Domande generali

D: Cos'è Amazon Inspector?

Amazon Inspector è un servizio di gestione automatizzata delle vulnerabilità che esegue continuamente la scansione dei carichi di lavoro Amazon Elastic Compute Cloud (EC2) e container alla ricerca di vulnerabilità del software e le esposizioni impreviste del network.

D: Quali sono i vantaggi chiave dell'utilizzo di Amazon Inspector?

Amazon Inspector rimuove il sovraccarico operativo associato alla distribuzione e alla configurazione di una soluzione di gestione delle vulnerabilità consentendoti di implementare Amazon Inspector su tutti gli account con un solo clic. Ulteriori vantaggi di Amazon Inspector includono:

  • Rilevamento automatizzato e scansione continua che fornisce risultati di vulnerabilità quasi in tempo reale
  • Gestione centralizzata, configurazione e visualizzazione dei risultati per tutti gli account delle organizzazioni impostando un account di amministratore delegato (DA)
  • Un Inspector risk score altamente contestualizzato e significativo per ogni risultato per aiutarti a impostare priorità di risposta più accurate
  • Una dashboard intuitiva di Amazon Inspector per i parametri di copertura, inclusi account, istanze EC2 e repository Amazon Elastic Container Registry (ECR) sottoposti a scansione attiva da Amazon Inspector
  • Integrazione con AWS Security Hub e Amazon EventBridge per automatizzare i flussi di lavoro e il routing dei ticket

D: In che modo Amazon Inspector è diverso da Amazon Inspector Classic?

Amazon Inspector è stato riprogettato e ricostruito per creare un nuovo servizio di gestione delle vulnerabilità. Ecco i principali miglioramenti rispetto ad Amazon Inspector Classic:

  • Massima scalabilità: il nuovo Amazon Inspector è stato creato per la scalabilità e l'ambiente cloud dinamico. Non c'è limite al numero di istanze o immagini che possono essere scansionate alla volta.
  • Supporto per le immagini nel container: il nuovo Amazon Inspector esegue anche la scansione delle immagini dei container che si trovano su Amazon ECR alla ricerca di vulnerabilità del software. Anche i risultati relativi al container vengono inviati alla console ECR.
  • Supporto per la gestione multi-account: il nuovo Amazon Inspector è integrato con AWS Organizations, consentendoti di delegare un account amministratore per Amazon Inspector per la tua organizzazione. Questo account di amministratore delegato (DA) è un account centralizzato che consolida tutti i risultati e può configurare tutti gli account dei membri.
  • AWS Systems Manager Agent: con il nuovo Amazon Inspector, non è più necessario installare e gestire un Amazon Inspector Agent autonomo su tutte le istanze Amazon EC2. Il nuovo Amazon Inspector utilizza un AWS Systems Manager Agent (SSM Agent) ampiamente implementato, che elimina tale necessità.
  • Scansione automatica e continua: il nuovo Amazon Inspector rileva automaticamente tutte le istanze Amazon EC2 lanciate di recente e le immagini di container idonee inviate ad Amazon ECR e le scansiona immediatamente alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Quando si verifica un evento che può introdurre una nuova vulnerabilità, le risorse coinvolte vengono riesaminate automaticamente. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto in un'istanza EC2, l'installazione di una patch e la pubblicazione delle nuove vulnerabilità ed esposizioni comune (CVE) che influiscono sulla risorsa.
  • Inspector risk score: il nuovo Amazon Inspector calcola un punteggio Inspector risk correlando le informazioni CVE aggiornate con fattori temporali e ambientali come l'accessibilità della rete e le informazioni sulla sfruttabilità per aggiungere contesto e dare priorità ai risultati.

D: Posso utilizzare Amazon Inspector e Amazon Inspector Classic contemporaneamente nello stesso account?

Sì, è possibile utilizzare entrambi contemporaneamente nello stesso account.

D: Come posso migrare da Amazon Inspector Classic al nuovo Amazon Inspector?

È possibile disabilitare Amazon Inspector Classic semplicemente eliminando tutti i modelli di valutazione nel proprio account. Per accedere ai risultati delle esecuzioni di valutazione esistenti, puoi scaricarli come report o esportarli utilizzando l'API di Amazon Inspector. Per abilitare il nuovo Amazon Inspector bastano pochi clic nella Console di gestione AWS o tramite le nuove API di Amazon Inspector. Puoi trovare i passaggi dettagliati della migrazione nella Guida per l'utente di Amazon Inspector Classic.

D: In che modo il servizio di scansione delle immagini del container Amazon Inspector per Amazon ECR è diverso dalla soluzione basata su Amazon ECR Clair?

  Scansione delle immagini di container con Amazon inspector Soluzione basata su Amazon ECR Clair

Motore di scansione

Amazon Inspector è un servizio di gestione delle vulnerabilità sviluppato da AWS con supporto integrato per le immagini dei container che risiedono in Amazon ECR

Amazon ECR offre progetto Clair open-sourcegestito come soluzione di base per le scansioni

Copertura del package

Identifica le vulnerabilità sia nei pacchetti del sistema operativo (OS) che nei pacchetti del linguaggio di programmazione (ad es., Python, Java, Ruby, etc. ) packages

Identifica le vulnerabilità dei software solo nei pacchetti OS

Frequenza di scansione

Offre sia la scansione continua che la scansione push

Offre solo la scansione push

Risultati

I risultati sono disponibili in entrambe le console Amazon Inspector ed ECR, nonché in Amazon Inspector e nell’interfaccia di programmazione dell’applicazione (API) ECR e Software Development Kit (SDK)

I risultati sono disponibili nella console ECR e nelle API ECR e nell'SDK

Punteggio di vulnerabilità

Fornisce un Inspector score contestuale e punteggi del Common Vulnerability Scoring System (CVSS) v2 e v3 sia dal National Vulnerability Database (NVD) che dai fornitori

solo punteggi CVSS v2

Integrazioni di servizi AWS

Integrato con AWS Security Hub, AWS Organizations e AWS EventBridge

Non sono disponibili integrazioni integrate con altri servizi AWS

 

D: Quanto costa Amazon Inspector?

Consulta la pagina dei prezzi di Amazon Inspector per visualizzare tutti i dettagli di prezzo.

D: È possibile richiedere una prova gratuita di Amazon Inspector?

Tutti i nuovi account di Amazon Inspector possono beneficiare di una prova gratuita di 15 giorni per valutare il servizio e stimarne il costo. Durante la prova, tutte le istanze e le immagini di container idonee di Amazon EC2 inviate ad Amazon ECR vengono continuamente scansionate gratuitamente. È possibile anche rivedere la spesa stimata nella console di Amazon Inspector.

D: In quali regioni è disponibile Amazon Inspector?

Amazon Inspector è disponibile a livello globale. La disponibilità specifica per regione è indicata qui.

Nozioni di base

D: Come si inizia a usare il servizio?

È possibile abilitare Amazon Inspector per l'intera organizzazione o per un singolo account con pochi clic nella Console di gestione AWS. Una volta abilitato, Amazon Inspector rileva automaticamente le istanze Amazon EC2 in esecuzione e i repository Amazon ECR e avvia immediatamente la scansione continua dei carichi di lavoro alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Se non conosci Inspector, è disponibile una prova gratuita di 15 giorni.

D: Cosa sono i risultati di Amazon Inspector?

Un risultato di Amazon Inspector è una potenziale vulnerabilità della sicurezza. Ad esempio, quando Amazon Inspector rileva vulnerabilità del software o apre percorsi di rete alle risorse di elaborazione, crea risultati di sicurezza.

D: Posso gestire Amazon Inspector utilizzando la mia struttura AWS Organizations?

Sì. Amazon Inspector è integrato con AWS Organizations. Puoi assegnare un account DA per Amazon Inspector, che funge da account amministratore principale per Amazon Inspector e può gestire e configurare Amazon Inspector centralmente. L'account DA può visualizzare e gestire centralmente i risultati per tutti gli account che fanno parte della tua organizzazione AWS.

D: Come posso delegare un amministratore per il servizio Amazon Inspector?

L'account AWS Organizations Management può assegnare un account DA per Amazon Inspector nella console di Amazon Inspector o utilizzando le API di Amazon Inspector.

D: Devo abilitare tipi di scansione specifici (ovvero, scansione Amazon EC2 o scansione dell'immagine del container Amazon ECR)?

Sia l'istanza EC2 che la scansione dell'immagine ECR sono abilitate per impostazione predefinita. Tuttavia, è possibile disabilitare la scansione dell'istanza Amazon EC2, la scansione immagini Amazon ECR o entrambe sugli account.

D: Ho bisogno di un agent per utilizzare Amazon Inspector?

Dipende dalle risorse che stai scansionando. Gli AWS Systems Manager Agents (Agenti SSM) sono necessari per la scansione delle vulnerabilità delle istanze Amazon EC2. Non sono necessari agenti per la raggiungibilità della rete delle istanze Amazon EC2 e la scansione delle vulnerabilità delle immagini dei container.

D: Come posso installare e configurare Amazon Systems Manager Agent?

Per eseguire correttamente la scansione delle istanze Amazon EC2 alla ricerca di vulnerabilità software, Amazon Inspector richiede che queste istanze siano gestite da AWS Systems Manager (SSM) e dall'agente SSM. Consultare i prerequisiti di Systems Manager nella Guida per l'utente di AWS Systems Manager per istruzioni su come abilitare e configurare AWS Systems Manager. Per informazioni sulle istanze gestite, consulta la sezione Istanze gestite nella Guida per l'utente di AWS Systems Manager.

D: Posso escludere alcune istanze Amazon EC2 dalla scansione?

No. Una volta abilitato Amazon Inspector per la scansione Amazon EC2, tutte le istanze EC2 con agenti Amazon SSM installati e configurati in un account vengono scansionate in maniera continua.

D: Come faccio a sapere quali repository Amazon ECR sono configurati per la scansione? E come faccio a gestire quali repository devono essere configurate per la scansione?

Amazon Inspector supporta la configurazione delle regole di inclusione per selezionare quali repository Amazon ECR vengono scansionati. Le regole di inclusione possono essere create e gestite nella pagina delle impostazioni del registro all'interno della console ECR o utilizzando le API ECR. I repository ECR che corrispondono alle regole di inclusione sono configurati per la scansione. Lo stato di scansione dettagliato dei repository è disponibile nelle console ECR e Amazon Inspector.

Lavorare con Amazon Inspector

Come faccio a sapere se le mie risorse vengono scansionate attivamente?

Il pannello Copertura ambientale nel dashboard di Amazon Inspector mostra i parametri per account, inclusi account, istanze Amazon EC2 e repository Amazon ECR sottoposti a scansione attiva da Amazon Inspector. Ogni istanza e immagine ha uno stato di scansione: Scansione in corso o Non in scansione. Scansione in corso significa che la risorsa viene continuamente scansionata quasi in tempo reale. Uno stato di Non in scansione potrebbe significare che la scansione iniziale non è stata ancora eseguita, il sistema operativo non è supportato o qualcos'altro sta impedendo la scansione.

D: Con quale frequenza vengono eseguite le scansioni automatiche?

Tutte le scansioni vengono eseguite automaticamente in base agli eventi. Tutti i carichi di lavoro vengono inizialmente scansionati al momento del rilevamento e successivamente scansionati di nuovo.

  • Per le istanze Amazon EC2: le nuove scansioni vengono avviate quando un nuovo pacchetto software viene installato o disinstallato su un'istanza, quando viene pubblicato un nuovo CVE e dopo l'aggiornamento di un pacchetto vulnerabile (per confermare che non ci siano ulteriori vulnerabilità).
  • Per le immagini dei container ECR: le scansioni automatiche vengono avviate per le immagini dei container idonee quando viene pubblicato un nuovo CVE che interessa un'immagine. Le scansioni automatiche per le immagini del container sono per i primi 30 giorni dopo il push dell'immagine.

D: Per quanto tempo le immagini dei container vengono continuamente scansionate con Amazon Inspector?

Le immagini dei container che risiedono nei repository Amazon ECR configurate per la scansione continua vengono scansionate per 30 giorni dopo essere state inviate al repository.

D: Posso escludere le mie risorse dalla scansione?

  • Per le istanze Amazon EC2: No. Amazon Inspector rileva automaticamente tutte le istanze EC2 all'interno di un account ed esegue continuamente la scansione di tutte le istanze con SSM Agent Amazon configurato.
  • Per le immagini di container che risiedono in Amazon ECR: Sì. Sebbene sia possibile selezionare quali archivi ECR sono configurati per la scansione, verranno scansionate tutte le immagini all'interno di un archivio. È possibile creare regole di inclusione per selezionare quali repository devono essere scansionati.

D: In che modo la modifica della frequenza di raccolta dell'inventario SSM dai 30 minuti di default a 12 ore influisce sulla scansione continua da parte di Amazon Inspector?

La modifica della frequenza di raccolta dell'inventario SSM di default può avere un impatto sulla natura continua della scansione. Amazon Inspector si affida agli SSM Agent per raccogliere l'inventario delle applicazioni per generare risultati. Se la durata dell'inventario dell'applicazione viene aumentata rispetto al valore predefinito di 30 minuti, ciò ritarderà il rilevamento delle modifiche all'inventario dell'applicazione e i nuovi risultati potrebbero essere a loro volta ritardati.

D: Cos'è un Inspector risk score?

L’Inspector risk score è un punteggio altamente contestualizzato che viene generato per ogni risultato correlando le informazioni sulle vulnerabilità e le esposizioni comuni (CVE) con i risultati di raggiungibilità della rete, i dati di sfruttabilità e le tendenze dei social media. In questo modo è più facile dare la priorità ai risultati e concentrarsi sui risultati più critici e sulle risorse vulnerabili. È possibile vedere come è stato calcolato un Inspector risk score e quali fattori hanno influenzato il punteggio nella scheda Punteggio Inspector nel pannello laterale Dettagli Risultati.

Ad esempio: sull'istanza Amazon EC2 è stato identificato un nuovo CVE, che può essere sfruttato solo in remoto. Se le scansioni costanti sulla raggiungibilità della rete da parte di Amazon Inspector rilevano anche che l'istanza non è raggiungibile da Internet, sa che è meno probabile che la vulnerabilità venga sfruttata. Pertanto, Amazon Inspector correla i risultati della scansione con il CVE per regolare il punteggio di rischio verso il basso, riflettendo in modo più accurato l'impatto del CVE su quella particolare istanza.

D: Come si determina la severità di un risultato?

Inspector Score  Gravità
0 Informativo
0,2–3,9 Basse
4,0–6,9 Medie
7,0–8,9 Elevate
9,0–10,0 Critiche

D: Come funzionano le regole di soppressione?

Amazon Inspector consente di sopprimere i risultati in base ai criteri personalizzati che definisci. È possibile creare regole di soppressione per i risultati considerati accettabili dall'organizzazione.

D: Come posso esportare i miei risultati e cosa include?

Puoi generare report in più formati (CSV o JSON) con pochi clic nella console di Amazon Inspector o tramite le API di Amazon Inspector. Puoi scaricare un rapporto completo con tutti i risultati oppure generare e scaricare un rapporto personalizzato basato sui filtri di visualizzazione impostati nella console.

D: Posso eseguire la scansione delle mie istanze Amazon EC2 private configurando Amazon Inspector come endpoint VPC?

Sì. Amazon Inspector utilizza gli SSM Agents di Amazon per raccogliere l'inventario delle applicazioni, che possono essere configurati come endpoint Amazon Virtual Private Cloud (Amazon VPC) per evitare di inviare informazioni su Internet.

D: Che sistemi operativi supporta Amazon Inspector?

È possibile trovare l'elenco dei sistemi operativi (SO) supportati qui.

D: Quali pacchetti di linguaggi di programmazione sono supportati da Amazon Inspector per la scansione delle immagini dei container?

Puoi trovare l'elenco dei pacchetti di linguaggi di programmazione supportati qui.

D: Amazon Inspector funzionerà con istanze che utilizzano Network Address Translation (NAT)?

Sì. Le istanze che utilizzano NAT sono supportate automaticamente da Amazon Inspector.

D: Nelle mie istanze utilizzo un proxy. Amazon Inspector funziona anche in questo tipo di istanze?

Sì. Per ulteriori informazioni, consultare come configurare SSM Agent per l'utilizzo di un proxy.

D: È possibile integrare Amazon Inspector con altri servizi AWS per accesso e notifiche?

Amazon Inspector si integra con Amazon EventBridge per fornire notifiche per eventi come un nuovo risultato, il cambio di stato di un risultato o la creazione di una regola di soppressione. Amazon Inspector si integra anche con AWS CloudTrail per la registrazione delle chiamate.

D: Amazon inspector effettua scansioni dei “benchmark di configurazione della sicurezza del sistema operativo CIS”?

No. Sebbene Amazon Inspector non supporti attualmente le scansioni CIS, questa funzionalità verrà aggiunta in futuro. Tuttavia, puoi continuare a utilizzare il pacchetto di regole di scansione CIS offerto in Amazon Inspector Classic.

D: Amazon Inspector opera con altre soluzioni di partner AWS?

Sì. Per ulteriori informazioni, consultare Partner di Amazon Inspector.

Q: Posso disabilitare Amazon Inspector?

Sì. Si possono disabilitare tutti i tipi di scansione (scansione EC2 e scansione dell'immagine del container ECR) disabilitando il servizio Amazon Inspector oppure è possibile disabilitare ciascun tipo di scansione singolarmente per un account.

Q: Posso sospendere Amazon Inspector?

No. Amazon Inspector non supporta uno stato sospeso.

Scopri di più sui clienti di Amazon Inspector

Visita la pagina dei clienti
Tutto pronto per cominciare?
Nozioni di base su Amazon Inspector
Hai altre domande?
Contattaci