Geral

P: O que é o Amazon Inspector?

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade automatizado que verifica continuamente o Amazon Elastic Compute Cloud (EC2) e workloads de contêiner em busca de vulnerabilidades de software e exposição não intencional da rede.

P: Quais são os principais benefícios do Amazon Inspector?

O Amazon Inspector remove a sobrecarga operacional associada à implantação e configuração de uma solução de gerenciamento de vulnerabilidade, permitindo que você implante o Amazon Inspector em todas as contas com um único clique. Os benefícios adicionais do Amazon Inspector incluem:

  • Descoberta automatizada e verificação contínua que fornece descobertas de vulnerabilidade quase em tempo real
  • Gerenciamento central, configuração e visualização de descobertas para todas as contas de suas organizações, definindo uma conta de Delegated Administrator (DA – Administrador delegado)
  • Uma pontuação de risco do Inspector altamente contextualizada e significativa para cada descoberta para ajudar você a definir prioridades de resposta mais precisas
  • Um painel intuitivo do Amazon Inspector para métricas de cobertura, incluindo contas, instâncias do EC2 e repositórios Amazon Elastic Container Registry (ECR) sendo ativamente verificados pelo Amazon Inspector
  • Integração com AWS Security Hub e Amazon EventBridge para automatizar fluxos de trabalho e roteamento de tíquetes

P: Qual a diferença entre o Amazon Inspector e o Amazon Inspector Classic?

O Amazon Inspector foi reformulado e reconstruído para criar um novo serviço de gerenciamento de vulnerabilidade. Aqui estão as principais melhorias em relação ao Amazon Inspector Classic:

  • Construído para escala: o novo Amazon Inspector foi desenvolvido para ser dimensionado e o ambiente de nuvem dinâmico. Não há limite para o número de instâncias ou imagens que podem ser verificadas por vez.
  • Suporte para imagens de contêiner: o novo Amazon Inspector também verifica as imagens de contêiner que residem no Amazon ECR em busca de vulnerabilidades de software. As descobertas relacionadas ao contêiner também são enviadas para o console do ECR.
  • Suporte para gerenciamento de várias contas: o novo Amazon Inspector é integrado ao AWS Organizations, permitindo que você delegue uma conta de administrador para o Amazon Inspector para sua organização. Essa conta de Administrador delegado (DA) é uma conta centralizada que consolida todas as descobertas e pode configurar todas as contas de membros.
  • AWS Systems Manager Agent: com o novo Amazon Inspector, você não precisa mais instalar e manter um agente Amazon Inspector autônomo em todas as suas instâncias do Amazon EC2. O novo Amazon Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado, que elimina essa necessidade.
  • Verificação automatizada e contínua: o novo Amazon Inspector detecta automaticamente todas as instâncias recém-lançadas do Amazon EC2 e as imagens de contêiner qualificadas enviadas para o Amazon ECR e as verifica imediatamente em busca de vulnerabilidades de software e exposição de rede não intencional. Quando ocorre um evento que pode introduzir uma nova vulnerabilidade, os recursos envolvidos são automaticamente verificados novamente. Os eventos que iniciam a nova verificação de um recurso incluem a instalação de um novo pacote em uma instância EC2, a instalação de um patch e a publicação de novas vulnerabilidades e exposições comuns (CVE) que afetam o recurso.
  • Pontuação de risco do Inspector: o novo Amazon Inspector calcula uma pontuação de risco do Inspector correlacionando informações CVE atualizadas com fatores temporais e ambientais, como acessibilidade de rede e informações de exploração para adicionar contexto para ajudar a priorizar suas descobertas.

P: Posso usar o Amazon Inspector e o Amazon Inspector Classic simultaneamente na mesma conta?

Sim, você pode usar os dois simultaneamente na mesma conta.

P: Como faço para migrar do Amazon Inspector Classic para o novo Amazon Inspector?

Você pode desativar o Amazon Inspector Classic simplesmente excluindo todos os modelos de avaliação em sua conta. Para acessar os resultados de execuções de avaliação existentes, você pode baixá-los como relatórios ou exportá-los usando a API Amazon Inspector. Você pode habilitar o novo Amazon Inspector com alguns cliques no Console de Gerenciamento da AWS ou usando as novas APIs do Amazon Inspector. Você pode encontrar as etapas de migração detalhadas no Guia do usuário do Amazon Inspector Classic.

P: Como o serviço de verificação de imagens de contêiner Amazon Inspector para Amazon ECR é diferente da solução baseada em Amazon ECR Clair?

  Verificação de imagem de contêiner Amazon Inspector Solução baseada em Amazon ECR Clair

Mecanismo de verificação

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade desenvolvido pela AWS que tem suporte integrado para imagens de contêiner que residem no Amazon ECR

Amazon ECR oferece um gerenciado projeto Clair de código aberto como a solução básica de verificação

Cobertura do pacote

Identifica vulnerabilidades em pacotes de sistema operacional (SO) e pacotes de linguagem de programação (por exemplo, Python, Java, Ruby, etc.)

Identifica vulnerabilidades de software apenas em pacotes de sistema operacional

Frequência de verificação

Oferece verificação contínua e verificação on-push

Oferece apenas verificação on-push

Descobertas

As descobertas estão disponíveis nos consoles Amazon Inspector e ECR, bem como nas Interfaces do Programa da Aplicação (API) e no Kit de Desenvolvimento de Software (SDK) do Amazon Inspector e do ECR

As descobertas estão disponíveis no console ECR e APIs e SDK ECR

Pontuação de vulnerabilidade

Fornece uma pontuação contextual do Inspector e pontuações do Common Vulnerability Scoring System (CVSS) v2 e v3 do National Vulnerability Database (NVD) e fornecedores

Somente pontuações CVSS v2

Integrações de Serviços da AWS

Integrado com AWS Security Hub, AWS Organizations e AWS EventBridge

Nenhuma integração embutida com outros serviços da AWS está disponível

 

P: Qual é a definição de preço do Amazon Inspector?

Consulte a página de definição de preço do Amazon Inspector para obter os detalhes de preço completos.

P: Há uma avaliação gratuita do Amazon Inspector?

Todas as contas novas no Amazon Inspector são elegíveis para um Teste gratuito de 15 dias para avaliar o serviço e estimar seu custo. Durante o teste, todas as instâncias elegíveis do Amazon EC2 e imagens de contêiner enviadas para ECR são continuamente verificadas sem nenhum custo. Você também pode revisar os gastos estimados no console do Amazon Inspector.

P: Em quais regiões o Amazon Inspector está disponível?

O Amazon Inspector está disponível globalmente. A disponibilidade específica por região é listado aqui.

Conceitos básicos

P: Como posso começar?

Você pode habilitar o Amazon Inspector para toda a sua organização ou uma conta individual com alguns cliques no Console de Gerenciamento da AWS. Uma vez habilitado, o Amazon Inspector descobre automaticamente as instâncias do Amazon EC2 em execução e os repositórios do Amazon ECR e começa imediatamente a verificação contínua das workloads em busca de vulnerabilidades de software e exposição não intencional da rede. Se você é novo no Inspector, há um Teste gratuito de 15 dias também.

P: O que é uma descoberta do Amazon Inspector?

Uma descoberta do Amazon Inspector é uma vulnerabilidade de segurança potencial. Por exemplo, quando o Amazon Inspector detecta vulnerabilidades de software ou abre caminhos de rede para seus recursos de computação, ele cria descobertas de segurança.

P: Posso gerenciar o Amazon Inspector usando minha estrutura do AWS Organizations?

Sim. O Amazon Inspector está integrado ao AWS Organizations. Você pode atribuir uma conta de DA ao Amazon Inspector, que atua como a conta de administrador principal do Amazon Inspector e pode gerenciar e configurar o Amazon Inspector centralmente. A conta do DA pode visualizar e gerenciar centralmente as descobertas de todas as contas que fazem parte da sua organização AWS.

P: Como delego um administrador para o serviço Amazon Inspector?

A conta do AWS Organizations Management pode atribuir uma conta DA para Amazon Inspector no console do Amazon Inspector ou usando APIs do Amazon Inspector.

P: Devo habilitar tipos específicos de verificação (ou seja, verificação do Amazon EC2 ou verificação de imagens de contêiner Amazon ECR)?

Tanto a instância EC2 quanto a verificação de imagem ECR são ativadas por padrão. No entanto, você pode desativar a verificação de instância do Amazon EC2, a verificação de imagem do Amazon ECR ou ambos nas contas.

P: Preciso de algum agente para usar o Amazon Inspector?

Depende de quais recursos você está verificando. Os AWS Systems Manager Agents (SSM Agents) são necessários para a verificação de vulnerabilidade de instâncias do Amazon EC2. Nenhum agente é necessário para acessibilidade de rede de instâncias do Amazon EC2 e verificação de vulnerabilidade de imagens de contêiner.

P: Como posso instalar e configurar o Amazon Systems Manager Agent?

Para verificar com êxito as instâncias do Amazon EC2 em busca de vulnerabilidades de software, o Amazon Inspector exige que essas instâncias sejam gerenciadas pelo AWS Systems Manager (SSM) e o SSM Agent. Consulte Pré-requisitos do gerente de sistemas no Guia do usuário do AWS Systems Manager para obter instruções para habilitar e configurar o AWS Systems Manager. Para obter informações sobre instâncias gerenciadas, consulte a seção Instâncias gerenciadas no Guia do usuário do AWS Systems Manager.

P: Posso excluir algumas instâncias do Amazon EC2 da verificação?

Não. Depois que o Amazon Inspector é habilitado para verificação do Amazon EC2, todas as instâncias do EC2 com Amazon SSM Agents instalados e configurados em uma conta são verificadas continuamente.

P: Como posso saber quais repositórios Amazon ECR estão configurados para verificação? E como faço para gerenciar quais repositórios devem ser configurados para verificação?

O Amazon Inspector oferece suporte à configuração de regras de inclusão para selecionar quais repositórios Amazon ECR são verificados. As regras de inclusão podem ser criadas e gerenciadas na página de configurações do registro no console ECR ou usando APIs ECR. Os repositórios ECR que correspondem às regras de inclusão são configurados para verificação. O status detalhado da verificação dos repositórios está disponível nos consoles ECR e Amazon Inspector.

Trabalhar com o Amazon Inspector

P: Como posso saber se meus recursos estão sendo verificados ativamente?

O painel de cobertura ambiental no painel do Amazon Inspector mostra as métricas para contas, instâncias do Amazon EC2 e repositórios do Amazon ECR sendo ativamente verificados pelo Amazon Inspector. Cada instância e imagem tem um status de verificação: Scanning (Verificando) ou Not Scanning (Não verificando). Scanning significa que o recurso está sendo verificado continuamente, quase em tempo real. Um status Not Scanning pode significar que a verificação inicial ainda não foi realizada, o sistema operacional não é compatível ou algo mais está impedindo a verificação.

P: Com que frequência as novas verificações automatizadas são realizadas?

Todas as verificações são realizadas automaticamente com base em eventos. Todas as workloads são inicialmente verificadas na descoberta e subsequentemente verificadas novamente.

  • Para instâncias do Amazon EC2: as novas verificações são iniciadas quando um novo pacote de software é instalado ou desinstalado em uma instância, quando um novo CVE é publicado e depois que um pacote vulnerável é atualizado (para confirmar que não há vulnerabilidades adicionais).
  • Para imagens de contêiner ECR: as novas verificações automatizadas são iniciadas para imagens de contêiner qualificadas quando um novo CVE que afeta uma imagem é publicado. As novas verificações automatizadas de imagens de contêiner são para os primeiros 30 dias após o envio da imagem.

P: Por quanto tempo as imagens de contêiner são examinadas continuamente novamente com o Amazon Inspector?

As imagens de contêiner que residem em repositórios Amazon ECR configurados para verificação contínua são verificadas por 30 dias após serem enviadas para o repositório.

P: Posso impedir que meus recursos sejam verificados?

  • Para instâncias do Amazon EC2: não. O Amazon Inspector descobre automaticamente todas as instâncias do EC2 em uma conta e verifica continuamente todas as instâncias com o Amazon SSM Agent configurado.
  • Para imagens de contêiner que residem no Amazon ECR: sim. Embora você possa selecionar quais repositórios ECR são configurados para verificação, todas as imagens em um repositório serão verificadas. Você pode criar regras de inclusão para selecionar quais repositórios devem ser verificados.

P: Como alterar a frequência de coleta de inventário SSM dos 30 minutos padrão para 12 horas afeta a verificação contínua pelo Amazon Inspector?

Alterar a frequência de coleta de inventário SSM padrão pode ter um impacto na natureza contínua da verificação. O Amazon Inspector depende de SSM Agents para coletar o inventário de aplicações e gerar descobertas. Se a duração do inventário de aplicações for aumentada além do padrão de 30 minutos, isso atrasará a detecção de mudanças no inventário de aplicações e novas descobertas podem ser atrasadas.

P: O que é uma pontuação de risco do Inspector?

A pontuação de risco do Inspector é uma pontuação altamente contextualizada gerada para cada descoberta, correlacionando informações de vulnerabilidades e exposições comuns (CVE) com resultados de acessibilidade de rede, dados de exploração e tendências de mídia social. Isso facilita a priorização das descobertas e a concentração nas descobertas mais críticas e nos recursos vulneráveis. Você pode ver como a pontuação de risco do Inspetor foi calculada e quais fatores influenciaram a pontuação na guia Inspector Score (Pontuação do Inspector) no painel lateral Findings Details (Detalhes das descobertas).

Por exemplo: Há um novo CVE identificado em sua instância do Amazon EC2, que só pode ser explorado remotamente. Se as verificações contínuas de acessibilidade de rede do Amazon Inspector também descobrirem que a instância não pode ser acessada pela Internet, ele saberá que a vulnerabilidade tem menos probabilidade de ser explorada. Portanto, o Amazon Inspector correlaciona os resultados da verificação com o CVE para ajustar a pontuação de risco para baixo, refletindo com mais precisão o impacto do CVE nessa instância específica.

P: Como a gravidade da descoberta é determinada?

Pontuação do Inspector  Gravidade 
0 Informativa
0,2 a 3,9 Baixa
4,0 a 6,9 Média
7,0 a 8,9 Alta
9,0 a 10,0 Crítica

P: Como funcionam as regras de supressão?

O Amazon Inspector permite suprimir descobertas com base nos critérios personalizados que você define. Você pode criar regras de supressão para descobertas que são consideradas aceitáveis por sua organização.

P: Como posso exportar minhas descobertas e o que isso inclui?

Você pode gerar relatórios em vários formatos (CSV ou JSON) com alguns cliques no console do Amazon Inspector ou por meio das APIs do Amazon Inspector. Você pode baixar um relatório completo com todas as descobertas ou gerar e baixar um relatório personalizado com base nos filtros de visualização definidos no console.

P: Posso verificar minhas instâncias privadas do Amazon EC2 configurando o Amazon Inspector como um endpoint da VPC?

Sim. O Amazon Inspector usa Amazon SSM Agents para coletar o inventário de aplicações, que pode ser configurado como Endpoints da Amazon Virtual Private Cloud (Amazon VPC) para evitar o envio de qualquer informação pela Internet.

P: Para quais sistemas operacionais o Amazon Inspector oferece suporte?

Você pode encontrar a lista de sistemas operacionais (SO) com suporte aqui.

P: Para quais pacotes de linguagem de programação o Amazon Inspector oferece suporte para verificação de imagens de contêiner?

Você pode encontrar a lista de pacotes de linguagem de programação com suporte aqui.

P: O Amazon Inspector funcionará com instâncias que usam Network Address Translation (NAT)?

Sim. As instâncias que usam NAT são automaticamente compatíveis com o Amazon Inspector.

P: Eu uso um proxy para minhas instâncias. O Amazon Inspector funcionará com essas instâncias?

Sim. Veja mais informações sobre como configurar o SSM Agent para usar um proxy.

P: O Amazon Inspector pode ser integrado a outros serviços da AWS para registro em log e notificações?

O Amazon Inspector se integra ao Amazon EventBridge para fornecer notificação para eventos, como uma nova descoberta, mudança de estado de uma descoberta ou criação de uma regra de supressão. Amazon Inspector também se integra com AWS CloudTrail para registro de chamadas.

P: O Amazon Inspector oferece verificações de “Benchmarks de configuração de segurança do sistema operacional CIS”?

Não. Embora o Amazon Inspector não ofereça suporte atualmente a verificações CIS, esse recurso será adicionado no futuro. No entanto, você pode continuar a usar o pacote de regras de verificação CIS oferecido no Amazon Inspector Classic.

P: O Amazon Inspector funciona com soluções de parceiros da AWS?

Sim. Veja mais informações em Parceiros do Amazon Inspector.

P: Posso desativar o Amazon Inspector?

Sim. Você pode desativar todos os tipos de verificação (verificação do EC2 e verificação de imagem de contêiner do ECR) desativando o serviço Amazon Inspector ou pode desativar cada tipo de verificação individualmente para uma conta.

P: Posso suspender o Amazon Inspector?

Não. O Amazon Inspector não oferece suporte a um estado suspenso.

Saiba mais sobre os clientes do Amazon Inspector

Visite a página de clientes