Atributos do Amazon Inspector

Visão geral

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente as workloads da AWS em busca de vulnerabilidades de software e exposição não intencional à rede. Com algumas etapas no Console de Gerenciamento da AWS, você pode usar o Amazon Inspector em todas as contas da sua organização. Depois de iniciado, ele descobre automaticamente instâncias do Amazon Elastic Compute Cloud (EC2), imagens de contêiner residentes no Amazon Elastic Container Registry (ECR) e funções do AWS Lambda, em escala, e começa a avaliá-las imediatamente quanto a vulnerabilidades conhecidas.

O Amazon Inspector calcula uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando informações de vulnerabilidades e exposições comuns (CVE) com fatores, como acesso à rede e potencial de exploração. Essa pontuação é usada para priorizar as vulnerabilidades mais críticas para melhorar a eficiência da resposta de remediação. Todas as descobertas são agregadas no console do Amazon Inspector e enviadas por push ao AWS Security Hub e ao Amazon EventBridge para automatizar fluxos de trabalho. As vulnerabilidades encontradas em imagens de contêineres também são enviadas ao Amazon ECR para que os proprietários de recursos as visualizem e corrijam. O Amazon Inspector capacita as equipes de segurança e os desenvolvedores de qualquer tamanho a alcançar segurança e conformidade abrangentes da workload da infraestrutura em todos os ambientes da AWS.

Page Topics

Principais recursos

Principais recursos

O Amazon Inspector é um serviço abrangente de gerenciamento de vulnerabilidades que envolve vários recursos, como o Amazon EC2, funções do Lambda e workloads de contêineres. Ele identifica diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software e exposição não intencional da rede, que podem ser usadas para comprometer workloads, redirecionar recursos para uso mal-intencionado ou facilitar a exfiltração de dados.
Inicie o Amazon Inspector em várias contas com uma etapa no console do Amazon Inspector ou com uma única chamada de API. O Amazon Inspector permite que você atribua uma conta de administrador delegado (DA) do Inspector para sua organização, que então pode, sem interrupções, iniciar e configurar todas as contas-membro, além de consolidar todas as descobertas.
Uma vez iniciado, o Amazon Inspector descobre automaticamente todas as instâncias do Amazon EC2, funções do Lambda e imagens de contêiner no Amazon ECR. Ele inicia imediatamente a verificação de vulnerabilidades de software e exposição não intencional da rede. Todas as workloads são continuamente verificadas novamente quando uma nova CVE é publicada ou quando há alterações nas workloads, incluindo a instalação de um novo software em uma instância do EC2.
O Amazon Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado para coletar o inventário e as configurações de software das suas instâncias do Amazon EC2. O inventário e as configurações coletadas das aplicações são usadas para avaliar as workloads em busca de vulnerabilidades.

O Amazon Inspector oferece monitoramento contínuo das instâncias do Amazon EC2 em busca de vulnerabilidades de software sem instalar um agente ou software adicional. O Amazon Inspector faz um snapshot do volume do EBS para extrair dados sobre o sistema e a configuração das instâncias a fim de realizar avaliações de vulnerabilidades. Com esse recurso, você pode expandir a cobertura da avaliação de vulnerabilidades para toda a infraestrutura do EC2 com a verificação sem agente do Amazon Inspector para instâncias do EC2 (prévia) que não têm agentes SSM instalados ou configurados.

O Amazon Inspector oferece suporte à supressão de descobertas com base em critérios que você define. Você pode criar essas regras de supressão para suprimir descobertas que sua organização considera um risco aceitável.
O Amazon Inspector gera uma pontuação de risco altamente contextualizada para cada descoberta ao correlacionar informações de CVEs com fatores ambientais, como resultados de acessibilidade da rede e dados de capacidade de exploração. Isso ajuda a priorizar as descobertas, além de destacar as descobertas mais críticas e os recursos vulneráveis. O cálculo da pontuação do Amazon Inspector (e quais fatores influenciaram esta pontuação) pode ser visualizado na guia Pontuação do Inspector no painel lateral Detalhes das descobertas.
O Amazon Inspector detecta automaticamente se uma vulnerabilidade recebeu um patch ou foi corrigida. Após a detecção, ele altera automaticamente o estado da descoberta para “Closed” (Fechada) sem intervenção manual.
O Amazon Inspector fornece uma visão geral abrangente e quase em tempo real da cobertura do ambiente em toda a organização para que você possa evitar lacunas da cobertura. Ele fornece métricas e informações detalhadas sobre contas e também de instâncias do Amazon EC2, de repositórios do Amazon ECR e de imagens de contêiner que estão sendo ativamente verificados pelo Amazon Inspector. Além disso, ele destaca os recursos que não estão sendo monitorados ativamente e fornece orientações sobre como incluí-los.
Todas as descobertas são agregadas no console do Amazon Inspector, roteadas para o AWS Security Hub e enviadas por push pelo Amazon EventBridge para automatizar fluxos de trabalho, como a emissão de bilhetes.

O Amazon Inspector verifica o código de aplicações proprietárias personalizadas dentro de uma função do Lambda em busca de vulnerabilidades de segurança de código, como falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente, com base nas melhores práticas de segurança da AWS. Ao detectar vulnerabilidades de código na camada ou função do Lambda, o Amazon Inspector gera descobertas de segurança práticas que fornecem vários detalhes, como nome do detector de segurança, trechos de código afetados e sugestões de remediação para solucionar vulnerabilidades. Usando IA generativa e raciocínio automatizado, o Amazon Inspector fornece patches de código contextualizados para várias classes de vulnerabilidades, reduzindo o esforço necessário para corrigir vulnerabilidades de código. Ao abordar as vulnerabilidades nas camadas básicas, você pode ajudar a melhorar a segurança de todas as funções downstream do Lambda.  

O Amazon Inspector oferece gerenciamento automatizado e centralizado das exportações da lista de materiais de software (SBOM). Ele permite a exportação fácil de uma SBOM consolidada para todos os recursos monitorados para um bucket pré-configurado do Amazon S3, compatíveis com formatos padrão do setor. Você pode baixar o artefato SBOM, realizar consultas no Amazon Athena ou criar painéis do Amazon QuickSight para obter insights valiosos e visualizar tendências.

O Amazon Inspector se integra a ferramentas de desenvolvedores, como Jenkins e TeamCity, para avaliações de imagens de contêineres. Ele permite que os desenvolvedores avaliem imagens de contêiner dentro dessas ferramentas de CI/CD, promovendo a segurança no início do ciclo de vida de desenvolvimento de software. As descobertas estão disponíveis no painel da ferramenta de CI/CD, permitindo a execução automatizada de ações em resposta a problemas críticos de segurança, como compilações com bloqueios ou envio de imagens para registros de contêineres. As ferramentas de CI/CD podem ser hospedadas em qualquer lugar: na AWS, on-premises ou em nuvens híbridas, oferecendo consistência para que os desenvolvedores usem uma única solução em todos os pipelines de desenvolvimento.

O Amazon Inspector oferece suporte aos benchmarks do CIS (Center for Internet Security). Você pode executar o Amazon Inspector para realizar avaliações direcionadas e sob demanda em relação aos benchmarks de configuração do CIS no nível do sistema operacional para instâncias do Amazon EC2 em toda a sua organização da AWS. As avaliações do CIS no Amazon Inspector oferecem suporte a verificações de benchmark de configuração de nível 1 e 2 em sistemas operacionais, incluindo Amazon Linux 2, Windows 2019 e Windows 2022.