Geral

O que é o Amazon Inspector?

O Amazon Inspector é um serviço de avaliação de segurança automatizado que ajuda a testar a acessibilidade de rede de instâncias do Amazon EC2 e o estado de segurança dos aplicativos executados nessas instâncias.

O que posso fazer com o Amazon Inspector?

O Amazon Inspector permite que você automatize avaliações de vulnerabilidade de segurança por todo o seu pipeline de desenvolvimento e implantação ou nos sistemas de produção estáticos. Isso permite que você torne os testes de segurança eventos mais frequentes, como parte das operações de desenvolvimento e TI. O Amazon Inspector é um serviço orientado a APIs que usa um agente opcional, facilitando a implantação, o gerenciamento e a automatização. As avaliações do Amazon Inspector são fornecidas como pacotes de regras predefinidas, associadas a melhores práticas de segurança e definições de vulnerabilidades comuns.

O que constituiu o serviço Amazon Inspector?

O Amazon Inspector consiste em uma tecnologia que analisa a acessibilidade de configurações de rede na AWS; um agente desenvolvido pela Amazon, instalado no sistema operacional de instâncias do Amazon EC2; e um serviço de avaliação de segurança que usa a telemetria do agente e a configuração da AWS para avaliar a existência de exposições e vulnerabilidades de segurança nas instâncias.

O que é um modelo de avaliação?

Um modelo de avaliação é uma configuração que você cria no Amazon Inspector para definir sua execução de avaliação. Esse modelo de avaliação inclui um pacote de regras, que deve ser usado pelo Amazon Inspector para avaliar o objetivo da avaliação, a duração da execução da avaliação, os tópicos do Amazon Simple Notification Service (SNS) para os quais você deseja que o Amazon Inspector envie notificações sobre estados e descobertas da execução da avaliação, e atributos específicos do Amazon Inspector (pares chave/valor) que você pode atribuir a descobertas geradas pela execução da avaliação.

O que é uma execução de avaliação?

Uma execução de avaliação é o processo de descoberta de possíveis problemas de segurança por meio da análise da configuração do objetivo da sua avaliação, do software instalado e do comportamento em comparação com pacotes de regras especificadas. Se o pacote de regras de acessibilidade de rede for incluído, o Inspector analisará as configurações de rede na AWS para determinar a acessibilidade das suas instâncias do EC2 pela rede. Se o agente do Inspector estiver instalado na instância, coletará e enviará dados de software e configuração no host. Em seguida, o serviço do Inspector analisa os dados e os compara com os pacotes de regras especificados. Uma execução de avaliação concluída produz uma lista de descobertas de possíveis problemas de segurança.

Existe algum impacto na performance durante uma verificação do Amazon Inspector?

A performance do aplicativo não é afetada com a execução da avaliação sem agente com o pacote de regras de acessibilidade de rede. Há um impacto de performance mínimo durante a fase de coleta de dados da avaliação executada usando o agente do Amazon Inspector.

O que é um objetivo da avaliação?

Um objetivo da avaliação representa uma coleção de instâncias do Amazon EC2 que você quer avaliar (normalmente, um conjunto de instâncias que funciona como uma unidade para ajudar a alcançar metas empresariais). O Amazon Inspector avalia o estado de segurança dessas instâncias do EC2. Você pode incluir todas as instâncias em um objetivo da avaliação ou especificar um subconjunto de instâncias usando tags do Amazon EC2.

O que é uma descoberta?

Uma descoberta é um possível problema de segurança encontrado durante a execução de avaliação do Amazon Inspector do objetivo especificado. As descobertas são exibidas no Console do Amazon Inspector ou recuperadas por meio da API, e contêm uma descrição detalhada do problema de segurança e uma recomendação de como corrigi-lo.

O que é um pacote de regras?

Um pacote de regras é um conjunto de verificações de segurança que pode ser configurado como parte de um modelo de avaliação e execução de avaliação. O Amazon Inspector tem dois tipos de pacotes de regras: o pacote de regras de acessibilidade de rede, que verifica a acessibilidade de rede de instâncias do Amazon EC2, e o pacote de regras de avaliação de host, que verifica a existência de vulnerabilidades e configurações inseguras na instância do Amazon EC2. O Amazon Inspector tem vários pacotes de regras, como Common Vulnerabilities and Exposures (CVEs – Vulnerabilidades e exposições comuns), testes comparativos do Center for Internet Security (CIS) e melhores práticas de segurança. Consulte a documentação do Amazon Inspector para obter uma lista completa dos pacotes de regras disponíveis.

Posso definir minhas próprias regras para modelos de avaliação?

Não. No momento, somente regras predefinidas são permitidas para execuções de avaliação.

Quais pacotes de software no host o Inspector pode avaliar para detectar vulnerabilidades?

O Amazon Inspector encontra aplicativos consultado o gerenciador de pacotes ou o sistema de instalação de software do sistema operacional onde o agente é instalado. Isso significa que o software instalado por meio do gerenciador de pacotes será verificado para detectar vulnerabilidades. A versão e o nível de patch de softwares não instalados por meio desses métodos não serão reconhecidos pelo Inspector. Por exemplo, softwares instalados por meio de apt, yum ou Microsoft Installer serão avaliados pelo Inspector. Softwares instalados por meio de make config/make install, bem como arquivos binários copiados diretamente para o sistema usando software de automação como Puppet ou Ansible, não serão avaliados pelo Inspector.

O que é um relatório de avaliação e o que está incluído nele?

É possível gerar um relatório de avaliação do Amazon Inspector para uma avaliação após sua conclusão bem-sucedida. Um relatório de avaliação é um documento que detalha o que é testado na execução da avaliação e os resultados da avaliação. Os resultados da avaliação são formatados em um relatório padrão que pode ser gerado para compartilhar resultados com a equipe para fins de ações de remediação, detalhamento de dados de auditoria de conformidade ou armazenamento para referência futura.

Você pode escolher entre dois tipos de relatórios de avaliação, um relatório de descobertas e um relatório completo. O relatório de descobertas contém um resumo executivo da avaliação, as instâncias envolvidas, os pacotes de regras testados, as regras que geraram descobertas e informações detalhadas sobre cada uma dessas regras, além de uma lista das instâncias que não foram aprovadas na verificação. O relatório completo contém todas as informações do relatório de descobertas e também fornece a lista de regras verificadas e aprovadas em todas as instâncias envolvidas na avaliação.

O que acontece se alguns dos agentes não estiverem disponíveis na execução de uma avaliação?

As avaliações do Amazon Inspector com o pacote de regras de acessibilidade de rede podem ser executadas sem um agente em qualquer instância do Amazon EC2. O agente é necessário para pacotes de regras de avaliação de host. O Amazon Inspector coleta dados de vulnerabilidade de todos os agentes disponíveis e retorna todas as descobertas de segurança adequadas. O Inspector gera exclusão para notificar sobre qualquer instância do EC2 sem o agente instalado ou com um agente com problemas de integridade.

Como os agentes se tornam não disponíveis?

Os agentes do Amazon Inspector podem ficar indisponíveis por vários motivos, como: a instância do EC2 está inativa ou não responde, a instância de destino não tem o agente instalado, o agente instalado está indisponível ou não pode retornar dados de vulnerabilidade.

Qual é a definição de preço do Amazon Inspector?

A definição de preço do Amazon Inspector é baseada em várias instâncias do Amazon EC2 incluídas em cada avaliação e depende dos pacotes de regras selecionados para as avaliações. As avaliações do Inspector podem ter qualquer combinação de pacotes de regras de avaliação de host e pacotes de regras de acessibilidade de rede. Os pacotes de avaliação de host incluem Common Vulnerabilities and Exposures (CVEs – Vulnerabilidades e exposições comuns), testes comparativos do Center for Internet Security (CIS), melhores práticas de segurança e análise de comportamento em tempo de execução. Se as avaliações incluírem pacotes de regras de host e de acessibilidade de rede, os pacotes serão cobrados separadamente. Um período de faturamento sob demanda dura um mês do calendário. Consulte a página de definição de preço do Amazon Inspector para obter os detalhes de preço completos.

Exemplo de definição de preço:

Considere um cenário em que você executa as seguintes avaliações em um mês. Neste exemplo, todas as avaliações incluem pacotes de regras de avaliação de host e de acessibilidade de rede. E todas as instâncias do EC2 contêm o agente do Inspector.

1 avaliação executada em 1 instância
1 avaliação executada em 10 instâncias
10 avaliações executadas em 2 instâncias cada
30 avaliações executadas em 10 instâncias cada

Se o conteúdo acima representar a atividade de execuções de avaliação do Amazon Inspector na sua conta durante um determinado período de faturamento, você será cobrado por um total de 331 avaliações de agente de host e 331 avaliações de instância de acessibilidade de rede.

O preço de cada avaliação de agente de host e de cada avaliação de instância de acessibilidade de rede é baseado em um modelo de definição de preço em camadas. Por exemplo, conforme o volume de avaliações de agente em um determinado período de faturamento aumenta, você paga um preço menor por avaliação de agente.

As cobranças do Amazon Inspector na sua conta nesse período de faturamento seriam:

Para os pacotes de regras de avaliação de host
Primeiras 250 avaliações do agente a 0,30 USD por avaliação do agente
Próximas 81 avaliações do agente a 0,25 USD por avaliação do agente

Para o pacote de regras de acessibilidade de rede
Primeiras 250 avaliações de instância a 0,15 USD por avaliação de instância
Próximas 81 avaliações de instância a 0,13 USD por avaliação de instância

A cobrança acumulada dos itens acima do Amazon Inspector seria 95,25 USD parar avaliações de agente de host e 48,03 USD para avaliações de instância de acessibilidade de rede, totalizando 143,28 USD.

Há uma avaliação gratuita do Amazon Inspector?

Sim. As contas que nunca executaram uma avaliação do Amazon Inspector estão qualificadas para 250 avaliações de agentes com pacotes de regras de host e 250 avaliações de instâncias com pacotes de regras de acessibilidade de rede gratuitas durante os primeiros 90 dias.

Para quais sistemas operacionais o Amazon Inspector oferece suporte?

Consulte a documentação do Amazon Inspector para obter uma lista atual dos sistemas operacionais com suporte do agente do Inspector. O pacote de regras de acessibilidade de rede pode ser executado sem um agente em qualquer instância do Amazon EC2, independentemente do sistema operacional. Se o agente do Inspector estiver instalado, a acessibilidade de rede gera descobertas aprimoradas com informações que identificam os processos de software que podem ser alcançados nas instâncias do EC2.

Em quais regiões o Amazon Inspector está disponível?

Consulte a documentação do Amazon Inspector para obter uma lista atualizada das regiões com suporte.

Para quais versões do kernel do Linux as avaliações do Amazon Inspector oferecem suporte?

Você pode executar avaliações bem-sucedidas para uma instância do EC2 com um SO baseado em Linux usando os pacotes de regras Common Vulnerabilities and Exposures (CVEs – Vulnerabilidades e exposições comuns), testes comparativos do Center for Internet Security (CIS) ou melhores práticas de segurança, independentemente da versão do kernel. No entanto, para executar uma avaliação usando o pacote de regras de análise de comportamento em tempo de execução, a instância Linux deve ter uma versão de kernel com suporte do Amazon Inspector. Uma lista atualizada das versões do kernel do Linux compatíveis com as avaliações do Amazon Inspector está disponível aqui.

O Amazon Inspector parece ótimo, como posso começar a usá-lo?

Cadastre-se no Amazon Inspector pelo Console de Gerenciamento da AWS. Na página de boas-vindas, você pode habilitar avaliações de acessibilidade de rede programadas para toda a conta com apenas um clique. Você pode instalar o agente do Inspector adicional em instâncias do EC2 para habilitar os pacotes de regras de avaliação de host. Você também pode personalizar quais instâncias do EC2 serão avaliadas, a seleção de pacotes de regras e as notificações das descobertas usando a opção de configuração avançada. Após a conclusão da execução da avaliação, o Inspector gerará as descobertas dos problemas de segurança identificados no ambiente.

O agente do Amazon Inspector tem de ser instalado em todas as instâncias do EC2 que quero avaliar?

Não. As avaliações do Amazon Inspector com o pacote de regras de acessibilidade de rede podem ser executadas sem um agente em qualquer instância do Amazon EC2. O agente é necessário para pacotes de regras de avaliação de host.

Como posso instalar o agente do Amazon Inspector?

Há várias maneiras de instalar o agente. Para instalações simples, você pode instalar o agente em cada instância ou fazer uma carga única usando o documento de execução de comandos do AWS Systems Manager (AmazonInspector-ManageAWSAgent). Para implantações maiores, você pode automatizar as instalações do agente usando a função de dados de usuário do EC2 durante a configuração das instâncias ou criar instalações automatizadas do agente usando o AWS Lambda. Também é possível iniciar uma instância do EC2 usando o Amazon Linux AMI com o agente do Amazon Inspector pré-instalado no console do EC2 ou no AWS Marketplace.

Como posso verificar se o agente do Amazon Inspector está instalado e íntegro em instâncias do EC2?

Você pode ver o status do agente do Amazon Inspector de todas as instâncias EC2 do objetivo da avaliação usando a funcionalidade “Preview Targets”, disponível no console do Inspector e por meio da consulta de API PreviewAgents. O status do agente informa se o agente está instalado na instância EC2 e a integridade do agente. Juntamente com o status do agente do Inspector na instância EC2 a ser avaliada, também são exibidos o ID da instância, o nome do host público e o endereço IP público (se definido), juntamente com links para o console do EC2 para cada instância.

O Amazon Inspector acessa outros serviços da AWS de uma conta?

O Amazon Inspector precisa enumerar as instâncias do EC2 e suas tags para identificar as instâncias especificadas no objetivo da avaliação e para ler as configurações de rede da AWS. O Amazon Inspector obtém acesso a essas informações por meio de uma função vinculada a serviço criada em seu nome quando você começa a usar o Inspector como um novo cliente ou em uma nova região. A função vinculada a serviço do Inspector é gerenciada pelo Amazon Inspector. Portanto, você não precisa se preocupar com a revogação acidental de permissões exigidas pelo Amazon Inspector. Para alguns clientes existentes, uma função do IAM registrada quando começaram a usar o Inspector pode ser usada para acessar outros Serviços da AWS até que a função vinculada a serviço do Inspector seja criada. Você pode criar a função vinculada a serviço do Inspector usando a página de painel do console do Inspector.

Eu uso a Network Address Translation (NAT – Conversão de endereços de rede) nas minhas instâncias. O Amazon Inspector funcionará com essas instâncias?

Sim. As instâncias que usarem uma NAT serão apoiadas pelo Amazon Inspector sem que você precise fazer nada.

Eu uso um proxy nas minhas instâncias. O Amazon Inspector funcionará com essas instâncias?

Sim. O agente do Amazon Inspector oferece suporte a ambientes com proxy. Para instâncias Linux, oferecemos suporte ao proxy HTTPS e, para instâncias Windows, oferecemos suporte ao proxy WinHTTP. Consulte o Guia do usuário do Amazon Inspector para obter instruções sobre a configuração do suporte ao proxy para o agente do Amazon Inspector.

Eu gostaria de automatizar a avaliação da minha infraestrutura com frequência. Vocês disponibilizam um modo automático de configurar avaliações?

Sim. O Amazon Inspector disponibiliza uma API completa que permite a criação automática de ambientes de aplicativos, a geração de avaliações, a avaliação de políticas, a criação de exceções a políticas, e filtros, além de oferecer a recuperação de resultados. As avaliações do Amazon Inspector também podem ser configuradas e acionadas por meio de modelos do AWS CloudFormation.

Posso programar avaliações de segurança para execução em determinadas datas e horários?

Sim. Você pode configurar uma programação recorrente simples para avaliações no modelo de avaliações. E as avaliações do Amazon Inspector podem ser disparadas por qualquer evento do Amazon CloudWatch. Você pode configurar programações personalizadas com uma taxa de recorrência fixa simples ou com uma expressão de Cron mais detalhada usando o CloudWatch Events.

Posso disparar avaliações de segurança para execução baseada em um evento?

Sim. Você pode usar o Amazon CloudWatch Events para criar padrões de eventos que monitoram outros Serviços da AWS para detectar ações que disparam uma avaliação. Por exemplo, você pode criar um evento que monitora o AWS Auto Scaling para detectar a execução de novas instâncias do Amazon EC2 ou que monitora notificações do AWS CodeDeploy para detectar quando uma implantação de código é concluída com sucesso. Após a configuração do CloudWatch Events em modelos do Amazon Inspector, esses eventos de avaliação serão exibidos no console do Inspector como parte dos modelos de avaliação para que você possa ver todos os triggers automatizados dessa avaliação.

Posso configurar avaliações do Amazon Inspector por meio do AWS CloudFormation?

Sim. Você pode criar grupos de recursos, objetivos da avaliação e modelos de avaliação do Amazon Inspector usando modelos do AWS CloudFormation. Isto permite configurar automaticamente avaliações de segurança para instâncias EC2 conforme elas são implantadas. No modelo de CloudFormation, você também pode inicializar a instalação do agente do Inspector em instâncias do EC2 utilizando o comando de instalação de agente em AWS::CloudFormation::Init ou em dados de usuário do EC2. Como alternativa, você pode criar instâncias EC2 no modelo de CloudFormation empregando uma AMI com o agente do Inspector pré-instalado.

Onde posso encontrar informações sobre métricas nas minhas avaliações do Amazon Inspector?

O Amazon Inspector publica automaticamente dados de métricas sobre as suas avaliações no Amazon CloudWatch. Se você for um usuário do CloudWatch, as estatísticas de avaliação do Inspector serão automaticamente preenchidas no CloudWatch. No momento, as métricas do Inspector disponíveis são: número de execuções de avaliação, agentes abordados e descobertas geradas. Consulte a documentação do Amazon Inspector para obter detalhes sobre as métricas de avaliação publicadas no CloudWatch.

O Amazon Inspector pode ser integrado a outros Serviços da AWS para registro e notificações?

O Amazon Inspector é integrado ao Amazon SNS para disponibilizar notificações para vários eventos, como etapas de monitoramento, falhas ou expiração de exceções. O serviço também é integrado ao AWS CloudTrail para o registro de chamadas para o Amazon Inspector.

O que é o pacote de regras de acessibilidade de rede?

O pacote de regras de acessibilidade de rede identifica portas e serviços em instâncias do Amazon EC2 que podem ser alcançadas de fora da sua VPC. Quando você executa uma avaliação com esse pacote de regras, o Inspector consulta as APIs da AWS para ler configurações de rede da conta, como Amazon Virtual Private Clouds (VPCs), grupos de segurança, listas de controle de acesso (ACLs) de rede e tabelas de roteamento. Em seguida, o Inspector analisa essas configurações de rede para verificar a acessibilidade das portas. As descobertas mostram as configurações de rede que permitem acessar uma porta alcançável para ajudar a restringir facilmente o acesso conforme a necessidade. O agente do Amazon Inspector não é obrigatório para avaliações com o pacote de regras de acessibilidade de rede. Para instâncias com o agente do Inspector instalado, as descobertas de acessibilidade de rede são aprimoradas com informações que identificam quais processos estão ouvindo as portas acessíveis.


Qual é a vantagem de usar o agente do Inspector para o pacote de regras de acessibilidade de rede?

O agente do Amazon Inspector não é obrigatório para avaliações com o pacote de regras de acessibilidade de rede. Para instâncias com o agente do Inspector instalado, as descobertas de acessibilidade de rede são aprimoradas com informações que identificam quais processos estão ouvindo as portas acessíveis.

O que é o pacote de regras “Avaliações de configuração de segurança de sistemas operacionais do CIS”?

As avaliações de segurança do CIS são fornecidas pelo Center for Internet Security e são os únicos guias de configuração com melhores práticas de segurança e baseados em consenso, desenvolvidos e aceitos por governos, empresas, setores e meios acadêmicos. A Amazon Web Services é uma empresa membro das avaliações de segurança do CIS. A lista de certificações do Amazon Inspector pode ser consultada aqui. As regras de avaliação do CIS são projetadas como verificações de segurança do tipo aprovado/reprovado. Para cada verificação do CIS reprovada, o Inspector gera uma descoberta com severidade alta. Além disso, é gerada uma descoberta com severidade informativa para cada ocorrência, listando todas as regras CIS verificadas e o resultado aprovado/reprovado de cada regra.

O que é o pacote “Vulnerabilidades e exposições comuns”?

As regras de vulnerabilidades e exposições comuns, ou CVE, verificam a exposição a vulnerabilidades e exposições de segurança publicamente conhecidas. Os detalhes das regras CVE estão disponíveis publicamente no banco de dados nacional de vulnerabilidades (NVD). Usamos o sistema de pontuação de vulnerabilidades comuns (CVSS) do NVD como a principal referência das informações de severidade. Se uma CVE não for pontuada pelo NVD, mas estiver presente no Amazon Linux AMI Security Advisory (ALAS), usaremos a severidade do informe do Amazon Linux. Se uma CVE não tiver nenhuma dessas pontuações, ela não será relatada como descoberta. Verificamos diariamente as informações mais recentes do NVD e do ALAS para atualização dos pacotes de regras.

Qual é a severidade de uma descoberta?

Cada regra do Amazon Inspector tem um nível de severidade atribuído, que a Amazon classificou como alta, média, baixa ou informativa. O objetivo da severidade é ajudar a priorizar as respostas às descobertas.

Como a severidade é determinada?

A severidade de uma regra é baseada no possível impacto do problema de segurança descoberto. Embora alguns pacotes de regras especifiquem os níveis de severidade em suas regras, esses níveis podem muitas vezes ser diferentes entre os diversos pacotes. O Amazon Inspector normalizou a severidade das descobertas em todos os pacotes de regras disponíveis, associando severidades individuais às classificações alta, média, baixa e informativa. Nas descobertas com severidade alta, média e baixa, quanto maior a severidade da descoberta, maior o impacto do problema subjacente. As descobertas classificadas como "informativas" são relatadas para notificar você sobre problemas de segurança que podem não ter um impacto de segurança imediato.

Nos pacotes de regras fornecidos pela AWS, a severidade é determinada pela equipe de segurança da AWS.

A severidade das descobertas do pacote de regras de avaliações do CIS é sempre definida como alta.

No pacote de regras de vulnerabilidades e exploits comuns (CVE), o Amazon Inspector associou os níveis fornecidos pela pontuação básica do CVSS e pela severidade do ALAS:

Severidade do Amazon Inspector Pontuação de base do CVSS Severidade do ALAS (se CVSS não tiver pontuação)
Alta >= 5  Crítica ou importante
Média < 5 e >= 2,1  Média
Baixa < 2.1 e >= 0,8  Baixa
Informativa < 0,8 N/D

Quando eu descrevo as descobertas por meio da API (DescribeFindings), cada descoberta tem um atributo "numericSeverity". Qual o significado desse atributo?

O atributo "numericSeverity" é a representação numérica da severidade de uma descoberta. Os valores numéricos de severidade denotam a severidade da seguinte forma:

 Informativa = 0,0
 Baixa = 3,0
 Média = 6,0
 Alta = 9,0

O Amazon Inspector funciona com soluções de parceiros da AWS?

Sim, o Amazon Inspector tem APIs de interface pública disponíveis para a utilização de clientes e parceiros da AWS. Vários parceiros integraram-se ao Amazon Inspector incorporando descobertas em e-mails, sistemas de ticket, plataformas de pager e painéis de segurança mais amplos. Para obter detalhes sobre o suporte a parceiros, consulte a página de parceiros do Amazon Inspector.

O Amazon Inspector é um serviço qualificado pela HIPAA?

Sim, o Amazon Inspector é um serviço qualificado pela HIPAA e foi adicionado ao Adendo de associado comercial da AWS (BAA). Se você tiver um BAA assinado com a AWS, poderá executar o Inspector em instâncias EC2 que contêm Protected Health Information (PHI – Informações de saúde protegidas).

O Amazon Inspector oferece suporte a quais programas de conformidade e garantia?

O Inspector oferece suporte aos programas SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 e HIPAA. O Inspector atende aos controles do FedRAMP e estamos aguardando a conclusão do relatório de auditoria. Se você quiser saber mais sobre o escopo dos Serviços da AWS por programa de conformidade, acesse a página de Serviços da AWS em escopo.

Saiba mais sobre os clientes do Amazon Inspector

Visite a página de clientes
Conteúdo da página
Geral