Geral

P: O que é o Amazon Inspector?

O Amazon Inspector é um serviço automatizado de gerenciamento de vulnerabilidades que verifica continuamente o Amazon Elastic Compute Cloud (EC2), as funções do AWS Lambda e as imagens de contêiner no Amazon ECR e em ferramentas de integração e entrega contínuas (CI/CD), quase em tempo real, em busca de vulnerabilidades de software e exposição não intencional à rede.

P: Quais são os principais benefícios do Amazon Inspector?

O Amazon Inspector remove a sobrecarga operacional associada à implantação e configuração de uma solução de gerenciamento de vulnerabilidade, permitindo que você implante o Amazon Inspector em todas as contas com uma única etapa. Os benefícios adicionais incluem:

  • Descoberta automatizada e verificação contínua que fornece descobertas de vulnerabilidade quase em tempo real
  • Gerenciamento central, configuração e visualização de descobertas para todas as contas de sua organização, definindo uma conta de administrador delegado (DA)
  • Uma pontuação de risco do Amazon Inspector altamente contextualizada e significativa para cada descoberta que ajuda a definir prioridades de resposta mais precisas
  • Um painel intuitivo do Amazon Inspector para métricas de cobertura, incluindo contas, instâncias do Amazon EC2, funções do Lambda e imagens de contêiner no Amazon ECR e nas ferramentas de CI/CD, quase em tempo real.
  • Maximize a cobertura da avaliação de vulnerabilidades examinando perfeitamente as instâncias do EC2, alternando entre a verificação baseada em atendente e sem atendente (versão de demonstração).
  • Gerencie de maneira centralizada as exportações da lista de materiais de software (SBOM) para todos os recursos monitorados. 
  • Integração com AWS Security Hub e Amazon EventBridge para automatizar fluxos de trabalho e roteamento de tíquetes

P: Como faço para migrar do Amazon Inspector Classic para o novo Amazon Inspector?

P: Você pode desativar o Amazon Inspector Classic simplesmente excluindo todos os modelos de avaliação em sua conta. Para acessar os resultados de execuções de avaliação existentes, você pode baixá-los como relatórios ou exportá-los usando a API Amazon Inspector. Você pode ativar o novo Amazon Inspector com algumas etapas no Console de Gerenciamento da AWS ou usando as novas APIs do Amazon Inspector. Etapas de migração detalhadas podem ser encontradas no Guia do usuário do Amazon Inspector Classic.

P: Qual a diferença entre o Amazon Inspector e o Amazon Inspector Classic?

O Amazon Inspector foi reformulado e reconstruído para criar um novo serviço de gerenciamento de vulnerabilidade. Aqui estão as principais melhorias em relação ao Amazon Inspector Classic:

  • Construído para escala: o novo Amazon Inspector foi desenvolvido para ser dimensionado e o ambiente de nuvem dinâmico. Não há limite para o número de instâncias ou imagens que podem ser verificadas por vez.
  • Suporte para imagens de contêiner e funções do Lambda: o novo Amazon Inspector também verifica imagens de contêiner que residem no Amazon ECR e em ferramentas de CI/CD, e funções do Lambda em busca de vulnerabilidades de software. As descobertas relacionadas ao contêiner também são enviadas para o console do Amazon ECR.
  • Suporte para gerenciamento de várias contas: o novo Amazon Inspector é integrado ao AWS Organizations, permitindo que você delegue uma conta de administrador para o Amazon Inspector para sua organização. Essa conta de Administrador delegado (DA) é uma conta centralizada que consolida todas as descobertas e pode configurar todas as contas de membros.
  • AWS Systems Manager Agent: com o novo Amazon Inspector, você não precisa mais instalar e manter um agente Amazon Inspector autônomo em todas as suas instâncias do Amazon EC2. O novo Amazon Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado, que elimina essa necessidade.
  • Verificação automatizada e contínua: o novo Amazon Inspector detecta automaticamente todas as instâncias recém-lançadas do Amazon EC2, funções do Lambda e as imagens de contêiner qualificadas enviadas para o Amazon ECR e as verifica imediatamente em busca de vulnerabilidades de software e exposição de rede não intencional. Quando ocorre um evento que pode introduzir uma nova vulnerabilidade, os recursos envolvidos são automaticamente verificados novamente. Os eventos que iniciam a nova verificação de um recurso incluem a instalação de um novo pacote em uma instância EC2, a instalação de um patch e a publicação de novas vulnerabilidades e exposições comuns (CVE) que afetam o recurso.
  • Pontuação de risco do Amazon Inspector: o novo Amazon Inspector calcula uma pontuação de risco do Inspector correlacionando informações de CVE atualizadas com fatores temporais e ambientais, como acessibilidade de rede e informações de exploração para adicionar contexto que ajuda a priorizar suas descobertas.
  • Cobertura da avaliação de vulnerabilidades: o novo Amazon Inspector aprimora a avaliação de vulnerabilidades examinando perfeitamente as instâncias do EC2 e alternando entre a verificação baseada em agente e sem agente (versão de demonstração).
  • Exportação da lista de materiais de software (SBOM): o novo Amazon Inspector gerencia e exporta a SBOM de maneira centralizada para todos os recursos monitorados. 

P: Posso usar o Amazon Inspector e o Amazon Inspector Classic simultaneamente na mesma conta?

Sim, você pode usar os dois simultaneamente na mesma conta.

P: Como o serviço de digitalização de imagens de contêiner Amazon Inspector para Amazon ECR é diferente da solução baseada em Amazon ECR Clair?

  Verificação de imagem de contêiner Amazon Inspector Solução baseada em Amazon ECR Clair

Mecanismo de verificação

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades desenvolvido pela AWS que tem suporte integrado para imagens de contêiner que residem no Amazon ECR

Amazon ECR oferece um gerenciado projeto Clair de código aberto como a solução básica de verificação

Cobertura do pacote

Identifica vulnerabilidades em pacotes de sistema operacional (SO) e pacotes de linguagem de programação (como Python, Java e Ruby)

Identifica vulnerabilidades de software apenas em pacotes de sistema operacional

Frequência de verificação

Oferece verificação contínua e verificação on-push

Oferece apenas verificação on-push
Inteligência sobre vulnerabilidades

Fornece inteligência aprimorada sobre vulnerabilidades, como se uma exploração está disponível para uma CVE e corrigida na orientação de remediação da versão do pacote

Fornece apenas informações básicas sobre uma vulnerabilidade de software

Descobertas

As descobertas estão disponíveis nos consoles Amazon Inspector e Amazon ECR, bem como nas Interfaces do Programa da Aplicação (API) e no Kit de Desenvolvimento de Software (SDK) do Amazon Inspector e do Amazon ECR

As descobertas estão disponíveis no console do Amazon ECR e APIs e SDK do Amazon ECR

Pontuação de vulnerabilidade

Fornece uma pontuação contextual do Inspector e pontuações do Common Vulnerability Scoring System (CVSS) v2 e v3 do National Vulnerability Database (NVD) e fornecedores

 Somente pontuações CVSS v2

Integrações de Serviços da AWS

Integrado com AWS Security Hub, AWS Organizations e AWS EventBridge

Nenhuma integração embutida com outros serviços da AWS está disponível

P: Qual é a definição de preço do Amazon Inspector?

Consulte a página de definição de preço do Amazon Inspector para obter os detalhes de preço completos.

P: Há uma avaliação gratuita do Amazon Inspector?

Todas as contas novas no Amazon Inspector são elegíveis para um Teste gratuito de 15 dias para avaliar o serviço e estimar seu custo. Durante o teste, todas as instâncias elegíveis do Amazon EC2, funções do AWS Lambda e imagens de contêiner enviadas para Amazon ECR são continuamente verificadas sem nenhum custo. Você também pode revisar os gastos estimados no console do Amazon Inspector.

P: Em quais regiões o Amazon Inspector está disponível?

O Amazon Inspector está disponível globalmente. A disponibilidade específica por região é listado aqui.

Conceitos básicos

P: Como posso começar?

Você pode ativar o Amazon Inspector para toda a sua organização ou uma conta individual com algumas etapas no Console de Gerenciamento da AWS. Uma vez ativado, o Amazon Inspector descobre automaticamente as instâncias do Amazon EC2 em execução, as funções do Lambda e os repositórios do Amazon ECR e começa imediatamente a verificação contínua das workloads em busca de vulnerabilidades de software e exposição não intencional da rede. Se você é iniciante no Amazon Inspector, há um Teste gratuito de 15 dias também.

P: O que é uma descoberta do Amazon Inspector?

Uma descoberta do Amazon Inspector é uma vulnerabilidade de segurança potencial. Por exemplo, quando o Amazon Inspector detecta vulnerabilidades de software ou abre caminhos de rede para seus recursos de computação, ele cria descobertas de segurança.

P: Posso gerenciar o Amazon Inspector usando minha estrutura do AWS Organizations?

Sim. O Amazon Inspector está integrado ao AWS Organizations. Você pode atribuir uma conta de DA ao Amazon Inspector, que atua como a conta de administrador principal do Amazon Inspector e pode gerenciá-lo e configurá-lo centralmente. A conta do DA pode visualizar e gerenciar centralmente as descobertas de todas as contas que fazem parte da sua organização AWS.

P: Como delego um administrador para o serviço Amazon Inspector?

A conta do AWS Organizations Management pode atribuir uma conta DA para Amazon Inspector no console do Amazon Inspector ou usando APIs do Amazon Inspector.

P: Devo ativar tipos específicos de verificação (ou seja, verificação do Amazon EC2, de funções do Lambda ou de imagens de contêiner do Amazon ECR)?

Se você estiver iniciando o Amazon Inspector pela primeira vez, todos os tipos de verificação, incluindo a verificação do EC2, do Lambda e de imagem de contêiner ECR, serão ativados por padrão. No entanto, você pode desativar qualquer um ou todos eles em todas as contas da sua organização. Os usuários existentes podem ativar novos recursos no console do Amazon Inspector ou usando as APIs do Amazon Inspector.

P: Preciso de algum agente para usar o Amazon Inspector?

Não, você não precisa de um agente para verificar. Para a verificação de vulnerabilidades das instâncias do Amazon EC2, você pode usar o AWS Systems Manager Agent (SSM Agent) para uma solução baseada em agentes. O Amazon Inspector também oferece escaneamento sem agente (prévia) se você não tiver o SSM Agent implantado ou configurado. Para avaliar a acessibilidade da rede das instâncias do Amazon EC2, a verificação de vulnerabilidade de imagens de contêineres ou a verificação de vulnerabilidade das funções do Lambda, nenhum agente é necessário. 

P: Como posso instalar e configurar o Amazon Systems Manager Agent?

Para verificar com êxito as instâncias do Amazon EC2 em busca de vulnerabilidades de software, o Amazon Inspector exige que essas instâncias sejam gerenciadas pelo AWS Systems Manager e o SSM Agent. Consulte Pré-requisitos do gerente de sistemas no Guia do usuário do AWS Systems Manager para obter instruções para ativar e configurar o Systems Manager. Para obter informações sobre instâncias gerenciadas, consulte a seção Managed Instances no Guia do usuário do AWS Systems Manager.

P: Como posso saber quais repositórios do Amazon ECR estão configurados para verificação? E como faço para gerenciar quais repositórios devem ser configurados para verificação?

O Amazon Inspector oferece suporte à configuração de regras de inclusão para selecionar quais repositórios ECR são verificados. As regras de inclusão podem ser criadas e gerenciadas na página de configurações do registro no console ECR ou usando APIs ECR. Os repositórios ECR que correspondem às regras de inclusão são configurados para verificação. O status detalhado da verificação dos repositórios está disponível nos consoles ECR e Amazon Inspector.

Trabalhar com o Amazon Inspector

P: Como posso saber se meus recursos estão sendo verificados ativamente?

O painel de cobertura ambiental no painel do Amazon Inspector mostra as métricas para contas, instâncias do Amazon EC2, funções do Lambda e repositórios do Amazon ECR sendo ativamente verificados pelo Amazon Inspector. Cada instância e imagem tem um status de verificação: Scanning (Verificando) ou Not Scanning (Não verificando). Scanning significa que o recurso está sendo verificado continuamente, quase em tempo real. Um status Not Scanning pode significar que a verificação inicial ainda não foi realizada, o sistema operacional não é compatível ou algo mais está impedindo a verificação.

P: Com que frequência as novas verificações automatizadas são realizadas?

Todas as verificações são realizadas automaticamente com base em eventos. Todas as workloads são inicialmente digitalizadas na descoberta e subsequentemente digitalizadas novamente.

  • Para instâncias do Amazon EC2: para digitalizações baseadas em atendente SSM, são iniciadas quando um novo pacote de software é instalado ou desinstalado em uma instância, quando um novo CVE é publicado e depois que um pacote vulnerável é atualizado (para confirmar que não há vulnerabilidades adicionais). Para digitalizações sem atendente, as digitalizações são realizadas a cada 24 horas.
  • Para imagens de contêiner do Amazon ECR: as novas digitalizações automatizadas são iniciadas para imagens de contêiner qualificadas quando um novo CVE que afeta uma imagem é publicado. As novas digitalizações automáticas de imagens de contêiner são baseadas nas durações de redigitalização configuradas para a data de envio e a data de extração da imagem no console ou nas APIs do Amazon Inspector. Se a data de envio de uma imagem for menor que a “Duração da nova digitalização da data de envio” configurada e a imagem tiver sido extraída dentro da “Duração da nova verificação da data de retirada” configurada, a imagem do contêiner continuará sendo monitorada e as novas digitalizações automáticas serão iniciadas quando um novo CVE afetando uma imagem for publicado. As configurações de duração da nova digitalização disponíveis para a data de envio da imagem são 90 dias (por padrão), 14 dias, 30 dias, 60 dias, 180 dias ou vitalício. As configurações de duração da nova digitalização para a data de retirada da imagem são 90 dias (por padrão), 14 dias, 30 dias, 60 dias ou 180 dias.
  • Para funções do Lambda: todas as novas funções do Lambda são inicialmente avaliadas após a descoberta e continuamente reavaliadas quando há uma atualização na função do Lambda ou um novo CVE é publicado.

P: Por quanto tempo as imagens de contêiner são examinadas continuamente outra vez com o Amazon Inspector?

As imagens de contêiner que residem nos repositórios do Amazon ECR configurados para digitalização contínua são digitalizadas pelo período definido no console ou nas APIs do Amazon Inspector. As configurações de duração da nova digitalização disponíveis para a data de envio da imagem são 90 dias (por padrão), 14 dias, 30 dias, 60 dias, 180 dias ou vitalícias. As configurações de duração da nova digitalização para a data de retirada da imagem são 90 dias (por padrão), 14 dias, 30 dias, 60 dias ou 180 dias.
 
  • Quando a digitalização do Amazon Inspector ECR é ativada, o Amazon Inspector coleta apenas imagens enviadas ou extraídas nos últimos 30 dias para digitalização, mas as digitaliza continuamente para a nova digitalização durante o período configurado para data de envio e de retirada, ou seja, 90 dias (por padrão), 14 dias, 30 dias, 60 dias, 180 dias ou vitalício. Se a data de envio de uma imagem for menor que a “Duração da nova digitalização da data de envio” configurada E a imagem tiver sido extraída dentro da “Duração da nova verificação da data de retirada” configurada, a imagem do contêiner continuará sendo monitorada e as novas digitalizações automáticas serão iniciadas quando um novo CVE afetando uma imagem for publicado. Por exemplo, ao ativar a digitalização do Amazon Inspector ECR, o Amazon Inspector coleta imagens enviadas ou retiradas nos últimos 30 dias para digitalização. No entanto, após a ativação, se você selecionar uma duração de nova digitalização de 180 dias para as configurações das datas de envio e de retirada, o Amazon Inspector continuará a digitalizar as imagens se elas tiverem sido enviadas nos últimos 180 dias ou tiverem sido retiradas pelo menos uma vez nos últimos 180 dias. Se uma imagem não tiver sido enviada ou retirada nos últimos 180 dias, o Amazon Inspector deixará de monitorá-la.
  • Todas as imagens enviadas para o ECR após a ativação do escaneamento ECR do Amazon Inspector são digitalizadas continuamente pela duração configurada em “Duração da redigitalização da data de envio” e “Duração da redigitalização da data de retirada”. As configurações de duração da nova digitalização disponíveis para a data de envio da imagem são 90 dias (por padrão), 14 dias, 30 dias, 60 dias, 180 dias ou vitalícias. As configurações de duração da nova digitalização para a data de retirada da imagem são 90 dias (por padrão), 14 dias, 30 dias, 60 dias ou 180 dias. A duração da redigitalização automática é calculada com base na data do último envio ou retirada de uma imagem de contêiner. Por exemplo, depois de ativar a digitalização do Amazon Inspector ECR, se você selecionar uma duração de redigitalização de 180 dias para as configurações das datas de envio e de retirada, o Amazon Inspector continuará a digitalizar as imagens se elas tiverem sido enviadas nos últimos 180 dias ou tiverem sido retiradas pelo menos uma vez nos últimos 180 dias. No entanto, se uma imagem não tiver sido enviada ou retirada nos últimos 180 dias, o Amazon Inspector deixará de monitorá-la.
  • Se a imagem estiver no estado de “elegibilidade de digitalização expirada”, você poderá extraí-la para trazê-la de volta ao monitoramento do Amazon Inspector. A imagem será digitalizada continuamente de acordo com as durações de novas digitalizações de datas de envio e de retirada configuradas a partir da data da última retirada.

P: Posso excluir meus recursos da digitalização?

  • Em instâncias do Amazon EC2: sim, uma instância do EC2 pode ser excluída da verificação adicionando uma tag de recurso. Você pode usar a chave “InspectorEc2Exclusion”, e o valor é <optional>.
  • Em imagens de contêiner que residem no Amazon ECR: sim. Embora você possa selecionar quais repositórios do Amazon ECR são configurados para verificação, todas as imagens em um repositório serão verificadas. É possível criar regras de inclusão para selecionar quais repositórios devem ser verificados.
  • Para funções do Lambda: sim, você pode excluir uma função do Lambda da verificação adicionando uma tag de recurso. Para verificação padrão, use a chave “InspectorExclusion” e o valor “LambdaStandardScanning”. Para leitura de código, use a chave “InspectorCodeExclusion” e o valor “LambdaCodeScanning”.

P: Como usar o Amazon Inspector para avaliar minhas funções do Lambda em busca de vulnerabilidades de segurança?

Em uma estrutura de várias contas, você pode ativar o Amazon Inspector para avaliações de vulnerabilidades do Lambda em todas as suas contas na AWS Organization. Para isso, você pode usar o console ou as APIs do Amazon Inspector por meio da conta do Delegated Administrator (DA – Administrador delegado), enquanto outras contas de membros podem ativar o Amazon Inspector para suas próprias contas se a equipe de segurança central ainda não tiver feito isso. As contas que não fazem parte da AWS Organization podem ativar o Amazon Inspector em suas contas individuais por meio do console ou das APIs do Amazon Inspector.

P: Se uma função do Lambda tiver várias versões, qual versão o Amazon Inspector avaliará?

O Amazon Inspector monitorará e avaliará continuamente apenas a versão $LATEST. As novas verificações automatizadas continuarão apenas para a versão mais recente, portanto, novas descobertas serão geradas apenas para a versão mais recente. No console, você poderá ver as descobertas de qualquer versão selecionando a versão no menu suspenso.

P: É possível ativar a verificação de código do Lambda sem ativar a verificação padrão do Lambda?

Não. Há duas opções: ativar apenas a verificação padrão do Lambda ou habilitar a verificação padrão e de código do Lambda juntas. A verificação padrão do Lambda fornece proteção fundamental de segurança contra dependências vulneráveis usadas na aplicação implantada como funções do Lambda e camadas de associação. A verificação de código do Lambda aumenta o valor da segurança ao verificar o código de sua aplicação própria personalizada em uma função do Lambda em busca de vulnerabilidades de segurança de código, como falhas de injeção, vazamentos de dados, criptografia fraca ou segredos incorporados.

P: Como a alteração da frequência de coleta de inventário SSM dos 30 minutos padrão para 12 horas afeta a verificação contínua feita pelo Amazon Inspector?

Alterar a frequência de coleta de inventário SSM padrão pode ter um impacto na natureza contínua da verificação. O Amazon Inspector depende do SSM Agent para coletar o inventário de aplicações e gerar descobertas. Se a duração do inventário de aplicações aumentar para além do padrão de 30 minutos, isso atrasará a detecção de alterações no inventário de aplicações, e novas descobertas poderão ser atrasadas.

P: O que é a pontuação de risco do Amazon Inspector?

A pontuação de risco do Amazon Inspector é uma pontuação altamente contextualizada gerada para cada descoberta, correlacionando informações de vulnerabilidades e exposições comuns (CVE) com resultados de acessibilidade de rede, dados de exploração e tendências de mídias sociais. Isso facilita a priorização das descobertas e a concentração nas descobertas mais essenciais e nos recursos vulneráveis. Você pode ver como a pontuação de risco do Inspetor foi calculada e quais fatores influenciaram a pontuação na guia Inspector Score (Pontuação do Inspector) no painel lateral Findings Details (Detalhes das descobertas).

Por exemplo: Há um novo CVE identificado em sua instância do Amazon EC2, que só pode ser explorado remotamente. Se as verificações contínuas de acessibilidade de rede do Amazon Inspector também descobrirem que a instância não pode ser acessada pela Internet, ele saberá que a vulnerabilidade tem menos probabilidade de ser explorada. Portanto, o Amazon Inspector correlaciona os resultados da verificação com o CVE para ajustar a pontuação de risco para baixo, refletindo com mais precisão o impacto do CVE nessa instância específica.

P: Como a gravidade da descoberta é determinada?

Pontuação do Amazon Inspector  Gravidade 
0 Informativa
0,2 a 3,9 Baixa
4,0 a 6,9 Média
7,0 a 8,9 Alta
9,0 a 10,0 Crítica

P: Como funcionam as regras de supressão?

O Amazon Inspector permite suprimir descobertas com base nos critérios personalizados que você define. Você pode criar regras de supressão para descobertas que são consideradas aceitáveis por sua organização.

P: Como posso exportar minhas descobertas e o que isso inclui?

Você pode gerar relatórios em vários formatos (CSV ou JSON) com algumas etapas no console do Amazon Inspector ou por meio das APIs do Amazon Inspector. Você pode baixar um relatório completo com todas as descobertas ou gerar e baixar um relatório personalizado com base nos filtros de visualização definidos no console.

P: É possível ativar a verificação de código do Lambda sem ativar a verificação padrão do Lambda?

Não. Há duas opções: ativar apenas a verificação padrão do Lambda ou habilitar a verificação padrão e de código do Lambda juntas. A verificação padrão do Lambda fornece proteção fundamental de segurança contra dependências vulneráveis usadas na aplicação implantada como funções do Lambda e camadas de associação. A verificação de código do Lambda aumenta o valor da segurança ao verificar o código de sua aplicação própria personalizada em uma função do Lambda em busca de vulnerabilidades de segurança de código, como falhas de injeção, vazamentos de dados, criptografia fraca ou segredos incorporados.

P: Como posso exportar SBOMs para meus recursos e o que eles incluem?

É possível gerar e exportar SBOMs para todos os recursos monitorados pelo Amazon Inspector, em vários formatos (CycloneDx ou SPDX), com algumas etapas no console do Amazon Inspector ou por meio das APIs do Amazon Inspector. Você pode baixar um relatório completo com o SBOM para todos os recursos ou gerar e baixar seletivamente SBOMs para alguns recursos selecionados com base nos filtros de visualização definidos.

P: Como faço para ativar a verificação sem agente para minha conta? 

Para clientes atuais do Amazon Inspector que usam uma única conta, você pode ativar a verificação sem agente (versão de demonstração) visitando a página de gerenciamento de contas no console do Amazon Inspector ou usando APIs.

Para clientes atuais do Amazon Inspector que usam o AWS Organizations, seu administrador delegado precisa migrar completamente toda a organização para uma solução sem agente ou continuar usando exclusivamente a solução baseada em agentes do SSM. Você pode alterar a configuração do modo de verificação na página de configurações do EC2 no console ou por meio de APIs.

Para novos clientes do Amazon Inspector, durante o período de pré-visualização da verificação sem agente, as instâncias são verificadas no modo de verificação baseada em agente quando você ativa a verificação do EC2. Você pode alternar para o modo de verificação híbrida, se necessário. No modo de verificação híbrida, o Amazon Inspector conta com SSM Agents para coleta de inventário de aplicações para realizar avaliações de vulnerabilidade e recorre automaticamente à verificação sem agente para instâncias que não têm SSM Agents instalados ou configurados.

P: Qual é a frequência das verificações sem agente?

O Amazon Inspector acionará automaticamente uma verificação a cada 24 horas para instâncias marcadas para verificação sem agente (versão de demonstração). Não haverá alteração no comportamento de verificação das instâncias marcadas para varreduras baseadas em agentes do SSM. 

P: Onde posso ver quais instâncias estão sendo verificadas com agente e sem agente quando estou usando o modo de verificação híbrida para verificação do EC2?

Você pode ver o modo de digitalização na coluna “uso monitorado” simplesmente visitando as páginas de cobertura de recursos no console do Amazon Inspector ou usando as APIs de cobertura do Amazon Inspector. 

P: É possível que contas de membros em uma configuração de várias contas modifiquem o modo de verificação do EC2 para suas respectivas contas?

Não, em uma configuração de várias contas, somente administradores delegados podem configurar o modo de verificação para toda a organização.

P: Como faço para integrar o Amazon Inspector em minhas ferramentas de CI/CD para verificação de imagens de contêineres?

As equipes de aplicações e plataformas podem integrar o Amazon Inspector em seus pipelines de criação usando plug-ins do Amazon Inspector criados especificamente para várias ferramentas de CI/CD, como Jenkins e TeamCity. Esses plug-ins estão disponíveis no mercado de cada ferramenta de CI/CD respectiva. Depois que o plug-in estiver instalado, você poderá adicionar uma etapa no pipeline para realizar uma avaliação da imagem do contêiner e realizar ações, como bloquear o pipeline com base nos resultados da avaliação. Quando as vulnerabilidades são identificadas na avaliação, são geradas descobertas de segurança acionáveis. Essas descobertas incluem detalhes de vulnerabilidade, recomendações de remediação e detalhes de explorabilidade. Eles são devolvidos à ferramenta de CI/CD nos formatos JSON e CSV, que podem ser traduzidos em um painel legível por humanos pelo plug-in Amazon Inspector ou podem ser baixados por equipes.

P: Preciso permitir que o Amazon Inspector use a integração CI/CD do Amazon Inspector para verificação de imagens de contêineres?

Não, você não precisa habilitar o Amazon Inspector para usar esse recurso, desde que tenha uma conta ativa da AWS.

P: Posso verificar minhas instâncias privadas do Amazon EC2 configurando o Amazon Inspector como um endpoint da VPC?

Sim. O Amazon Inspector usa o SSM Agent para coletar o inventário de aplicações, que pode ser configurado como Endpoints da Amazon Virtual Private Cloud (VPC) para evitar o envio de qualquer informação pela Internet.

P: Para quais sistemas operacionais o Amazon Inspector oferece suporte?

Você pode encontrar a lista de sistemas operacionais (SO) com suporte aqui.

P: Para quais pacotes de linguagem de programação o Amazon Inspector oferece suporte para verificação de imagens de contêiner?

Você pode encontrar a lista de pacotes de linguagem de programação com suporte aqui.

P: O Amazon Inspector funcionará com instâncias que usam conversão de endereços de rede (NAT)?

Sim. As instâncias que usam NAT são automaticamente compatíveis com o Amazon Inspector.

P: Eu uso um proxy para minhas instâncias. O Amazon Inspector funcionará com essas instâncias?

Sim. Veja mais informações sobre como configurar o SSM Agent para usar um proxy.

P: O Amazon Inspector pode ser integrado a outros serviços da AWS para registro em log e notificações?

O Amazon Inspector se integra ao Amazon EventBridge para fornecer notificação para eventos, como uma nova descoberta, mudança de estado de uma descoberta ou criação de uma regra de supressão. Amazon Inspector também se integra com AWS CloudTrail para registro de chamadas.

P: O Amazon Inspector oferece verificações de “Benchmarks de configuração de segurança do sistema operacional CIS”?

Sim. Você pode executar o Amazon Inspector para realizar avaliações direcionadas e sob demanda em relação aos benchmarks de configuração do CIS no nível do sistema operacional para instâncias do Amazon EC2 em toda a sua organização da AWS.

P: O Amazon Inspector funciona com soluções de parceiros da AWS?

Sim. Veja mais informações em Parceiros do Amazon Inspector.

P: Posso desativar o Amazon Inspector?

Sim. Você pode desativar todos os tipos de verificação (verificação do Amazon EC2, de imagens de contêiner do Amazon ECR e de funções do Lambda) desativando o serviço Amazon Inspector ou pode desativar cada tipo de verificação individualmente para uma conta.

P: Posso suspender o Amazon Inspector?

Não. O Amazon Inspector não oferece suporte a um estado suspenso.