O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente as workloads da AWS em busca de vulnerabilidades de software e exposição não intencional à rede. Com alguns cliques no Console de Gerenciamento da AWS, o Amazon Inspector pode ser usado em todas as contas da sua organização. Depois de iniciado, o Amazon Inspector descobre automaticamente instâncias e imagens de contêineres em execução do Amazon Elastic Compute Cloud (EC2) residentes no Amazon Elastic Container Registry (ECR), em qualquer escala, e começa a avaliá-las imediatamente quanto a vulnerabilidades conhecidas.

O Amazon Inspector calcula uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando informações de Common Vulnerabilities and Exposures (CVE - Vulnerabilidades e exposições comuns) com fatores como acesso à rede e potencial de exploração. Essa pontuação é usada para priorizar as vulnerabilidades mais críticas com o objetivo de melhorar a eficiência da resposta de remediação. Todas as descobertas são agregadas em um console do Amazon Inspector recém-projetado e enviadas ao AWS Security Hub e ao Amazon EventBridge para automatizar fluxos de trabalho. As vulnerabilidades encontradas em imagens de contêineres também são enviadas ao Amazon ECR para que os proprietários de recursos as visualizem e corrijam. Com o Amazon Inspector, até mesmo as pequenas equipes de segurança e desenvolvedores podem garantir a segurança e a conformidade das workloads de infraestrutura em suas workloads da AWS.

Gerenciamento de vulnerabilidades para workloads do Amazon EC2 e de contêineres

O Amazon Inspector é uma ferramenta abrangente de gerenciamento de vulnerabilidades que funciona entre vários recursos, incluindo o Amazon Elastic Compute Cloud (EC2) e workloads de contêineres. Ele identifica diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software e exposição não intencional da rede, que podem ser usadas para comprometer workloads, redirecionar recursos para uso mal-intencionado ou exfiltrar dados.

Habilitação e integração simplificadas com um único clique usando o AWS Organizations

Inicie o Amazon Inspector em várias contas com um único clique no console do Amazon Inspector ou com uma única chamada de API. O Amazon Inspector permite que você atribua uma conta de administrador delegado (DA) do Inspector para sua organização, que então pode iniciar e configurar todas as contas-membro, bem como consolidar todas as descobertas.

Descoberta automatizada e verificação contínua de vulnerabilidades

Depois de iniciado, o Amazon Inspector descobre automaticamente todas as instâncias do EC2 e imagens de contêineres residentes no Amazon Elastic Container Registry (ECR) e que estejam identificadas para verificação e, em seguida, inicia imediatamente a verificação delas em busca de vulnerabilidades de software e exposição de rede não intencional. Todas as workloads são continuamente examinadas mais uma vez quando uma nova CVE é publicada ou quando há alterações nas workloads, como a instalação de um novo software em uma instância do EC2.

AWS Systems Manager Agent

O Amazon Inspector usa o AWS Systems Manager (SSM) Agent amplamente implantado para coletar o inventário e as configurações de software das suas instâncias do Amazon EC2. O inventário e as configurações de aplicações coletados são usados para avaliar as workloads em busca de vulnerabilidades.

Pontuação de risco do Inspector para descobertas

O Amazon Inspector gera uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando as informações de CVEs com fatores ambientais, como resultados de acessibilidade da rede e dados de potencial de exploração. Isso ajuda a priorizar as descobertas, além de destacar as descobertas mais críticas e os recursos vulneráveis. O cálculo da pontuação do Inspetor (e quais fatores influenciaram essa pontuação) pode ser visualizado na guia Inspector Score (Pontuação do Inspetor) no painel lateral Findings Details (Detalhes das descobertas).

Supressão de descobertas

O Amazon Inspector oferece suporte à supressão de descobertas com base em critérios que você define. Você pode criar essas regras de supressão para suprimir descobertas que sua organização considera um risco aceitável.

Fechamento automático de descobertas corrigidas

O Amazon Inspector detecta automaticamente se uma vulnerabilidade recebeu um patch ou foi corrigida. Após a detecção, o Amazon Inspector altera automaticamente o estado da descoberta para “Closed” (Fechada) sem intervenção manual.

Monitoramento detalhado da cobertura

O Amazon Inspector oferece uma visão agregada, quase em tempo real, da cobertura do ambiente em uma organização, para que você possa evitar lacunas nessa cobertura. Ele fornece métricas e informações detalhadas sobre contas que usam o Amazon Inspector, bem como instâncias do EC2, repositórios do ECR e imagens de contêineres que estão sendo ativamente verificados pelo Amazon Inspector. Além disso, o Amazon Inspector destaca os recursos que não estão sendo monitorados ativamente e fornece orientações sobre como incluí-los.

Integração com o Security Hub e o EventBridge

Todas as descobertas são agregadas no console do Amazon Inspector, encaminhadas ao AWS Security Hub e enviadas por meio do Amazon EventBridge para automatizar fluxos de trabalho, como a emissão de tíquetes.

Saiba mais sobre os clientes do Amazon Inspector

Visite a página de clientes