P: O que é o Amazon Inspector?
O Amazon Inspector é um serviço de avaliação de segurança automático que ajuda você a testar o estado da segurança dos seus aplicativos em execução no Amazon EC2.

P: O que posso fazer com o Amazon Inspector?
O Amazon Inspector permite que você automatize avaliações de vulnerabilidade de segurança por todo o seu pipeline de desenvolvimento e implantação ou nos sistemas de produção estáticos. Isso permite que você torne os testes de segurança eventos mais frequentes, como parte das operações de desenvolvimento e TI. O Amazon Inspector é baseado em agente, controlado por APIs e disponibilizado como serviço para facilitar a implantação, o gerenciamento e a automação.

Comece a usar o Amazon Inspector

Crie uma conta gratuita

P: Qual a composição do serviço Amazon Inspector?
O Amazon Inspector consiste em um agente desenvolvido pela Amazon, instalado no sistema operacional de instâncias do Amazon EC2, e um serviço de avaliação de segurança que usa a telemetria do agente e a configuração da AWS para avaliar a existência de exposições e vulnerabilidades de segurança nas instâncias.

P: O que é um modelo de avaliação?
Um modelo de avaliação é uma configuração que você cria no Amazon Inspector para definir sua execução de avaliação. Esse modelo de avaliação inclui um pacote de regras, que deve ser usado pelo Amazon Inspector para avaliar o objetivo da avaliação, a duração da execução da avaliação, os tópicos do Amazon Simple Notification Service (SNS) para os quais você deseja que o Amazon Inspector envie notificações sobre estados e descobertas da execução da avaliação, e atributos específicos do Amazon Inspector (pares chave/valor) que você pode atribuir a descobertas geradas pela execução da avaliação.

P: O que é uma execução de avaliação?
Uma execução de avaliação é o processo de descoberta de possíveis problemas de segurança por meio da análise da configuração do objetivo da sua avaliação e do comportamento em comparação com pacotes de regras especificadas. Durante a execução de avaliação, o agente monitora, coleta e analisa dados de comportamento (telemetria) dentro do objetivo especificado, como o uso de canais seguros, o tráfego de rede entre processos em execução e os detalhes da comunicação com serviços da AWS. Em seguida, o agente analisa os dados e os compara com um conjunto de pacotes de regras de segurança no modelo de avaliação usado durante a execução de avaliação. Uma execução de avaliação concluída produz uma lista de descobertas: possíveis problemas de segurança com vários níveis de severidade.

P: Existe algum impacto na performance durante uma verificação do Amazon Inspector?
O Amazon Inspector e seu agente foram criados para ter o mínimo impacto na performance durante o processo de execução da avaliação.

P: O que é um objetivo de avaliação?
Um objetivo de avaliação representa um conjunto de recursos da AWS que funciona como uma unidade para ajudá-lo a atingir suas metas empresariais. O Amazon Inspector avalia o estado de segurança dos recursos que constituem o objetivo de avaliação. Crie um objetivo de avaliação usando tags do Amazon EC2, e defina esses recursos com tags atribuídas como um objetivo de avaliação para uma execução de avaliação definida pelo modelo de avaliação.

P: O que é uma descoberta?
Uma descoberta é um possível problema de segurança encontrado durante a execução de avaliação do Amazon Inspector do objetivo especificado. As descobertas são exibidas no Console do Amazon Inspector ou recuperadas por meio da API, e contêm uma descrição detalhada do problema de segurança e uma recomendação de como corrigi-lo.

P: O que é um pacote de regras?
Um pacote de regras é um conjunto de testes de segurança que pode ser configurado como parte de um modelo de avaliação e execução de avaliação. O Amazon Inspector tem vários pacotes de regras, como vulnerabilidades e exposições comuns (CVE), testes comparativos de configuração de sistemas operacionais do Center for Internet Security (CIS) e melhores práticas de segurança. Consulte a documentação do Amazon Inspector para obter uma lista completa dos pacotes de regras disponíveis.

P: Posso definir minhas próprias regras para modelos de avaliação?
Não. Somente as regras predefinidas serão inicialmente permitidas para execuções de avaliação. No entanto, com o tempo, estamos analisando a inclusão dos dois principais conjuntos de regras dos fornecedores do AWS Marketplace e regras personalizadas desenvolvidas automaticamente.

P: Quais aplicações podem ser analisadas pelo Inspector para detectar vulnerabilidades?
O Amazon Inspector encontra aplicações consultado o gerenciador de pacotes ou o sistema de instalação de software do sistema operacional onde o agente é instalado. Isso significa que o software instalado por meio do gerenciador de pacotes será verificado para detectar vulnerabilidades. A versão e o nível de patch de softwares não instalados por meio desses métodos não serão reconhecidos pelo Inspector. Por exemplo, softwares instalados por meio de apt, yum ou Microsoft Installer serão avaliados pelo Inspector. Softwares instalados por meio de make config/make install, bem como arquivos binários copiados diretamente para o sistema usando software de automação como Puppet ou Ansible, não serão avaliados pelo Inspector.

P: O que é um relatório de avaliação, e o que está incluído nele?
É possível gerar um relatório de avaliação do Amazon Inspector para uma avaliação após sua conclusão bem-sucedida. Um relatório de avaliação é um documento que detalha o que é testado na execução da avaliação e os resultados da avalição. Os resultados da avalição são formatados em um relatório padrão que pode ser gerado para compartilhar resultados com a equipe para fins de ações de remediação, detalhamento de dados de auditoria de conformidade ou armazenamento para referência futura.

Você pode escolher entre dois tipos de relatórios de avaliação, um relatório de descobertas e um relatório completo. O relatório de descobertas contém um resumo executivo da avaliação, as instâncias envolvidas, os pacotes de regras testados, as regras que geraram descobertas e informações detalhadas sobre cada uma dessas regras, além de uma lista das instâncias que não foram aprovadas na verificação. O relatório completo contém todas as informações do relatório de descobertas e também fornece a lista de regras verificadas e aprovadas em todas as instâncias envolvidas na avaliação.

P: O que acontece se alguns dos meus destinos estiverem indisponíveis quando eu executar uma avaliação?
O Amazon Inspector reunirá dados de vulnerabilidade de todos os destinos disponíveis configurados para o modelo de avaliação e retornará qualquer descoberta de segurança aplicável para os destinos disponíveis. Se não existirem destinos disponíveis para o modelo de avaliação quando a execução for iniciada, o sistema reportará que a avaliação não pôde ser executada e retornará a seguinte notificação: "The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template".

P: Como os destinos tornam-se indisponíveis?
Os destinos em uma avaliação podem ficar indisponíveis por vários motivos, como instância EC2 inativa ou sem resposta, instância com tag atribuída (de destino) não tem o agente do Amazon Inspector instalado, o agente do Amazon Inspector instalado está indisponível ou não pode retornar dados de vulnerabilidade.

P: Qual é a definição de preço do Amazon Inspector?
A definição de preço do Inspector baseia-se no número de execuções de avaliação e na quantidade de agentes ou sistemas que foram avaliados durante essas avaliações. Nós chamamos isso de “avaliações de agente”. Um período de faturamento sob demanda dura um mês do calendário, como todos os serviços da AWS. Por exemplo:

     1 execução de avaliação em 1 agente = 1 avaliação de agente
     1 execução de avaliação em 10 agentes = 10 avaliações de agente
     10 execuções de avaliação em 2 agentes = 20 avaliações de agente
     30 execuções de avaliação em 10 agentes = 300 avaliações de agente

Se o conteúdo acima representar a atividade de execuções de avaliação do Amazon Inspector na sua conta durante um determinado período de faturamento, você será cobrado por um total de 331 avaliações de agente.

O preço de cada avaliação de agente individual é baseado em um modelo de definição de preço em camadas. Conforme o volume de avaliações de agente em um determinado período de faturamento aumenta, você paga um preço menor por avaliação de agente. Por exemplo, os primeiros dois níveis de definição de preço da avaliação de agente são:

     Primeiras 250 avaliações de agente = 0,30 USD por avaliação de agente
     Próximas 750 avaliações de agente = 0,25 USD por avaliação de agente

Então, para o nosso exemplo acima de 331 avaliações de agente em um determinado período de faturamento, seria cobrada uma taxa de 0,30 USD para as primeiras 250 e 0,25 USD para as próximas 81, ou um total de 95,25 USD para o período de faturamento. Consulte a página de definição de preço do Amazon Inspector para obter a tabela de definição de preço completa.

P: Há uma avaliação gratuita do Amazon Inspector?
Sim. O Amazon Inspector oferece as primeiras 250 avaliações de agente gratuitamente nos primeiros 90 dias de uso do serviço. Todas as contas da AWS novas no serviço Amazon Inspector estão qualificadas.

P: Para quais sistemas operacionais o Amazon Inspector oferece suporte?
Consulte a documentação do Amazon Inspector para obter uma lista atual dos sistemas operacionais com suporte.

P: Em quais regiões o Amazon Inspector está disponível?
Consulte a documentação do Amazon Inspector para obter uma lista atualizada das regiões com suporte.

P: Para quais versões do kernel do Linux as avaliações do Amazon Inspector oferecem suporte?
Você pode executar avaliações bem-sucedidas para uma instância EC2 com um SO baseado em Linux usando os pacotes de regras Common Vulnerabilities and Exposures (CVE), Center for Internet Security (CIS) Benchmarks ou Security Best Practices, independentemente da versão do kernel. No entanto, para executar uma avaliação usando o pacote de regras Runtime Behavior Analysis, a instância Linux deve ter uma versão de kernel com suporte do Amazon Inspector. Uma lista atualizada das versões do kernel do Linux para as quais o Amazon Inspector oferece suporte está disponível aqui.

P: O Amazon Inspector parece ótimo, quando posso começar a usá-lo?
Basta cadastrar-se no Amazon Inspector pelo Console de Gerenciamento da AWS. Após o cadastro, instale o agente adequado do Amazon Inspector nas instâncias do Amazon EC2, crie um novo modelo de avaliação, selecione os pacotes de regras que você deseja usar e programe uma execução de avaliação. Quando for concluída, o sistema gerará um relatório de descobertas sobre qualquer problema identificado no seu ambiente.

P: O agente do Amazon Inspector tem de ser instalado em todas as instâncias EC2 que quero avaliar?
Sim. Durante a execução da avaliação, o agente do Amazon Inspector monitora o comportamento do sistema operacional e dos aplicativos da instância EC2 onde está instalado, coleta dados de configuração e comportamento e passa esses dados para o serviço Amazon Inspector.

P: Como posso instalar o agente do Amazon Inspector?
Há várias maneiras de instalar o agente. Para instalações simples, você pode instalar o agente em cada instância ou fazer uma carga única usando o documento de execução de comandos do AWS Systems Manager (AmazonInspector-ManageAWSAgent). Para implantações maiores, você pode automatizar as instalações do agente usando a função de dados de usuário do EC2 durante a configuração das instâncias ou criar instalações automatizadas do agente usando o AWS Lambda. Também é possível iniciar uma instância EC2 usando o Amazon Linux AMI com o agente do Amazon Inspector pré-instalado no console do EC2 ou no AWS Marketplace.

P: Como posso verificar se o agente do Amazon Inspector está instalado e íntegro em instâncias EC2?
Você pode ver o status do agente do Amazon Inspector de todas as instâncias EC2 do objetivo da avaliação usando a funcionalidade “Preview Targets”, disponível no console do Inspector e por meio da consulta de API PreviewAgents. O status do agente informa se o agente está instalado na instância EC2 e a integridade do agente. Juntamente com o status do agente do Inspector na instância EC2 a ser avaliada, também são exibidos o ID da instância, o nome do host público e o endereço IP público (se definido), juntamente com links para o console do EC2 para cada instância.

P: O Amazon Inspector pode ser executado sem atribuir tags a recursos?
Não. O Amazon Inspector exige que você use tags de instância do Amazon EC2 para que seja possível executar uma avaliação.

P: O Amazon Inspector acessa outros Serviços da AWS de uma conta?
O Amazon Inspector precisa enumerar as instâncias EC2 e suas tags para identificar as instâncias especificadas no objetivo da avaliação. O Amazon Inspector obtém acesso a essas informações por meio de uma função vinculada a serviço criada em seu nome quando você começa a usar o Inspector como um novo cliente ou em uma nova região. A função vinculada a serviço do Inspector é gerenciada pelo Amazon Inspector. Portanto, você não precisa se preocupar com a revogação acidental de permissões exigidas pelo Amazon Inspector. Para alguns clientes existentes, uma função do IAM registrada quando começaram a usar o Inspector pode ser usada para acessar outros Serviços da AWS até que a função vinculada a serviço do Inspector seja criada. Você pode criar a função vinculada a serviço do Inspector usando a página de painel do console do Inspector.

P: Eu uso a Network Address Translation (NAT – Conversão de endereços de rede) nas minhas instâncias. O Amazon Inspector funcionará com essas instâncias?
Sim. As instâncias que usarem uma NAT serão apoiadas pelo Amazon Inspector sem que você precise fazer nada.

P: Eu uso um proxy nas minhas instâncias. O Amazon Inspector funcionará com essas instâncias?
Sim. O agente do Amazon Inspector oferece suporte a ambientes com proxy. Para instâncias Linux, oferecemos suporte ao proxy HTTPS e, para instâncias Windows, oferecemos suporte ao proxy WinHTTP. Consulte o Guia do usuário do Amazon Inspector para obter instruções sobre a configuração do suporte ao proxy para o agente do Amazon Inspector.

P: Eu gostaria de automatizar a avaliação da minha infraestrutura com frequência. Vocês disponibilizam um modo automático de enviar avaliações?
Sim. O Amazon Inspector disponibiliza uma API completa que permite a criação automática de ambientes de aplicativos, a geração de avaliações, a avaliação de políticas, a criação de exceções a políticas, e filtros, além de oferecer a recuperação de resultados.

P: Posso programar avaliações de segurança para execução em determinadas datas e horários?
Sim. As avaliações do Amazon Inspector podem ser disparadas por qualquer evento do Amazon CloudWatch. Você pode configurar uma programação recorrente com uma taxa de recorrência fixa simples ou com uma expressão de Cron mais detalhada.

P: Posso disparar avaliações de segurança para execução baseada em um evento?
Sim. Você pode usar o Amazon CloudWatch Events para criar padrões de eventos que monitoram outros Serviços da AWS para detectar ações que disparam uma avaliação. Por exemplo, você pode criar um evento que monitora o AWS Auto Scaling para detectar a execução de novas instâncias do Amazon EC2 ou que monitora notificações do AWS CodeDeploy para detectar quando uma implantação de código é concluída com sucesso. Após a configuração do CloudWatch Events em modelos do Amazon Inspector, esses eventos de avaliação serão exibidos no console do Inspector como parte dos modelos de avaliação para que você possa ver todos os triggers automatizados dessa avaliação.

P: Posso configurar avaliações do Amazon Inspector por meio do AWS CloudFormation?
Sim. Você pode criar grupos de recursos, objetivos da avaliação e modelos de avaliação do Amazon Inspector usando modelos do AWS CloudFormation. Isto permite configurar automaticamente avaliações de segurança para instâncias EC2 conforme elas são implantadas. No modelo de CloudFormation, você também pode inicializar a instalação do agente do Inspector em instâncias EC2 utilizando o comando de instalação de agente em AWS::CloudFormation::Init ou em dados de usuário do EC2. Como alternativa, você pode criar instâncias EC2 no modelo de CloudFormation empregando uma AMI com o agente do Inspector pré-instalado.

P: Onde posso encontrar informações sobre métricas nas minhas avaliações do Amazon Inspector?
O Amazon Inspector publica automaticamente dados de métricas sobre as suas avaliações no Amazon CloudWatch. Se você for um usuário do CloudWatch, as estatísticas de avaliação do Inspector serão automaticamente preenchidas no CloudWatch. No momento, as métricas do Inspector disponíveis são: número de execuções de avaliação, agentes abordados e descobertas geradas. Para obter mais detalhes, consulte a documentação do Amazon Inspector para obter detalhes sobre as métricas de avaliação publicadas no CloudWatch.

P: O Amazon Inspector pode ser integrado a outros Serviços da AWS para registro e notificações?
O Amazon Inspector é integrado ao Amazon SNS para disponibilizar notificações para vários eventos, como etapas de monitoramento, falhas ou expiração de exceções. O serviço também é integrado ao AWS CloudTrail para o registro de chamadas para o Amazon Inspector.

P: O que é o pacote de regras “Avaliações de configuração de segurança de sistemas operacionais do CIS”?
As avaliações de segurança do CIS são fornecidas pelo Center for Internet Security e são os únicos guias de configuração com melhores práticas de segurança e baseados em consenso, desenvolvidos e aceitos por governos, empresas, setores e meios acadêmicos. A Amazon Web Services é uma empresa membro das avaliações de segurança do CIS. A lista de certificações do Amazon Inspector pode ser consultada aqui. As regras de avaliação do CIS são projetadas como verificações de segurança do tipo aprovado/reprovado. Para cada verificação do CIS reprovada, o Inspector gera uma descoberta com severidade alta. Além disso, é gerada uma descoberta com severidade informativa para cada ocorrência, listando todas as regras CIS verificadas e o resultado aprovado/reprovado de cada regra.

P: O que é o pacote “Vulnerabilidades e exposições comuns”?
As regras de vulnerabilidades e exposições comuns, ou CVE, verificam a exposição a vulnerabilidades e exposições de segurança publicamente conhecidas. Os detalhes das regras CVE estão disponíveis publicamente no banco de dados nacional de vulnerabilidades (NVD). Usamos o sistema de pontuação de vulnerabilidades comuns (CVSS) como a principal referência das informações de severidade. Se uma CVE não for pontuada pelo NVD, mas estiver presente no Amazon Linux AMI Security Advisory (ALAS), usaremos a severidade do informe do Amazon Linux. Se uma CVE não tiver nenhuma dessas pontuações, ela não será relatada como descoberta. Verificamos diariamente as informações mais recentes do NVD e do ALAS para atualização dos pacotes de regras.

P: Qual é a severidade de uma descoberta?
Cada regra do Amazon Inspector tem um nível de severidade atribuído, que a Amazon classificou como alta, média, baixa ou informativa. O objetivo da severidade é ajudar a priorizar as respostas às descobertas.

P: Como a severidade é determinada?
A severidade de uma regra é baseada no possível impacto do problema de segurança descoberto. Embora alguns pacotes de regras especifiquem os níveis de severidade em suas regras, esses níveis podem muitas vezes ser diferentes entre os diversos pacotes. O Amazon Inspector normalizou a severidade das descobertas em todos os pacotes de regras disponíveis, associando severidades individuais às classificações alta, média, baixa e informativa. Nas descobertas com severidade alta, média e baixa, quanto maior a severidade da descoberta, maior o impacto do problema subjacente. As descobertas classificadas como "informativas" são relatadas para notificar você sobre problemas de segurança que podem não ter um impacto de segurança imediato.

  • Nos pacotes de regras fornecidos pela AWS, a severidade é determinada pela equipe de segurança da AWS.
  • A severidade das descobertas do pacote de regras de avaliações do CIS é sempre definida como alta.
  • No pacote de regras de vulnerabilidades e exploits comuns (CVE), o Amazon Inspector associou os níveis fornecidos pela pontuação básica do CVSS e pela severidade do ALAS:
            Severidade do Amazon Inspector        Pontuação básica do CVSS           Severidade do ALAS (se não pontuada pelo CVSS)
            Alta                                               >= 5                                  Crítica ou importante
            Média                                         < 5 e >= 2,1                   Média
            Baixa                                               < 2,1 e > 0,8                Baixa
            Informativa                                 < 0,8                                  N/A

P: Quando eu descrevo as descobertas por meio da API (DescribeFindings), cada descoberta tem um atributo "numericSeverity". Qual o significado desse atributo?
O atributo "numericSeverity" é a representação numérica da severidade de uma descoberta. Os valores numéricos de severidade denotam a severidade da seguinte forma:
            Informativa = 0,0
            Baixa = 3,0
            Média = 6,0
            Alta = 9,0

P: O Amazon Inspector funciona com soluções de parceiros da AWS?
Sim, o Amazon Inspector tem APIs de interface pública disponíveis para a utilização de clientes e parceiros da AWS. Vários parceiros integraram-se ao Amazon Inspector incorporando descobertas em e-mails, sistemas de ticket, plataformas de pager e painéis de segurança mais amplos. Para obter detalhes sobre o suporte a parceiros, consulte a página de parceiros do Amazon Inspector.

P: O Amazon Inspector é um serviço qualificado pela HIPAA?
Sim, o Amazon Inspector é um serviço qualificado pela HIPAA e foi adicionado ao Adendo de associado comercial da AWS (BAA). Se você tiver um BAA assinado com a AWS, poderá executar o Inspector em instâncias EC2 que contêm Protected Health Information (PHI – Informações de saúde protegidas).

P: O Amazon Inspector oferece suporte a quais programas de conformidade e garantia?
O Inspector oferece suporte aos programas SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 e HIPAA. O Inspector atende aos controles do FedRAMP e estamos aguardando a conclusão do relatório de auditoria. Se você quiser saber mais sobre os Serviços da AWS em escopo por programa de conformidade, acesse a página de Serviços da AWS em escopo.