Общие вопросы

Что такое Amazon Inspector?

Amazon Inspector является автоматизированным сервисом оценки безопасности, который помогает проверить доступность инстансов Amazon EC2 в сети и определить состояние безопасности приложений, работающих на этих инстансах.

Для чего предназначен сервис Amazon Inspector?

Amazon Inspector позволяет автоматизировать определение уязвимостей как во время всего процесса разработки и развертывания, так и в статических рабочих системах. С его помощью оценку безопасности можно проводить чаще и использовать на регулярной основе в процессах разработки и в операционных ИТ‑процессах. Amazon Inspector работает на основе API и использует дополнительный агент. Все это упрощает развертывание сервиса, автоматизацию его работы и управление им. Оценка сервисом Amazon Inspector выполняется с помощью готовых пакетов правил, основанных на стандартных рекомендациях по безопасности и определениях уязвимостей.

Из чего состоит сервис Amazon Inspector?

В состав сервиса Amazon Inspector входят технология, с помощью которой анализируется доступность сетевых конфигураций в AWS, разработанный Amazon агент, который устанавливается в операционной системе инстансов Amazon EC2, и сервис оценки безопасности, использующий телеметрические данные агента и конфигурации AWS для выявления уязвимостей и рисков безопасности инстансов.

Что такое шаблон оценки?

Шаблон оценки представляет собой конфигурацию, создаваемую в Amazon Inspector для определения хода оценки. Шаблон оценки включает пакет правил, согласно которым Amazon Inspector тестирует целевой объект, продолжительность процесса оценки, темы Amazon Simple Notification Service (SNS) для отправки уведомлений о состоянии процесса оценки и обнаруженных нарушениях, а также особые атрибуты Amazon Inspector (пары «ключ – значение»), которые можно присвоить нарушениям, выявленным в ходе оценки.

Что такое ход оценки?

Ход оценки – это процесс обнаружения потенциальных проблем безопасности путем анализа конфигурации, установленного ПО и поведения целевого объекта с применением определенных пакетов правил. Если в состав входит пакет правил для определения сетевой доступности, Amazon Inspector анализирует сетевые конфигурации в AWS, чтобы определить возможность доступа к используемым инстансам EC2 по сети. Если на инстансе установлен агент Amazon Inspector, он собирает и передает данные об установленном ПО и конфигурации хоста. После этого сервис анализирует данные и сопоставляет их с выбранными пакетами правил. Результатом процесса оценки становится список обнаруженных потенциальных проблем безопасности.

Оказывает ли Amazon Inspector влияние на производительность в процессе оценки?

Когда оценка выполняется без помощи агента с использованием пакета правил для оценки сетевой доступности, сервис не влияет на производительность приложений. Когда используется агент Amazon Inspector, в ходе оценки он оказывает незначительно влияние на производительность на этапе сбора данных.

Что такое целевой объект оценки?

Целевой объект оценки представляет собой несколько инстансов Amazon EC2, которые необходимо проверить. Как правило, это инстансы, которые работают как группа для выполнения определенных рабочих задач. Amazon Inspector оценивает состояние безопасности инстансов EC2. В качестве целевого объекта оценки можно выбрать все инстансы аккаунта или только часть инстансов, указав их с помощью тегов Amazon EC2.

Что такое нарушение?

Нарушение – это потенциальная проблема безопасности, обнаруженная Amazon Inspector в ходе оценки целевого объекта. Нарушения отображаются в консоли Amazon Inspector или извлекаются с помощью API. В них подробно описана каждая проблема безопасности и приведены рекомендации по ее устранению.

Что такое пакет правил?

Пакет правил представляет собой набор проверок безопасности, который можно использовать как часть шаблона оценки в ходе ее процесса. В Amazon Inspector используется два типа пакетов правил: пакет правил для определения сетевой доступности, который предназначен для определения возможностей доступа к инстансам Amazon EC2 по сети, и пакеты правил для оценки хоста, которые предназначены для выявления уязвимостей и небезопасных конфигураций инстансов Amazon EC2. Пакеты правил для оценки хоста включают набор обычных уязвимостей и рисков (CVE), тестирование конфигурации операционной системы по стандартам Центра интернет‑безопасности (CIS), а также набор рекомендаций в области безопасности. Полный список доступных пакетов правил см. в документации Amazon Inspector.

Можно ли определить свои правила для шаблонов оценки?

Нет. В настоящее время в ходе оценки могут использоваться только предопределенные правила.

Какие пакеты ПО, установленного на хосте, Amazon Inspector может оценивать с точки зрения уязвимостей?

Amazon Inspector находит приложения, выполняя запрос к диспетчеру пакетов или системе установки программного обеспечения в операционной системе, где установлен агент. Это означает, что с точки зрения уязвимостей оценивается программное обеспечение, установленное через диспетчер пакетов. Inspector не распознает версию программного обеспечения и версии установленных исправлений, если таковые были установлены иными способами. Например, программное обеспечение, установленное через apt, yum или Microsoft Installer, будет проверено сервисом Inspector. Инспектор не будет оценивать программное обеспечение, установленное с помощью команд make config или make install, или двоичные файлы, скопированные непосредственно в систему с использованием ПО автоматизации, например Puppet или Ansible.

Что такое отчет об оценке и что он включает?

Отчет об оценке Amazon Inspector может быть создан после успешного завершения процесса оценки. Это документ, в котором подробно описывается, что тестировалось в ходе оценки, и приводятся результаты оценки. Они оформляются в виде стандартного отчета, который может использоваться для передачи результатов группе, выполняющей действия по исправлению, в качестве дополнения к данным аудита соответствия или для сохранения и использования в будущем.

Можно выбрать один из двух типов отчетов об оценке: отчет о результатах или полный отчет. Отчет о результатах содержит краткий обзор оценки, целевые инстансы, протестированные пакеты правил, правила, которые генерировали результаты, и подробную информацию о каждом из этих правил вместе со списком инстансов, которые не прошли проверку. Полный отчет вмещает всю информацию, содержащуюся в отчете о результатах, а также список правил, которые были проверены и прошли проверку во всех инстансах целевого объекта оценки.

Что будет, если в ходе проверки некоторые агенты окажутся недоступными?

Оценку Amazon Inspector с использованием пакета правил для определения сетевой доступности можно запускать для любого инстанса Amazon EC2 без агента. Для использования пакетов правил для оценки хоста требуется агент. Amazon Inspector соберет данные об уязвимостях со всех доступных агентов и создаст соответствующие отчеты о безопасности для них. Если на каких‑либо инстансах EC2 агент не установлен или работает неправильно, Amazon Inspector пометит такие инстансы как исключения.

По какой причине агенты могут быть недоступны?

Агенты Amazon Inspector могут быть недоступны по ряду причин, включая следующие: инстанс EC2 отключен или не отвечает, на целевом инстансе не установлен агент, установленный агент недоступен или не может передать данные об уязвимостях.

Сколько стоит использование Amazon Inspector?

Стоимость использования Amazon Inspector зависит от количества участвующих в каждой оценке инстансов Amazon EC2, а также от того, какие пакеты правил используются в оценке. При оценке могут использоваться любые сочетания пакетов правил для оценки хоста и пакета правил для определения сетевой доступности. Пакеты правил для оценки хоста включают набор обычных уязвимостей и рисков (CVE), тестирование конфигурации операционной системы по стандартам Центра интернет‑безопасности (CIS), набор рекомендаций в области безопасности, а также анализ поведения во время работы. Если в ходе оценки используются как пакеты правил для оценки хоста, так и пакет правил для определения сетевой доступности, использование каждого типа пакетов оплачивается отдельно. Расчетный период по требованию составляет один календарный месяц. Подробные сведения о ценах см. на странице цен на Amazon Inspector.

Пример расчета стоимости

Предположим, что следующая оценка выполняется раз в месяц. В этом примере при каждом выполнении оценки используются как пакеты правил для оценки хоста, так и пакет правил для определения сетевой доступности. Кроме того, на всех инстансах EC2 установлен агент Amazon Inspector.

1 выполнение оценки на 1 инстансе
1 выполнение оценки на 10 инстансах
10 выполнений оценки по 2 инстанса на каждую
30 выполнений оценки по 10 инстансов на каждую

Если в течение расчетного периода в аккаунте проведено указанное выше количество выполнений оценки Amazon Inspector, потребуется оплатить 331 агент‑оценку хоста и 331 оценку инстансов с точки зрения сетевой доступности.

Стоимость каждой отдельной агент‑оценки хоста и оценки инстанса с точки зрения сетевой доступности рассчитывается на основании многоуровневых тарифов. Например, чем больше количество агент‑оценок, выполненных за расчетный период, тем меньше стоимость каждой агент‑оценки.

Стоимость использования Amazon Inspector в аккаунте за рассмотренный расчетный период будет складываться следующим образом.

Использование пакетов правил для оценки хоста:
первые 250 агент‑оценок = 0,30 USD за агент‑оценку;
последующая 81 агент‑оценка = 0,25 USD за агент‑оценку.

Использование пакета правил для определения сетевой доступности:
первые 250 оценок инстансов = 0,15 USD за оценку инстанса;
последующая 81 оценка инстансов = 0,13 USD за оценку инстанса.

Суммируя рассчитанные выше значения, получаем, что стоимость использования Amazon Inspector за проведения агент‑оценок составит 95,25 USD плюс 48,03 USD за проведение оценок инстансов с точки зрения сетевой доступности, а итоговая стоимость составит 143,28 USD.

Существует ли бесплатная пробная версия Amazon Inspector?

Да. Клиенты, которые ранее не выполняли оценку Amazon Inspector в своем аккаунте, имеют право на бесплатное проведение 250 агент‑оценок с использованием пакетов правил для оценки хоста и 250 оценок инстансов с использованием пакета правил для определения сетевой доступности в течение первых 90 дней с момента создания аккаунта.

Какие операционные системы поддерживает Amazon Inspector?

Актуальный список поддерживаемых агентом Amazon Inspector операционных систем см. в документации по Amazon Inspector. Оценку Amazon Inspector с использованием пакета правил для определения сетевой доступности можно запускать без агента для любого инстанса Amazon EC2, независимо от операционной системы. Если агент Amazon Inspector установлен, в результате оценки сетевой доступности создаются расширенные отчеты, в которых сообщается, какие именно процессы ПО доступны на инстансах EC2.

В каких регионах доступен Amazon Inspector?

Актуальный список поддерживаемых регионов см. в документации по Amazon Inspector.

Какие версии ядра Linux поддерживает Amazon Inspector?

Сервис позволяет успешно выполнять оценки для инстанса EC2 с операционной системой на базе Linux независимо от версии ядра, используя оценку сетевой доступности, общий перечень уязвимостей и рисков (CVE), пакет тестирования Центра безопасности Интернета (CIS) или рекомендации в области безопасности. Однако чтобы выполнить оценку с использованием пакета правил анализа поведения во время выполнения, инстанс Linux должен иметь версию ядра, которая поддерживается сервисом Amazon Inspector. Обновленный список версий ядра Linux, которые поддерживает Amazon Inspector, доступен здесь.

Звучит многообещающе, но как начать работу с Amazon Inspector?

Зарегистрироваться в сервисе Amazon Inspector можно с помощью Консоли управления AWS. На начальной странице можно за один щелчок мышью активировать оценки сетевой доступности для всего аккаунта по расписанию. Чтобы использовать пакеты правил для оценки хоста, на инстансах EC2 можно установить дополнительный агент Amazon Inspector. С помощью расширенных параметров настройки можно также выбрать, какие инстансы EC2 будут участвовать в оценке, какие пакеты правил будут использоваться и как будут формироваться уведомления по результатам оценок. По завершении хода оценки Amazon Inspector создаст отчет о проблемах безопасности, выявленных в среде аккаунта.

Нужно ли устанавливать агент Amazon Inspector на все инстансы EC2, которые требуется оценить?

Нет. Оценку Amazon Inspector с использованием пакета правил для определения сетевой доступности можно запускать без агента для любого инстанса Amazon EC2. Для использования пакетов правил для оценки хоста требуется агент.

Как установить агент Amazon Inspector?

Агент можно установить несколькими способами. В простых сценариях возможна установка вручную на каждый инстанс или единовременная загрузка с помощью документа Run Command AWS Systems Manager (AmazonInspector-ManageAWSAgent). Для развертывания в более крупных средах можно автоматизировать установку агента, воспользовавшись функцией пользовательских данных EC2 при настройке инстансов, или осуществить автоматизированную установку агента с помощью AWS Lambda. Кроме того, можно запустить инстанс EC2 с использованием образа Amazon Linux AMI, включающего предустановленный агент Amazon Inspector, через консоль EC2 или AWS Marketplace.

Как узнать, установлен ли агент Amazon Inspector на инстансах EC2, и проверить его состояние?

Проверить статус агента Amazon Inspector для инстансов EC2 в целевом объекте оценки можно с помощью функции «Preview Targets» (Просмотр целевых объектов), которая доступна в консоли Amazon Inspector или через запрос API PreviewAgents. Статус агента указывает, установлен ли он на инстансе EC2, и включает сведения о его состоянии. Помимо сведений о статусе агента Amazon Inspector, на целевом инстансе EC2 выводятся идентификатор инстанса, публичное имя хоста и публичный IP-адрес (если задан), а также ссылки на консоль EC2 для каждого инстанса.

Имеет ли Amazon Inspector доступ к другим сервисам AWS в моем аккаунте?

Сервису Amazon Inspector требуется доступ к инстансам EC2 и тегам для идентификации инстансов, указанных как цель оценки, а также к сетевым конфигурациям AWS для анализа. Amazon Inspector получает доступ к ним благодаря связанной с сервисом роли, которая создается от имени пользователя при начале работы с Amazon Inspector в качестве нового клиента или в новом регионе. Связанная с сервисом роль находится под управлением Amazon Inspector, поэтому случайной отмены необходимых сервису разрешений можно не опасаться. В случае с некоторыми существующими клиентами для доступа к другим сервисам AWS может использоваться роль IAM, зарегистрированная при начале работы с Amazon Inspector, пока не будет создана связанная с сервисом роль. Создать связанную с сервисом роль для Amazon Inspector можно на странице панели управления в консоли Amazon Inspector.

Я использую для своих инстансов трансляцию сетевых адресов (NAT). Будет ли Amazon Inspector работать с такими инстансами?

Да. Amazon Inspector поддерживает работу с инстансами, которые используют NAT, и не требует при этом дополнительных действий со стороны пользователя.

Я использую для своих инстансов прокси-сервер. Будет ли Amazon Inspector работать с такими инстансами?

Да. Агент Amazon Inspector поддерживает среды прокси-серверов. Для инстансов Linux реализована поддержка HTTPS, а для инстансов Windows – поддержка WinHTTP. См. инструкции по настройке поддержки прокси-сервера для агента Amazon Inspector в Руководстве пользователя Amazon Inspector.

Я хотел бы проводить автоматизированную оценку инфраструктуры на регулярной основе. Существует ли возможность выполнять автоматическую оценку?

Да. Amazon Inspector предоставляет полный API, который позволяет автоматически создавать среды приложений и оценки, производить оценку политик, создавать исключения политик и фильтры, а также извлекать результаты. Настраивать и запускать оценки Amazon Inspector также можно с помощью шаблонов AWS CloudFormation.

Можно ли запланировать проведение оценки безопасности на определенную дату и время?

Да. В шаблоне оценок можно настроить простое расписание проведения периодических оценок. Процесс оценки с помощью Amazon Inspector может быть запущен любым событием Amazon CloudWatch. С помощью событий CloudWatch можно создавать собственные расписания как с фиксированным интервалом повторения, так и с использованием более сложного выражения cron.

Может ли событие служить триггером запуска оценки?

Да. Можно использовать Amazon CloudWatch Events для создания схем событий, которые будут следить за другими сервисами AWS и запускать оценку на основе определенных действий. Например, можно создать событие для отслеживания запуска новых инстансов Amazon EC2 с помощью AWS Auto Scaling или уведомлений AWS CodeDeploy об успешном завершении развертывания кода. После настройки Amazon CloudWatch Events для шаблонов Amazon Inspector события-триггеры будут отображаться в консоли Amazon Inspector в составе шаблонов оценки. Это дает возможность просматривать все автоматизированные триггеры для запуска конкретной оценки.

Можно ли настроить оценки Amazon Inspector с помощью AWS CloudFormation?

Да. Группы ресурсов, цели оценки и шаблоны оценки Amazon Inspector можно создавать с помощью шаблонов AWS CloudFormation. Это позволяет автоматически настроить проведение оценки безопасности для инстансов EC2 при их развертывании. В шаблоне CloudFormation также можно настроить скрипт для установки агента Amazon Inspector на инстансах EC2 с помощью команд установки агента в AWS::CloudFormation::Init или пользовательских данных EC2. Кроме того, в шаблоне Amazon CloudFormation можно создавать инстансы EC2 с использованием образа AMI, включающего агент Amazon Inspector.

Где можно просмотреть данные метрик по результатам оценок Amazon Inspector?

Amazon Inspector автоматически публикует данные метрик по проведенным оценкам в Amazon CloudWatch. Статистика оценки Amazon Inspector для пользователей CloudWatch будет автоматически отображаться в этом сервисе. Сейчас пользователям доступны следующие метрики Inspector: число выполненных оценок, целевые агенты и собранные в результате оценки данные. Дополнительную информацию о метриках оценки, которые выгружаются в CloudWatch, можно найти в документации по Amazon Inspector.

Можно ли интегрировать Amazon Inspector с другими сервисами AWS для ведения журналов и отправки уведомлений?

Amazon Inspector интегрирован с Amazon SNS для отправки уведомлений о различных событиях, например этапах мониторинга, сбоях или окончании действия исключений, а также с AWS CloudTrail для ведения журналов вызовов Amazon Inspector.

Что такое пакет правил для определения сетевой доступности?

Пакет правил для определения сетевой доступности позволяет идентифицировать на инстансах Amazon EC2 порты и сервисы, доступные за пределами облака VPC. Когда оценка выполняется с этим пакетом правил, Amazon Inspector отправляет запрос к API AWS с целью распознать в аккаунте такие сетевые конфигурации, как облака Amazon Virtual Private Cloud (VPC), группы безопасности, списки контроля сетевого доступа (ACL) и таблицы маршрутизации. Затем сервис анализирует эти сетевые конфигурации, чтобы подтвердить доступность портов. По завершении оценки создаются отчеты, в которых перечисляются сетевые конфигурации с доступным портом, чтобы при необходимости можно было без труда ограничить доступ к нему. Для оценок с использованием пакета правил для определения сетевой доступности агент Amazon Inspector не требуется. Если на инстансах установлен агент Amazon Inspector, в отчетах о сетевой доступности также будет указано, какие процессы прослушивают доступные порты.


Какие преимущества дает использование агента Amazon Inspector при проведении оценки с пакетом правил для определения сетевой доступности?

Для оценок с использованием пакета правил для определения сетевой доступности агент Amazon Inspector не требуется. Если на инстансах установлен агент Amazon Inspector, в отчетах о сетевой доступности также будет указано, какие процессы прослушивают доступные порты.

Что представляет собой пакет правил CIS Operating System Security Configuration Benchmarks?

Руководства по оценочному тестированию CIS Security Benchmark предоставляются Центром интернет-безопасности и являются единственными руководствами с рекомендациями по обеспечению безопасности, разработанными и принятыми после согласования с государственными, коммерческими, отраслевыми и научными организациями. Amazon Web Services является участником программы CIS Security Benchmarks, при этом список сертификатов Amazon Inspector можно посмотреть здесь. Правила оценочного тестирования CIS разработаны в качестве проверки безопасности, прохождение которой может завершиться успешно или неудачно. Для каждой проверки CIS, которая завершилась неудачно, Inspector генерирует нарушение с высокой степенью серьезности. Кроме того, для каждого инстанса генерируется нарушение, носящее информационный характер, в котором перечисляются все проверенные правила CIS, а также дается информация об успешном или неудачном выполнении теста для каждого правила.

Что представляет собой пакет правил Common Vulnerabilities and Exposures?

Пакет Common Vulnerabilities and Exposures, или правила CVE, используется для проверки наличия известных уязвимостей и рисков информационной безопасности. Подробные сведения о правилах CVE можно найти в общедоступной национальной базе данных уязвимостей (NVD). Мы используем общую систему оценки уязвимостей NVD (CVSS)в качестве основного источника информации о серьезности уязвимостей. Если данные о CVE отсутствуют в базе NVD, но присутствуют в советах по обеспечению безопасности пакета AMI Amazon Linux (ALAS), то мы используем информацию о серьезности уязвимостей, представленную в советах по обеспечению безопасности Amazon Linux. Если данные о CVE отсутствуют и в базе NVD, и в ALAS, мы не будем сообщать о таком CVE как о нарушении. Мы ежедневно проверяем последнюю информацию в NVD и ALAS и соответствующим образом обновляем свои пакеты правил.

Что такое степень серьезности у нарушений?

Каждому правилу Amazon Inspector присвоена своя степень серьезности, которая по классификации Amazon может носить высокий, средний, низкий и информационный характер. Степень серьезности позволяет определить приоритеты при реагировании на нарушения.

Как определяется степень серьезности?

Степень серьезности правила основана на потенциальном влиянии обнаруженной проблемы безопасности. Хотя для некоторых пакетов правил определены уровни серьезности, предусмотренные рамками предоставляемых правил, они часто могут отличаться в зависимости от набора правил. Amazon Inspector упорядочивает уровни серьезности для нарушений во всех доступных пакетах правил путем сопоставления отдельных уровней серьезности с уровнями общей классификации (высоким, средним, низким и информационным). Для высокого, среднего и низкого уровней серьезности нарушений более высокая степень серьезности нарушения означает большее влияние проблемы на безопасность. Нарушения, которые классифицируются как информационные, предоставляются для информирования клиентов по вопросам безопасности и могут не оказывать немедленного воздействия на безопасность.

Для поддерживаемых пакетов правил AWS степень серьезности определяется подразделением AWS по обеспечению безопасности.

Для нарушений пакетов правил CIS Benchmarks всегда используется высокая степень серьезности.

Для пакета правил Common Vulnerabilities and Exploits (CVE) Amazon Inspector использует следующее сопоставление уровней серьезности с оценками уязвимостей, предоставляемыми базой CVSS, и уровнями серьезности, предоставляемыми ALAS:

Серьезность Amazon Inspector Базовая оценка CVSS Серьезность ALAS (если оценка CVSS отсутствует)
Высокая >= 5  Критическая или Важная
Средняя < 5 и >= 2,1  Средняя
Низкая < 2,1 и >= 0,8  Низкая
Информационная < 0,8 Неприменимо

Когда я описываю нарушения через API (DescribeFindings), каждое нарушение имеет атрибут numericSeverity. Что означает этот атрибут?

Атрибут numericSeverity – это числовое представление серьезности нарушения. Числовые значения серьезности нарушений следующим образом отражают серьезность нарушения.

 Информационная = 0,0
 Низкая = 3,0
 Средняя = 6,0
 Высокая = 9,0

Работает ли Amazon Inspector с решениями, предоставляемыми партнерами AWS?

Да, в Amazon Inspector есть публичные API, доступные для использования клиентами и партнерами AWS. Некоторые партнеры интегрировали Amazon Inspector в свою работу и включают отправку отчетов о нарушениях по электронной почте, через системы заявок, пейджерные платформы или универсальные панели управления безопасностью. Подробные сведения о партнерах, поддерживающих использование сервиса, см. на странице партнеров по Amazon Inspector.

Соответствует ли сервис Amazon Inspector требованиям HIPAA?

Да, Amazon Inspector соответствует требованиям HIPAA и включен в договор делового партнерства (BAA) AWS. Если вы заключили с AWS договор BAA, вы можете запускать Amazon Inspector в инстансах EC2, содержащих закрытую медицинскую информацию (PHI).

Какие программы обеспечения соответствия и предоставления гарантий поддерживает Amazon Inspector?

Amazon Inspector поддерживает SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 и HIPAA. Инспектор отвечает требованиям FedRAMP, и сейчас мы ждем завершения аудиторского отчета. Если вы хотите узнать подробнее, на какие сервисы AWS распространяются программы обеспечения соответствия, посетите страницу Сервисы AWS в программе обеспечения соответствия.

Подробнее о клиентах, использующих Amazon Inspector

Перейти на страницу клиентов
Готовы приступить к разработке?
Начать работу с Amazon Inspector
Есть вопросы?
Свяжитесь с нами
Содержание страницы
Общие вопросы