Geral

P: O que é o Amazon Inspector?

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade automatizado que verifica continuamente o Amazon Elastic Compute Cloud (EC2), funções do AWS Lambda e workloads de contêiner em busca de vulnerabilidades de software e exposição não intencional da rede.

P: Quais são os principais benefícios do Amazon Inspector?

O Amazon Inspector remove a sobrecarga operacional associada à implantação e configuração de uma solução de gerenciamento de vulnerabilidade, permitindo que você implante o Amazon Inspector em todas as contas com uma única etapa. Os benefícios adicionais incluem:

  • Descoberta automatizada e verificação contínua que fornece descobertas de vulnerabilidade quase em tempo real
  • Gerenciamento central, configuração e visualização de descobertas para todas as contas de sua organização, definindo uma conta de administrador delegado (DA)
  • Uma pontuação de risco do Amazon Inspector altamente contextualizada e significativa para cada descoberta que ajuda a definir prioridades de resposta mais precisas
  • Um painel intuitivo do Amazon Inspector para métricas de cobertura, incluindo contas, instâncias do Amazon EC2, funções do Lambda e repositórios do Amazon Elastic Container Registry (ECR) ativamente verificados pelo Amazon Inspector
  • Integração com AWS Security Hub e Amazon EventBridge para automatizar fluxos de trabalho e roteamento de tíquetes

P: Qual a diferença entre o Amazon Inspector e o Amazon Inspector Classic?

O Amazon Inspector foi reformulado e reconstruído para criar um novo serviço de gerenciamento de vulnerabilidade. Aqui estão as principais melhorias em relação ao Amazon Inspector Classic:

  • Construído para escala: o novo Amazon Inspector foi desenvolvido para ser dimensionado e o ambiente de nuvem dinâmico. Não há limite para o número de instâncias ou imagens que podem ser verificadas por vez.
  • Suporte para imagens de contêiner e funções do Lambda: o novo Amazon Inspector também verifica imagens de contêiner que residem no Amazon ECR e funções do Lambda em busca de vulnerabilidades de software. As descobertas relacionadas ao contêiner também são enviadas para o console do Amazon ECR.
  • Suporte para gerenciamento de várias contas: o novo Amazon Inspector é integrado ao AWS Organizations, permitindo que você delegue uma conta de administrador para o Amazon Inspector para sua organização. Essa conta de Administrador delegado (DA) é uma conta centralizada que consolida todas as descobertas e pode configurar todas as contas de membros.
  • AWS Systems Manager Agent: com o novo Amazon Inspector, você não precisa mais instalar e manter um agente Amazon Inspector autônomo em todas as suas instâncias do Amazon EC2. O novo Amazon Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado, que elimina essa necessidade.
  • Verificação automatizada e contínua: o novo Amazon Inspector detecta automaticamente todas as instâncias recém-lançadas do Amazon EC2, funções do Lambda e as imagens de contêiner qualificadas enviadas para o Amazon ECR e as verifica imediatamente em busca de vulnerabilidades de software e exposição de rede não intencional. Quando ocorre um evento que pode introduzir uma nova vulnerabilidade, os recursos envolvidos são automaticamente verificados novamente. Os eventos que iniciam a nova verificação de um recurso incluem a instalação de um novo pacote em uma instância EC2, a instalação de um patch e a publicação de novas vulnerabilidades e exposições comuns (CVE) que afetam o recurso.
  • Pontuação de risco do Amazon Inspector: o novo Amazon Inspector calcula uma pontuação de risco do Inspector correlacionando informações de CVE atualizadas com fatores temporais e ambientais, como acessibilidade de rede e informações de exploração para adicionar contexto que ajuda a priorizar suas descobertas.

P: Posso usar o Amazon Inspector e o Amazon Inspector Classic simultaneamente na mesma conta?

Sim, você pode usar os dois simultaneamente na mesma conta.

P: Como faço para migrar do Amazon Inspector Classic para o novo Amazon Inspector?

Você pode desativar o Amazon Inspector Classic simplesmente excluindo todos os modelos de avaliação em sua conta. Para acessar os resultados de execuções de avaliação existentes, você pode baixá-los como relatórios ou exportá-los usando a API Amazon Inspector. Você pode ativar o novo Amazon Inspector com alguns cliques no Console de Gerenciamento da AWS ou usando as novas APIs do Amazon Inspector. Você pode encontrar as etapas de migração detalhadas no Guia do usuário do Amazon Inspector Classic.

P: Como o serviço de verificação de imagens de contêiner Amazon Inspector para Amazon ECR é diferente da solução baseada em Amazon ECR Clair?

  Verificação de imagem de contêiner Amazon Inspector Solução baseada em Amazon ECR Clair

Mecanismo de verificação

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades desenvolvido pela AWS que tem suporte integrado para imagens de contêiner que residem no Amazon ECR

Amazon ECR oferece um gerenciado projeto Clair de código aberto como a solução básica de verificação

Cobertura do pacote

Identifica vulnerabilidades em pacotes de sistema operacional (SO) e pacotes de linguagem de programação (como Python, Java e Ruby)

Identifica vulnerabilidades de software apenas em pacotes de sistema operacional

Frequência de verificação

Oferece verificação contínua e verificação on-push

Oferece apenas verificação on-push

Inteligência sobre vulnerabilidades

Fornece inteligência aprimorada sobre vulnerabilidades, como se uma exploração está disponível para uma CVE e corrigida na orientação de remediação da versão do pacote

Fornece apenas informações básicas sobre uma vulnerabilidade de software

Descobertas

As descobertas estão disponíveis nos consoles Amazon Inspector e Amazon ECR, bem como nas Interfaces do Programa da Aplicação (API) e no Kit de Desenvolvimento de Software (SDK) do Amazon Inspector e do Amazon ECR

As descobertas estão disponíveis no console do Amazon ECR e APIs e SDK do Amazon ECR

Pontuação de vulnerabilidade

Fornece uma pontuação contextual do Inspector e pontuações do Common Vulnerability Scoring System (CVSS) v2 e v3 do National Vulnerability Database (NVD) e fornecedores

Somente pontuações CVSS v2

Integrações de Serviços da AWS

Integrado com AWS Security Hub, AWS Organizations e AWS EventBridge

Nenhuma integração embutida com outros serviços da AWS está disponível

P: Qual é a definição de preço do Amazon Inspector?

Consulte a página de definição de preço do Amazon Inspector para obter os detalhes de preço completos.

P: Há uma avaliação gratuita do Amazon Inspector?

Todas as contas novas no Amazon Inspector são elegíveis para um Teste gratuito de 15 dias para avaliar o serviço e estimar seu custo. Durante o teste, todas as instâncias elegíveis do Amazon EC2, funções do AWS Lambda e imagens de contêiner enviadas para Amazon ECR são continuamente verificadas sem nenhum custo. Você também pode revisar os gastos estimados no console do Amazon Inspector.

P: Em quais regiões o Amazon Inspector está disponível?

O Amazon Inspector está disponível globalmente. A disponibilidade específica por região é listado aqui.

Conceitos básicos

P: Como posso começar?

Você pode ativar o Amazon Inspector para toda a sua organização ou uma conta individual com alguns cliques no Console de Gerenciamento da AWS. Uma vez ativado, o Amazon Inspector descobre automaticamente as instâncias do Amazon EC2 em execução, as funções do Lambda e os repositórios do Amazon ECR e começa imediatamente a verificação contínua das workloads em busca de vulnerabilidades de software e exposição não intencional da rede. Se você é iniciante no Amazon Inspector, há um Teste gratuito de 15 dias também.

P: O que é uma descoberta do Amazon Inspector?

Uma descoberta do Amazon Inspector é uma vulnerabilidade de segurança potencial. Por exemplo, quando o Amazon Inspector detecta vulnerabilidades de software ou abre caminhos de rede para seus recursos de computação, ele cria descobertas de segurança.

P: Posso gerenciar o Amazon Inspector usando minha estrutura do AWS Organizations?

Sim. O Amazon Inspector está integrado ao AWS Organizations. Você pode atribuir uma conta de DA ao Amazon Inspector, que atua como a conta de administrador principal do Amazon Inspector e pode gerenciá-lo e configurá-lo centralmente. A conta do DA pode visualizar e gerenciar centralmente as descobertas de todas as contas que fazem parte da sua organização AWS.

P: Como delego um administrador para o serviço Amazon Inspector?

A conta do AWS Organizations Management pode atribuir uma conta DA para Amazon Inspector no console do Amazon Inspector ou usando APIs do Amazon Inspector.

P: Devo ativar tipos específicos de verificação (ou seja, verificação do Amazon EC2, de funções do Lambda ou de imagens de contêiner do Amazon ECR)?

Se você estiver iniciando o Amazon Inspector pela primeira vez, todos os tipos de verificação, incluindo a verificação do EC2, do Lambda e de imagem de contêiner ECR, serão ativados por padrão. No entanto, você pode desativar qualquer um ou todos eles em todas as contas da sua organização. Os usuários existentes podem ativar novos recursos no console do Amazon Inspector ou usando as APIs do Amazon Inspector.

P: Preciso de algum agente para usar o Amazon Inspector?

Depende de quais recursos você está verificando. O AWS Systems Manager Agent (SSM Agent) é necessário para a verificação de vulnerabilidade de instâncias do Amazon EC2. Nenhum agente é necessário para acessibilidade de rede de instâncias do Amazon EC2 e verificação de vulnerabilidade de imagens de contêiner ou para verificação de vulnerabilidade de funções do Lambda.

P: Como posso instalar e configurar o Amazon Systems Manager Agent?

Para verificar com êxito as instâncias do Amazon EC2 em busca de vulnerabilidades de software, o Amazon Inspector exige que essas instâncias sejam gerenciadas pelo AWS Systems Manager e o SSM Agent. Consulte Pré-requisitos do gerente de sistemas no Guia do usuário do AWS Systems Manager para obter instruções para ativar e configurar o Systems Manager. Para obter informações sobre instâncias gerenciadas, consulte a seção Managed Instances no Guia do usuário do AWS Systems Manager.

P: Como posso saber quais repositórios do Amazon ECR estão configurados para verificação? E como faço para gerenciar quais repositórios devem ser configurados para verificação?

O Amazon Inspector oferece suporte à configuração de regras de inclusão para selecionar quais repositórios ECR são verificados. As regras de inclusão podem ser criadas e gerenciadas na página de configurações do registro no console ECR ou usando APIs ECR. Os repositórios ECR que correspondem às regras de inclusão são configurados para verificação. O status detalhado da verificação dos repositórios está disponível nos consoles ECR e Amazon Inspector.

Trabalhar com o Amazon Inspector

P: Como posso saber se meus recursos estão sendo verificados ativamente?

O painel de cobertura ambiental no painel do Amazon Inspector mostra as métricas para contas, instâncias do Amazon EC2, funções do Lambda e repositórios do Amazon ECR sendo ativamente verificados pelo Amazon Inspector. Cada instância e imagem tem um status de verificação: Scanning (Verificando) ou Not Scanning (Não verificando). Scanning significa que o recurso está sendo verificado continuamente, quase em tempo real. Um status Not Scanning pode significar que a verificação inicial ainda não foi realizada, o sistema operacional não é compatível ou algo mais está impedindo a verificação.

P: Com que frequência as novas verificações automatizadas são realizadas?

Todas as verificações são realizadas automaticamente com base em eventos. Todas as workloads são inicialmente verificadas na descoberta e subsequentemente verificadas novamente.

  • Para instâncias do Amazon EC2: as novas verificações são iniciadas quando um novo pacote de software é instalado ou desinstalado em uma instância, quando um novo CVE é publicado e depois que um pacote vulnerável é atualizado (para confirmar que não há vulnerabilidades adicionais).
  • Para imagens de contêiner do Amazon ECR: as novas verificações automatizadas são iniciadas para imagens de contêiner qualificadas quando um novo CVE que afeta uma imagem é publicado. As novas verificações automatizadas para imagens de contêiner continuam pela duração configurada no console ou nas APIs do Amazon Inspector. As configurações disponíveis são Lifetime (Vitalício) (por padrão), 180 dias ou 30 dias.
  • Para funções do Lambda: todas as novas funções do Lambda são inicialmente avaliadas após a descoberta e continuamente reavaliadas quando há uma atualização na função do Lambda ou um novo CVE é publicado.

P: Por quanto tempo as imagens de contêiner são examinadas continuamente outra vez com o Amazon Inspector?

As imagens de contêiner que residem nos repositórios do Amazon ECR configurados para verificação contínua são verificadas pelo período definido no console ou nas APIs do Inspector. As configurações disponíveis são Lifetime (Vitalício) (por padrão), 180 dias ou 30 dias.
 
  • Quando a verificação ECR do Amazon Inspector é ativada, o Amazon Inspector apenas coleta imagens enviadas nos últimos 30 dias para verificação, mas as verifica continuamente pela duração configurada, ou seja, Lifetime (Vitalício) (por padrão), 180 dias ou 30 dias.
  • Todas as imagens enviadas ao ECR após a ativação da verificação do Amazon Inspector ECR são continuamente verificadas para a duração configurada, ou seja, Lifetime (Vitalício) (por padrão), 180 dias ou 30 dias.

P: Posso impedir que meus recursos sejam verificados?

  • Para instâncias do Amazon EC2: não. O Amazon Inspector descobre automaticamente todas as instâncias do EC2 em uma conta e verifica continuamente todas as instâncias com o Amazon SSM Agent configurado.
  • Para imagens de contêiner que residem no Amazon ECR: sim. Embora você possa selecionar quais repositórios do Amazon ECR são configurados para verificação, todas as imagens em um repositório serão verificadas. É possível criar regras de inclusão para selecionar quais repositórios devem ser verificados.
  • Para funções do Lambda: sim, você pode excluir uma função do Lambda da verificação adicionando uma tag de recurso. Para verificação padrão, use a chave “InspectorExclusion” e o valor “LambdaStandardScanning”. Para leitura de código, use a chave “InspectorCodeExclusion” e o valor “LambdaCodeScanning”.

P: Como usar o Amazon Inspector para avaliar minhas funções do Lambda em busca de vulnerabilidades de segurança?

Em uma estrutura de várias contas, você pode ativar o Amazon Inspector para avaliações de vulnerabilidades do Lambda em todas as suas contas na AWS Organization. Para isso, você pode usar o console ou as APIs do Amazon Inspector por meio da conta do Delegated Administrator (DA – Administrador delegado), enquanto outras contas de membros podem ativar o Amazon Inspector para suas próprias contas se a equipe de segurança central ainda não tiver feito isso. As contas que não fazem parte da AWS Organization podem ativar o Amazon Inspector em suas contas individuais por meio do console ou das APIs do Amazon Inspector.

P: Se uma função do Lambda tiver várias versões, qual versão o Amazon Inspector avaliará?

O Amazon Inspector monitorará e avaliará continuamente apenas a versão $LATEST. As novas verificações automatizadas continuarão apenas para a versão mais recente, portanto, novas descobertas serão geradas apenas para a versão mais recente. No console, você poderá ver as descobertas de qualquer versão selecionando a versão no menu suspenso.

P: É possível ativar a verificação de código do Lambda sem ativar a verificação padrão do Lambda?

Não. Há duas opções: ativar apenas a verificação padrão do Lambda ou habilitar a verificação padrão e de código do Lambda juntas. A verificação padrão do Lambda fornece proteção fundamental de segurança contra dependências vulneráveis usadas na aplicação implantada como funções do Lambda e camadas de associação. A verificação de código do Lambda aumenta o valor da segurança ao verificar o código de sua aplicação própria personalizada em uma função do Lambda em busca de vulnerabilidades de segurança de código, como falhas de injeção, vazamentos de dados, criptografia fraca ou segredos incorporados.

P: Como a alteração da frequência de coleta de inventário SSM dos 30 minutos padrão para 12 horas afeta a verificação contínua feita pelo Amazon Inspector?

Alterar a frequência de coleta de inventário SSM padrão pode ter um impacto na natureza contínua da verificação. O Amazon Inspector depende do SSM Agent para coletar o inventário de aplicações e gerar descobertas. Se a duração do inventário de aplicações aumentar para além do padrão de 30 minutos, isso atrasará a detecção de alterações no inventário de aplicações, e novas descobertas poderão ser atrasadas.

P: O que é a pontuação de risco do Amazon Inspector?

A pontuação de risco do Amazon Inspector é uma pontuação altamente contextualizada gerada para cada descoberta, correlacionando informações de vulnerabilidades e exposições comuns (CVE) com resultados de acessibilidade de rede, dados de exploração e tendências de mídias sociais. Isso facilita a priorização das descobertas e a concentração nas descobertas mais essenciais e nos recursos vulneráveis. Você pode ver como a pontuação de risco do Inspetor foi calculada e quais fatores influenciaram a pontuação na guia Inspector Score (Pontuação do Inspector) no painel lateral Findings Details (Detalhes das descobertas).

Por exemplo: Há um novo CVE identificado em sua instância do Amazon EC2, que só pode ser explorado remotamente. Se as verificações contínuas de acessibilidade de rede do Amazon Inspector também descobrirem que a instância não pode ser acessada pela Internet, ele saberá que a vulnerabilidade tem menos probabilidade de ser explorada. Portanto, o Amazon Inspector correlaciona os resultados da verificação com o CVE para ajustar a pontuação de risco para baixo, refletindo com mais precisão o impacto do CVE nessa instância específica.

P: Como a gravidade da descoberta é determinada?

Pontuação do Inspector  Gravidade 
0 Informativa
0,2 a 3,9 Baixa
4,0 a 6,9 Média
7,0 a 8,9 Alta
9,0 a 10,0 Crítica

P: Como funcionam as regras de supressão?

O Amazon Inspector permite suprimir descobertas com base nos critérios personalizados que você define. Você pode criar regras de supressão para descobertas que são consideradas aceitáveis por sua organização.

P: Como posso exportar minhas descobertas e o que isso inclui?

Você pode gerar relatórios em vários formatos (CSV ou JSON) com alguns cliques no console do Amazon Inspector ou por meio das APIs do Amazon Inspector. Você pode baixar um relatório completo com todas as descobertas ou gerar e baixar um relatório personalizado com base nos filtros de visualização definidos no console.

P: Como posso exportar SBOMs para meus recursos e o que eles incluem?

É possível gerar e exportar SBOMs para todos os recursos monitorados pelo Amazon Inspector, em vários formatos (CycloneDx ou SPDX), com algumas etapas no console do Amazon Inspector ou por meio das APIs do Amazon Inspector. Você pode baixar um relatório completo com o SBOM para todos os recursos ou gerar e baixar seletivamente SBOMs para alguns recursos selecionados com base nos filtros de visualização definidos.

P: Posso verificar instâncias privadas do Amazon EC2 configurando o Amazon Inspector como uma VPC?

Sim. O Amazon Inspector usa o SSM Agent para coletar o inventário de aplicações, que pode ser configurado como Endpoints da Amazon Virtual Private Cloud (VPC) para evitar o envio de qualquer informação pela Internet.

P: Para quais sistemas operacionais o Amazon Inspector oferece suporte?

Você pode encontrar a lista de sistemas operacionais (SO) com suporte aqui.

P: Para quais pacotes de linguagem de programação o Amazon Inspector oferece suporte para verificação de imagens de contêiner?

Você pode encontrar a lista de pacotes de linguagem de programação com suporte aqui.

P: O Amazon Inspector funcionará com instâncias que usam conversão de endereços de rede (NAT)?

Sim. As instâncias que usam NAT são automaticamente compatíveis com o Amazon Inspector.

P: Eu uso um proxy para minhas instâncias. O Amazon Inspector funcionará com essas instâncias?

Sim. Veja mais informações sobre como configurar o SSM Agent para usar um proxy.

P: O Amazon Inspector pode ser integrado a outros serviços da AWS para registro em log e notificações?

O Amazon Inspector se integra ao Amazon EventBridge para fornecer notificação para eventos, como uma nova descoberta, mudança de estado de uma descoberta ou criação de uma regra de supressão. Amazon Inspector também se integra com AWS CloudTrail para registro de chamadas.

P: O Amazon Inspector oferece verificações de “Benchmarks de configuração de segurança do sistema operacional CIS”?

Não. Embora o Amazon Inspector não ofereça suporte atualmente a verificações CIS, esse recurso será adicionado no futuro. No entanto, você pode continuar a usar o pacote de regras de verificação CIS oferecido no Amazon Inspector Classic.

P: O Amazon Inspector funciona com soluções de parceiros da AWS?

Sim. Veja mais informações em Parceiros do Amazon Inspector.

P: Posso desativar o Amazon Inspector?

Sim. Você pode desativar todos os tipos de verificação (verificação do Amazon EC2, de imagens de contêiner do Amazon ECR e de funções do Lambda) desativando o serviço Amazon Inspector ou pode desativar cada tipo de verificação individualmente para uma conta.

P: Posso suspender o Amazon Inspector?

Não. O Amazon Inspector não oferece suporte a um estado suspenso.

Saiba mais sobre os clientes do Amazon Inspector

Visite a página de clientes