O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente as workloads da AWS em busca de vulnerabilidades de software e exposição não intencional à rede. Com alguns cliques no Console de Gerenciamento da AWS, você pode usar o Amazon Inspector em todas as contas da sua organização. Depois de iniciado, ele descobre automaticamente instâncias do Amazon Elastic Compute Cloud (EC2), imagens de contêiner residentes no Amazon Elastic Container Registry (ECR) e funções do AWS Lambda, em escala, e começa a avaliá-las imediatamente quanto a vulnerabilidades conhecidas.
O Amazon Inspector calcula uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando informações de Common Vulnerabilities and Exposures (CVE - Vulnerabilidades e exposições comuns) com fatores como acesso à rede e potencial de exploração. Essa pontuação é usada para priorizar as vulnerabilidades mais críticas com o objetivo de melhorar a eficiência da resposta de remediação. Todas as descobertas são agregadas em um console do Amazon Inspector recém-projetado e enviadas ao AWS Security Hub e ao Amazon EventBridge para automatizar fluxos de trabalho. As vulnerabilidades encontradas em imagens de contêineres também são enviadas ao Amazon ECR para que os proprietários de recursos as visualizem e corrijam. Com o Amazon Inspector, até mesmo as pequenas equipes de segurança e desenvolvedores podem garantir a segurança e a conformidade das workloads de infraestrutura em suas workloads da AWS.
Gerenciamento de vulnerabilidades para workloads de computação
O Amazon Inspector é uma ferramenta abrangente de gerenciamento de vulnerabilidades que funciona entre vários recursos, incluindo o Amazon EC2, funções do Lambda e workloads de contêineres. Ele identifica diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software e exposição não intencional da rede, que podem ser usadas para comprometer workloads, redirecionar recursos para uso mal-intencionado ou exfiltrar dados.
Habilitação e integração simplificadas com um único clique usando o AWS Organizations
Inicie o Amazon Inspector em várias contas com um único clique no console do Amazon Inspector ou com uma única chamada de API. O Amazon Inspector permite que você atribua uma conta de administrador delegado (DA) do Inspector para sua organização, que então pode iniciar e configurar todas as contas-membro, bem como consolidar todas as descobertas.
Descoberta automatizada e verificação contínua de vulnerabilidades
Depois de iniciado, o Amazon Inspector descobre automaticamente todas as instâncias do Amazon EC2, funções do Lambda e imagens de contêineres residentes no Amazon ECR e que estejam identificadas para verificação e, em seguida, inicia imediatamente a verificação delas em busca de vulnerabilidades de software e exposição de rede não intencional. Todas as workloads são continuamente examinadas mais uma vez quando uma nova CVE é publicada ou quando há alterações nas workloads, como a instalação de um novo software em uma instância do EC2.
AWS Systems Manager Agent
O Amazon Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado para coletar o inventário e as configurações de software das suas instâncias do Amazon EC2. O inventário e as configurações de aplicações coletados são usados para avaliar as workloads em busca de vulnerabilidades.
Pontuação de risco do Inspector para descobertas
O Amazon Inspector gera uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando as informações de CVEs com fatores ambientais, como resultados de acessibilidade da rede e dados de potencial de exploração. Isso ajuda a priorizar as descobertas, além de destacar as descobertas mais críticas e os recursos vulneráveis. O cálculo da pontuação do Inspetor (e quais fatores influenciaram essa pontuação) pode ser visualizado na guia Inspector Score (Pontuação do Inspetor) no painel lateral Findings Details (Detalhes das descobertas).
Supressão de descobertas
O Amazon Inspector oferece suporte à supressão de descobertas com base em critérios que você define. Você pode criar essas regras de supressão para suprimir descobertas que sua organização considera um risco aceitável.
Fechamento automático de descobertas corrigidas
O Amazon Inspector detecta automaticamente se uma vulnerabilidade recebeu um patch ou foi corrigida. Após a detecção, ele altera automaticamente o estado da descoberta para “Closed” (Fechada) sem intervenção manual.
Monitoramento detalhado da cobertura
O Amazon Inspector oferece uma visão agregada, quase em tempo real, da cobertura do ambiente em uma organização, para que você possa evitar lacunas nessa cobertura. Ele fornece métricas e informações detalhadas sobre contas que usam o Amazon Inspector, bem como instâncias do Amazon EC2, repositórios do Amazon ECR e imagens de contêineres que estão sendo ativamente verificados pelo Amazon Inspector. Além disso, ele destaca os recursos que não estão sendo monitorados ativamente e fornece orientações sobre como incluí-los.
Integração com o Security Hub e o EventBridge
Todas as descobertas são agregadas no console do Amazon Inspector, encaminhadas ao AWS Security Hub e enviadas por meio do Amazon EventBridge para automatizar fluxos de trabalho, como a emissão de tíquetes.
Mapeamento de vulnerabilidades para camadas nas funções do Lambda
As vulnerabilidades detectadas nas dependências de software usadas nas funções do AWS Lambda são mapeadas automaticamente para as camadas subjacentes do Lambda, facilitando os esforços de correção. Você pode abordar as vulnerabilidades em camadas uma vez, o que pode ajudar a melhorar a segurança de todas as funções downstream do Lambda.
Saiba mais sobre os clientes do Amazon Inspector