gli eventi CloudWatch in base ai modelli di Amazon Inspector, questi eventi di valutazione verranno visualizzati nella console di Inspector come parte dei tuoi modelli di valutazione, così puoi vedere tutti i trigger automatizzati per quella valutazione.

D: È possibile configurare le valutazioni di Amazon Inspector tramite AWS CloudFormation?
Sì, puoi creare gruppi di risorse, target di valutazione e modelli di valutazione di Amazon Inspector utilizzando i modelli AWS CloudFormation. Questo consente di impostare automaticamente le valutazioni di sicurezza per le istanze EC2 durante la fase di distribuzione. Nel tuo modello CloudFormation, puoi anche eseguire il bootstrap dell'installazione dell'agente Inspector per le istanze EC2 utilizzando i comandi di installazione degli agenti in AWS::CloudFormation::Init o nei dati utente di EC2. In alternativa, puoi creare istanze EC2 nel tuo modello CloudFormation utilizzando un'AMI con un agente Inspector preinstallato.

D: Dove è possibile trovare informazioni sui parametri nelle valutazioni di Amazon inspector?
Amazon inspector pubblica automaticamente i dati sui parametri nelle valutazioni per Amazon CloudWatch. Se sei un utente di questo servizio, le statistiche della valutazione di Inspector verranno automaticamente compilate. I parametri di Inspector al momento disponibili sono i seguenti: numero di attività di valutazione, agenti target e risultati generati. Per ulteriori dettagli sui parametri di valutazione pubblicati in CloudWatch, consulta la documentazione su Amazon inspector.

D: È possibile integrare Amazon Inspector con altri servizi AWS per accesso e notifiche?
Amazon Inspector si integra con Amazon SNS per fornire notifiche relative ad eventi quali errori, eventi di monitoraggio o scadenza di eccezioni; si integra inoltre con AWS CloudTrail per la creazione di log di chiamate.

D: Che cos’è il pacchetto di regole per i “benchmark di configurazione della sicurezza del sistema operativo CIS”?
I benchmark per la sicurezza CIS sono forniti dal Center for Internet Security e costituiscono le sole linee guida basate sul consenso per la configurazione della sicurezza e la conformità alle best practice, sviluppate e approvate dalle autorità governative in accordo con imprenditori e industriali e con il mondo accademico. Amazon Web Services è un’azienda aderente al programma Security Benchmarks del CIS e l’elenco delle certificazioni di Amazon Inspector è visibile qui. Le regole CIS per i benchmark sono pensate come riferimento per controlli di sicurezza ad esito binario (superato/non superato). Per ogni controllo CIS non superato, Inspector genera un esito con livello di severità elevato. Inoltre, un esito classificato come Informational viene generato per ogni istanza per la quale sono stati eseguiti tutti i controlli relativi alle regole CIS e in cui per ogni regola risulta indicato il superamento/mancato superamento del controllo.

D: Che cos’è il pacchetto di regole sulle “vulnerabilità e le esposizioni comuni”?
Le regole relative alle vulnerabilità e alle esposizioni comuni (regole CVE) verificano l’esposizione e la vulnerabilità a problemi di sicurezza pubblicamente noti. I dettagli delle regole CVE sono pubblicamente consultabili nell’NVD (National Vulnerability Database, Database nazionale delle vulnerabilità). Utilizziamo il sistema di punteggio CVSS (Common Vulnerability Scoring System, Sistema di punteggio per le vulnerabilità comuni) dell’NVD come fonte primaria delle informazioni sulla severità. Qualora per una CVE non venga indicato alcun punteggio nell’NVD, ma la stessa compaia nel Linux AMI Security Advisory (ALAS) di AWS, si applicherà il livello di severità indicato nell’advisory di Amazon Linux. Nel caso nessuno dei due riferimenti indichi un punteggio per una CVE, quest’ultima non verrà segnalata come esito. Verifichiamo giornalmente le informazioni più recenti tratte dall’NVD e dall’ALAS e aggiorniamo di conseguenza i nostri pacchetti di regole.

D: Cosa si intende per severità di un esito?
Ad ogni regola di Amazon Inspector è assegnato un livello di severità che Amazon ha classificato come High, Medium, Low e Informational. La severità aiuta a prioritizzare le reazioni agli esiti.

D: Come si determina la severità?
La severità di una regola si basa sull’impatto potenziale del problema di sicurezza riscontrato. Sebbene per alcuni pacchetti di regole i livelli di severità siano prestabiliti come parte delle regole cui fanno riferimento, essi possono variare in base al pacchetto. Amazon Inspector ha normalizzato la pericolosità per gli esiti relativi a tutti i pacchetti di regole disponibili mappando le singole severità in base ai seguenti livelli: High, Medium, Low e Informational. Per gli esiti classificati con livello "High", "Medium" e "Low", maggiore è la pericolosità dell'esito, maggiore sarà l'impatto del problema in questione. Gli esiti di livello "Informational" vengono notificati per informare di problemi di sicurezza che potrebbero non avere un impatto immediato.

  • Per i pacchetti di regole supportati da AWS, la severità è definita dal team per la sicurezza di AWS.
  • Gli esiti relativi al pacchetto di regole per i benchmark CIS hanno sempre un livello di severità “Elevato”.
  • Per il pacchetto di regole per l’individuazione delle vulnerabilità e degli exploit comuni (CVE), Amazon Inspector ha mappato il sistema di punteggio di base CVSS e i livelli di severità ALAS disponibili:
            Severità Amazon Inspector        Punteggio base CVSS           Severità ALAS (se CVSS senza punteggio)
            High                                               >= 5                                  Critical or Important
            Medium                                         < 5 e >= 2.1                   Medium
            Low                                               < 2.1 e >= 0.8                Low
            Informational                                 < 0.8                                  N/A

D: Quando gli esiti vengono descritti tramite l'API DescribeFindings, ricevono un attributo "numericSeverity". Cosa significa?
L'attributo "numericSeverity" è una rappresentazione numerica della gravità di un esito. Questi valori numerici corrispondono ai seguenti livelli:
            Informational = 0.0
            Low = 3.0
            Medium = 6.0
            High = 9.0

D: Amazon Inspector opera con altre soluzioni di partner AWS?
Sì, Amazon Inspector dispone di API pubbliche disponibili per l'utilizzo da parte di clienti e partner AWS. Diversi partner hanno integrato la propria soluzione con Amazon Inspector, incorporando gli esiti delle valutazioni in e-mail, sistemi di ticket, piattaforme per cercapersone o pannelli di controllo di sicurezza. Per ulteriori informazioni sui partner aderenti, visita la pagina relativa ai partner di Amazon Inspector.

D: Amazon Inspector è idoneo ai fini HIPAA?
Sì, Amazon Inspector è conforme allo standard HIPAA e rientra nei Business Associate Addendum (BAA) di AWS. Se disponi di un BAA con AWS, puoi utilizzare Inspector sulle istanze EC2 che contengono informazioni sanitarie protette.

D: Quali programmi di conformità e controllo supporta Amazon Inspector?
Inspector supporta SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 e HIPAA. Inspector è conforme ai requisiti FedRAMP ed è in attesa del completamento del report di audit. Per ulteriori informazioni sui servizi coperti dal programma di conformità, consulta la pagina Servizi AWS coperti dal programma di compliance.