P: O que é o Amazon Inspector?
O Amazon Inspector é um serviço de avaliação de segurança automático que ajuda você a testar o estado da segurança dos seus aplicativos em execução no Amazon EC2.

P: O que posso fazer com o Amazon Inspector?
O Amazon Inspector permite que você automatize avaliações de vulnerabilidade de segurança por todo o seu pipeline de desenvolvimento e implantação ou nos sistemas de produção estáticos. Isso permite que você torne os testes de segurança eventos mais frequentes, como parte das operações de desenvolvimento e TI. O Amazon Inspector é baseado em agente, controlado por APIs e disponibilizado como serviço para facilitar a implantação, o gerenciamento e a automação.

Comece a usar o Amazon Inspector

Crie uma conta gratuita

P: O que é um modelo de avaliação?
Um modelo de avaliação é uma configuração que você cria no Amazon Inspector para definir sua execução de avaliação. Esse modelo de avaliação inclui um pacote de regras, o qual deve ser usado pelo Amazon Inspector para avaliar o objetivo da sua avaliação, a duração da execução de avaliação, os tópicos do Amazon Simple Notification Service (SNS) para os quais você deseja que o Amazon Inspector envie notificações sobre estados e descobertas da execução de avaliação, e atributos específicos do Amazon Inspector (pares de chaves/valores) que você pode atribuir a descobertas geradas pela execução de avaliação.

P: O que é uma execução de avaliação?
Uma execução de avaliação é o processo de descoberta de possíveis problemas de segurança por meio da análise da configuração do objetivo da sua avaliação e do comportamento em comparação com pacotes de regras especificadas. Durante a execução de avaliação, o agente monitora, coleta e analisa dados de comportamento (telemetria) dentro do objetivo especificado, como o uso de canais seguros, o tráfego de rede entre processos em execução e os detalhes da comunicação com serviços da AWS. Em seguida, o agente analisa os dados e os compara com um conjunto de pacotes de regras de segurança no modelo de avaliação usado durante a execução de avaliação. Uma execução de avaliação concluída produz uma lista de descobertas: possíveis problemas de segurança com vários níveis de severidade.

P: O que é um objetivo de avaliação?
Um objetivo de avaliação representa um conjunto de recursos da AWS que funciona como uma unidade para ajudá-lo a atingir suas metas empresariais. O Amazon Inspector avalia o estado de segurança dos recursos que constituem o objetivo de avaliação. Crie um objetivo de avaliação usando tags do Amazon EC2, e defina esses recursos com tags atribuídas como um objetivo de avaliação para uma execução de avaliação definida pelo modelo de avaliação.

P: O que é uma descoberta?
Uma descoberta é um possível problema de segurança encontrado durante a execução de avaliação do Amazon Inspector do objetivo especificado. As descobertas são exibidas no Console do Amazon Inspector ou recuperadas por meio da API, e contêm uma descrição detalhada do problema de segurança e uma recomendação de como corrigi-lo.

P: O que é um pacote de regras?
Um pacote de regras é um conjunto de testes de segurança que pode ser configurado como parte de um modelo de avaliação e execução de avaliação. O Amazon Inspector tem vários pacotes de regras, como vulnerabilidades e exposições comuns (CVE), avaliações de configuração de sistemas operacionais do CIS e melhores práticas de segurança. Consulte a documentação do Amazon Inspector para obter uma lista completa dos pacotes de regras disponíveis.

P: O que é um relatório de avaliação, e o que está incluído nele?
É possível gerar um relatório de avaliação do Amazon Inspector para uma avaliação após sua conclusão bem-sucedida. Um relatório de avaliação é um documento que detalha o que é testado na execução da avaliação e os resultados da avalição. Os resultados da avalição são formatados em um relatório padrão que pode ser gerado para compartilhar resultados com a equipe para fins de ações de remediação, detalhamento de dados de auditoria de conformidade ou armazenamento para referência futura.

Você pode escolher entre dois tipos de relatórios de avaliação, um relatório de descobertas e um relatório completo. O relatório de descobertas contém um resumo executivo da avaliação, as instâncias envolvidas, os pacotes de regras testados, as regras que geraram descobertas e informações detalhadas sobre cada uma dessas regras, além de uma lista das instâncias que não foram aprovadas na verificação. O relatório completo contém todas as informações do relatório de descobertas e também fornece a lista de regras verificadas e aprovadas em todas as instâncias envolvidas na avaliação.

P: O que acontece se alguns dos meus destinos estiverem indisponíveis quando eu executar uma avaliação?
O Amazon Inspector reunirá dados de vulnerabilidade de todos os destinos disponíveis configurados para o modelo de avaliação e retornará qualquer descoberta de segurança aplicável para os destinos disponíveis. Se não existirem destinos disponíveis para o modelo de avaliação quando a execução for iniciada, o sistema reportará que a avaliação não pôde ser executada e retornará a seguinte notificação: "The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template".

P: Como os destinos tornam-se indisponíveis?
Os destinos em uma avaliação podem ficar indisponíveis por vários motivos, como instância EC2 inativa ou sem resposta, instância com tag atribuída (de destino) não tem o agente do Amazon Inspector instalado, o agente do Amazon Inspector instalado está indisponível ou não pode retornar dados de vulnerabilidade.

P: Qual é a definição de preço do Amazon Inspector?
A definição de preço do Inspector baseia-se no número de execuções de avaliação e na quantidade de agentes ou sistemas que foram avaliados durante essas avaliações. Nós chamamos isso de “avaliações de agente”. Um período de faturamento sob demanda dura um mês do calendário, como todos os serviços da AWS. Por exemplo:

     1 execução de avaliação em 1 agente = 1 avaliação de agente
     1 execução de avaliação em 10 agentes = 10 avaliações de agente
     10 execuções de avaliação em 2 agentes = 20 avaliações de agente
     30 execuções de avaliação em 10 agentes = 300 avaliações de agente

Se o conteúdo acima representar a atividade de execuções de avaliação do Amazon Inspector na sua conta durante um determinado período de faturamento, você será cobrado por um total de 331 avaliações de agente.

O preço de cada avaliação de agente individual é baseado em um modelo de definição de preço em camadas. Conforme o volume de avaliações de agente em um determinado período de faturamento aumenta, você paga um preço menor por avaliação de agente. Por exemplo, os primeiros dois níveis de definição de preço da avaliação de agente são:

     Primeiras 250 avaliações de agente = 0,30 USD por avaliação de agente
     Próximas 750 avaliações de agente = 0,25 USD por avaliação de agente

Então, para o nosso exemplo acima de 331 avaliações de agente em um determinado período de faturamento, seria cobrada uma taxa de 0,30 USD para as primeiras 250 e 0,25 USD para as próximas 81, ou um total de 95,25 USD para o período de faturamento. Consulte a página de definição de preço do Amazon Inspector para obter a tabela de definição de preço completa.

P: Há uma avaliação gratuita do Amazon Inspector?
Sim. O Amazon Inspector oferece as primeiras 250 avaliações de agente gratuitamente nos primeiros 90 dias de uso do serviço. Todas as contas da AWS novas no serviço Amazon Inspector estão qualificadas.

P: Em quais regiões o Amazon Inspector está disponível?
No momento, o Amazon Inspector está disponível nas regiões Ásia-Pacífico (Mumbai), Ásia-Pacífico (Seul), Ásia-Pacífico (Sydney), Ásia-Pacífico (Tóquio), UE (Irlanda), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Norte da Califórnia) e Oeste dos EUA (Oregon).

P: Quais versões do kernel do Linux são compatíveis com o Amazon Inspector?
Uma lista atualizada das versões do kernel do Linux para as quais o Amazon Inspector oferece suporte está disponível aqui.

P: O serviço Amazon Inspector é composto pelo que?
O Amazon Inspector é composto por um agente desenvolvido pela Amazon instalado no sistema operacional das suas instâncias do Amazon EC2 e de uma função de serviço do IAM criada com um só clique durante a configuração do serviço Amazon Inspector. Essa função de serviço concede permissões ao Amazon Inspector para enumerar instâncias e tags para definir objetivos de avaliação. Consulte a documentação do Amazon Inspector para obter uma lista atual dos sistemas operacionais compatíveis.

P: O Amazon Inspector parece ótimo, quando posso começar a usá-lo?
Basta cadastrar-se no Amazon Inspector pelo Console de Gerenciamento da AWS. Após o cadastro, instale o agente adequado do Amazon Inspector nas instâncias do Amazon EC2, crie um novo modelo de avaliação, selecione os pacotes de regras que você deseja usar e programe uma execução de avaliação. Quando for concluída, o sistema gerará um relatório de descobertas sobre qualquer problema identificado no seu ambiente.

P: O Amazon Inspector funciona com soluções de parceiros da AWS?
Sim, o Amazon Inspector tem APIs de interface pública disponíveis para a utilização de clientes e parceiros da AWS. Vários parceiros integraram-se ao Amazon Inspector incorporando descobertas em e-mails, sistemas de ticket, plataformas de pager e painéis de segurança mais amplos. Para obter detalhes sobre o apoio a parceiros, consulte a página de parceiros do Amazon Inspector.

P: Eu uso a Network Address Translation (NAT – Conversão de endereços de rede) nas minhas instâncias. O Amazon Inspector funcionará com essas instâncias?
Sim. As instâncias que usarem uma NAT serão apoiadas pelo Amazon Inspector sem que você precise fazer nada.

P: Eu uso um proxy nas minhas instâncias. O Amazon Inspector funcionará com essas instâncias?
Sim. O agente do Amazon Inspector oferece suporte a ambientes com proxy. Para instâncias Linux, oferecemos suporte ao proxy HTTPS e, para instâncias Windows, oferecemos suporte ao proxy WinHTTP. Consulte o Guia do usuário do Amazon Inspector para obter instruções sobre a configuração do suporte ao proxy para o agente do Amazon Inspector.

P: Quais aplicações podem ser analisadas pelo Inspector para detectar vulnerabilidades?
O Amazon Inspector encontra aplicações consultado o gerenciador de pacotes ou o sistema de instalação de software do sistema operacional onde o agente é instalado. Isso significa que o software instalado por meio do gerenciador de pacotes será verificado para detectar vulnerabilidades. A versão e o nível de patch de softwares não instalados por meio desses métodos não serão reconhecidos pelo Inspector. Por exemplo, softwares instalados por meio de apt, yum ou Microsoft Installer serão avaliados pelo Inspector. Softwares instalados por meio de make config/make install, bem como arquivos binários copiados diretamente para o sistema usando software de automação como Puppet ou Ansible, não serão avaliados pelo Inspector.

P: Onde posso encontrar informações sobre métricas nas minhas avaliações do Amazon Inspector?
O Amazon Inspector publica automaticamente dados de métricas sobre as suas avaliações no Amazon CloudWatch. Se você for um usuário do CloudWatch, as estatísticas de avaliação do Inspector serão automaticamente preenchidas no CloudWatch. No momento, as métricas do Inspector disponíveis são: número de execuções de avaliação, agentes abordados e descobertas geradas. Para obter mais detalhes, consulte a documentação do Amazon Inspector para obter detalhes sobre as métricas de avaliação publicadas no CloudWatch.

P: O Amazon Inspector pode ser integrado a outros serviços da AWS para registro e notificações?
O Amazon Inspector é integrado ao SNS para disponibilizar notificações para vários eventos, como etapas de monitoramento, falhas ou expiração de exceções. Ele também é integrado ao AWS CloudTrail para o registro de chamadas para o Amazon Inspector.

P: Eu gostaria de automatizar a avaliação da minha infraestrutura com frequência. Vocês disponibilizam um modo automático de enviar avaliações?
Sim. O Amazon Inspector disponibiliza uma API completa que permite a criação automática de ambientes de aplicativos, a geração de avaliações, a avaliação de políticas, a criação de exceções a políticas, e filtros, além de oferecer a recuperação de resultados.

P: Posso agendar avaliações de segurança para execução em determinadas datas e horários?
Sim. O Amazon Inspector disponibilizou um esquema do AWS Lambda para a criação de eventos agendados recorrentes. Depois que você criar um modelo de avaliação para a avaliação de segurança que quer executar, basta acessar o AWS Lambda do Console de Gerenciamento da AWS. No AWS Lambda, clique em "Create a Lambda function" e selecione o esquema "inspector-scheduled-run". O esquema mostrará o processo de criação de um agendamento recorrente para a execução da avaliação.

P: O Amazon Inspector pode ser executado sem atribuir tags a recursos?
Não. O Amazon Inspector exige que você use tags de instância do Amazon EC2 para que seja possível executar uma avaliação.

P: Existe algum impacto no desempenho durante uma verificação do Amazon Inspector?
O Amazon Inspector e seu agente foram criados para proporcionar mínimo impacto no desempenho durante o processo de execução da avaliação.

P: Posso definir minhas próprias regras para modelos de avaliação?
Não. Somente as regras predefinidas serão inicialmente permitidas para execuções de avaliação. No entanto, com o tempo, estamos analisando a inclusão dos dois principais conjuntos de regras dos fornecedores do AWS Marketplace e regras personalizadas desenvolvidas automaticamente.

P: Qual é a severidade de uma descoberta?
Cada regra do Amazon Inspector tem um nível de severidade atribuído, que a Amazon classificou como alta, média, baixa ou informativa. O objetivo da severidade é ajudar a priorizar as respostas às descobertas.

P: O que é o pacote de regras “Avaliações de configuração de segurança de sistemas operacionais do CIS”?
As avaliações de segurança do CIS são fornecidas pelo Center for Internet Security e são os únicos guias de configuração com melhores práticas de segurança e baseados em consenso, desenvolvidos e aceitos por governos, empresas, setores e meios acadêmicos. A Amazon Web Services é uma empresa membro das avaliações de segurança do CIS. A lista de certificações do Amazon Inspector pode ser consultada aqui. As regras de avaliação do CIS são projetadas como verificações de segurança do tipo aprovado/reprovado. Para cada verificação do CIS reprovada, o Inspector gera uma descoberta com severidade alta. Além disso, é gerada uma descoberta com severidade informativa para cada ocorrência, listando todas as regras CIS verificadas e o resultado aprovado/reprovado de cada regra.

P: O que é o pacote “Vulnerabilidades e exposições comuns”?
As regras de vulnerabilidades e exposições comuns, ou CVE, verificam a exposição a vulnerabilidades e exposições de segurança publicamente conhecidas. Os detalhes das regras CVE estão disponíveis publicamente no banco de dados nacional de vulnerabilidades (NVD). Usamos o sistema de pontuação de vulnerabilidades comuns (CVSS) como a principal referência das informações de severidade. Se uma CVE não for pontuada pelo NVD, mas estiver presente no Amazon Linux AMI Security Advisory (ALAS), usaremos a severidade do informe do Amazon Linux. Se uma CVE não tiver nenhuma dessas pontuações, ela não será relatada como descoberta. Verificamos diariamente as informações mais recentes do NVD e do ALAS para atualização dos pacotes de regras.

P: Como a severidade é determinada?
A severidade de uma regra é baseada no possível impacto do problema de segurança descoberto. Embora alguns pacotes de regras especifiquem os níveis de severidade em suas regras, esses níveis podem muitas vezes ser diferentes entre os diversos pacotes. O Amazon Inspector normalizou a severidade das descobertas em todos os pacotes de regras disponíveis, associando severidades individuais às classificações alta, média, baixa e informativa. Nas descobertas com severidade alta, média e baixa, quanto maior a severidade da descoberta, maior o impacto do problema subjacente. As descobertas classificadas como "informativas" são relatadas para notificar você sobre problemas de segurança que podem não ter um impacto de segurança imediato.

  • Nos pacotes de regras fornecidos pela AWS, a severidade é determinada pela equipe de segurança da AWS.
  • A severidade das descobertas do pacote de regras de avaliações do CIS é sempre definida como alta.
  • No pacote de regras de vulnerabilidades e exploits comuns (CVE), o Amazon Inspector associou os níveis fornecidos pela pontuação básica do CVSS e pela severidade do ALAS:
            Severidade do Amazon Inspector        Pontuação básica do CVSS           Severidade do ALAS (se não pontuada pelo CVSS)
            Alta                                               >= 5                                  Crítica ou importante
            Média                                         < 5 e >= 2,1                   Média
            Baixa                                               < 2,1 e > 0,8                Baixa
            Informativa                                 < 0,8                                  N/A

 

P: Quando eu descrevo as descobertas por meio da API (DescribeFindings), cada descoberta tem um atributo "numericSeverity". Qual o significado desse atributo?
O atributo "numericSeverity" é a representação numérica da severidade de uma descoberta. Os valores numéricos de severidade denotam a severidade da seguinte forma:
            Informativa = 0,0
            Baixa = 3,0
            Média = 6,0
            Alta = 9,0