Вопрос: Что такое Amazon Inspector?
Amazon Inspector является автоматизированным сервисом оценки безопасности, который помогает определить состояние безопасности вашего приложения, работающего в Amazon EC2.

Вопрос: Для чего предназначен сервис Amazon Inspector?
Amazon Inspector позволяет автоматизировать определение уязвимостей как во время всего процесса разработки и развертывания, так и в статических рабочих системах. С его помощью оценку безопасности можно проводить чаще и регулярно использовать в процессе разработки и эксплуатации ИТ. Amazon Inspector работает на основе агента с использованием API и представляет собой сервис, несложный в развертывании, управлении и организации автоматизированной работы.

Начать работу с Amazon Inspector

Создать бесплатный аккаунт

Вопрос: Что такое шаблон оценки?
Шаблон оценки представляет собой конфигурацию, создаваемую в Amazon Inspector для определения хода оценки. Шаблон оценки включает пакеты правил, согласно которым Amazon Inspector тестирует целевой объект, продолжительность процесса оценки, темы Amazon Simple Notification Service (SNS) для отправки уведомлений о состоянии процесса оценки и обнаруженных нарушениях, а также особые атрибуты Amazon Inspector (пары «ключ-значение»), которые можно присвоить нарушениям, выявленным в ходе оценки.

Вопрос: Что такое ход оценки?
Ход оценки – это процесс обнаружения потенциальных проблем безопасности путем анализа конфигурации и поведения целевого объекта с применением конкретных пакетов правил. В ходе оценки агент обеспечивает мониторинг, собирает и анализирует данные о поведении (телеметрические данные) по конкретному аспекту, такому как использование безопасных каналов, сетевой трафик запущенных процессов или взаимодействие с сервисами AWS. Затем агент анализирует данные и сравнивает их с правилами безопасности в пакетах, указанных в использованном шаблоне оценки. Результатом процесса оценки становится список нарушений – потенциальных проблем безопасности разной степени серьезности.

Вопрос: Что такое целевой объект оценки?
Целевой объект оценки представляет собой группу ресурсов AWS, которые работают как единое целое для выполнения определенных рабочих задач. Amazon Inspector оценивает состояние безопасности ресурсов, которые являются целевым объектом. Целевой объект можно создать с помощью тегов Amazon EC2, а затем определить ресурсы с этими тегами в качестве целевого объекта для проведения процесса оценки, определенного шаблоном.

Вопрос: Что такое нарушение?
Нарушение – это потенциальная проблема безопасности, обнаруженная Amazon Inspector в ходе оценки целевого объекта. Нарушения отображаются в консоли Amazon Inspector или извлекаются с помощью API, в них подробно описана каждая проблема безопасности и приведены рекомендации по ее устранению.

Вопрос: Что такое пакет правил?
Пакет правил представляет собой набор тестов безопасности, который можно использовать как часть шаблона оценки в ходе процесса оценки. В Amazon Inspector используется ряд пакетов правил, включая пакет обычных уязвимостей и рисков, пакет тестирования конфигурации операционной системы, подготовленный Центром интернет-безопасности, а также пакет рекомендаций в области безопасности. Полный список пакетов см. в документации по Amazon Inspector.

Вопрос: Что такое отчет об оценке и что он включает?
Отчет об оценке Amazon Inspector может быть создан после успешного завершения процесса оценки. Это документ, в котором подробно описывается, что тестировалось в ходе оценки, и приводятся результаты оценки. Результаты оценки оформляются в виде стандартного отчета, который может использоваться для передачи результатов группе, выполняющей действия по исправлению, в качестве дополнения к данным аудита соответствия или для сохранения и использования в будущем.

Можно выбрать один из двух типов отчетов об оценке: отчет о результатах или полный отчет. Отчет о результатах содержит краткий обзор оценки, целевые инстансы, протестированные пакеты правил, правила, которые генерировали результаты, и подробную информацию о каждом из этих правил вместе со списком инстансов, которые не прошли проверку. Полный отчет содержит всю информацию, содержащуюся в отчете о результатах, а также список правил, которые были проверены и прошли проверку во всех инстансах целевого объекта оценки.

Вопрос: Что будет, если в ходе проверки некоторые цели окажутся недоступными?
Amazon Inspector соберет данные об уязвимостях на всех доступных целях, указанных в шаблоне проверки, и сообщит обнаруженную информацию о безопасности касательно всех доступных целей. Если при запуске проверки ни одна из указанных в шаблоне целей не будет доступна, система сообщит о невозможности проведения проверки и вернет следующее сообщение: «The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template».

Вопрос: По какой причине цели могут быть недоступны?
Цели проверки могут быть недоступны по ряду причин, включая следующие: инстанс EC2 выключен или не отвечает; на выделенном (целевом) инстансе не установлен агент Amazon Inspector; установленный агент Amazon Inspector недоступен или не может передать данные об уязвимостях.

Вопрос: Сколько стоит использование Amazon Inspector?
Стоимость Amazon Inspector зависит от количества проводимых оценок и числа агентов или систем, проходивших оценку в это время. Это называется «агент-оценки». Расчетный период по требованию составляет один календарный месяц, как и для прочих сервисов AWS. Пример

     1 агент провел 1 оценку = 1 агент-оценка
     10 агентов провели по 1 оценке = 10 агент-оценок
     2 агента провели по 10 оценок = 20 агент-оценок
     10 агентов провели по 30 оценок = 300 агент-оценок

Если в течение расчетного периода в вашем аккаунте проведено указанное выше количество процессов оценки, то вы должны будете оплатить 331 агент-оценку.

Стоимость каждой отдельной агент-оценки рассчитывается с использованием гибкой модели ценообразования. Чем больше количество агент-оценок, полученных за расчетный период, тем меньше стоимость каждой агент-оценки. Например, стоимость на первых двух уровнях получения агент-оценок составит:

     первые 250 агент-оценок = 0,30 USD за агент-оценку;
     последующие 750 агент-оценок = 0,25 USD за агент-оценку.

Таким образом, если за расчетный период была получена 331 агент-оценка, как в рассмотренном выше примере, то первые 250 оценок будут стоить 0,30 USD каждая, а следующая 81 оценка будет стоить 0,25 USD каждая, т. е. общая стоимость за расчетный период составит 95,25 USD. Всю таблицу цен см. на странице цен Amazon Inspector.

Вопрос: Существует ли бесплатная пробная версия Amazon Inspector?
Да. В первые 90 дней использования сервиса Amazon Inspector предлагает бесплатное проведение первых 250 агент-оценок. Предложением могут воспользоваться все аккаунты AWS, использующие сервис Amazon Inspector впервые.

Вопрос: В каких регионах доступен сервис Amazon Inspector?
В настоящее время Amazon Inspector доступен в регионах Азия и Тихий океан (Мумбаи), Азия и Тихий океан (Сеул), Азия и Тихий океан (Сидней), Азия и Тихий океан (Токио), ЕС (Ирландия), Восток США (Сев. Вирджиния), Запад США (Сев. Калифорния) и Запад США (Орегон).

Вопрос: Какие версии ядра Linux поддерживает Amazon Inspector?
Обновленный список версий ядра Linux, которые поддерживает Amazon Inspector, доступен по ссылке.

Вопрос: Из чего состоит сервис Amazon Inspector?
Amazon Inspector состоит из агента, разработанного компанией Amazon, который устанавливается в операционной системе инстансов Amazon EC2, и роли сервиса в IAM, которая создается одним щелчком мыши во время установки сервиса Amazon Inspector. Благодаря этой роли сервиса, Amazon Inspector получает разрешение на нумерацию инстансов и присвоение тегов для определения целевого объекта оценки. Актуальный список поддерживаемых операционных систем см. в документации по Amazon Inspector.

Вопрос: Звучит многообещающе, но как начать работу с Amazon Inspector?
Просто зарегистрируйтесь в сервисе Amazon Inspector с помощью Консоли управления AWS. После регистрации установите соответствующую версию агента Amazon Inspector на инстансах Amazon EC2, создайте новый шаблон оценки, выберите необходимые пакеты правил и запланируйте процесс оценки. После его завершения система составит отчет обо всех обнаруженных в вашей среде нарушениях.

Вопрос: Работает ли Amazon Inspector с решениями, предоставляемыми партнерами AWS?
Да, в Amazon Inspector есть публичные API, доступные для использования клиентами и партнерами AWS. Некоторые партнеры интегрировали Amazon Inspector в свою работу и включают отправку отчетов о нарушениях по электронной почте, через системы заявок, пейджерные платформы или универсальные панели управления безопасностью. Подробные сведения о партнерах, поддерживающих использование сервиса, см. на странице партнеров Amazon Inspector.

Вопрос: Я использую для своих инстансов трансляцию сетевых адресов (NAT). Будет ли Amazon Inspector работать с такими инстансами?
Да. Amazon Inspector поддерживает работу с инстансами, которые используют NAT, и не требует при этом дополнительных действий со стороны пользователя.

Вопрос: Я использую для своих инстансов прокси-сервер. Будет ли Amazon Inspector работать с такими инстансами?
Да. Агент Amazon Inspector поддерживает среды прокси-серверов. Для инстансов Linux реализована поддержка HTTPS, а для инстансов Windows – поддержка WinHTTP. См. инструкции по настройке поддержки прокси-сервера для агента Amazon Inspector в Руководстве пользователя Amazon Inspector.

Вопрос: Какие приложения Inspector может анализировать на предмет уязвимостей?
Amazon Inspector находит приложения, запрашивая диспетчер пакетов или систему установки программного обеспечения в операционной системе, где установлен агент. Это означает, что с точки зрения уязвимостей оценивается программное обеспечение, установленное через диспетчер пакетов. Inspector не распознает версию программного обеспечения и версии установленных исправлений, если таковые были установлены иными способами. Например, программное обеспечение, установленное через apt, yum или Microsoft Installer, будет проверено сервисом Inspector. Инспектор не будет оценивать программное обеспечение, установленное с помощью конфигураторов make config или make install, или двоичные файлы, скопированные непосредственно в систему с использованием программного обеспечения автоматизации, например Puppet или Ansible.

Вопрос: Где можно просмотреть данные метрик по результатам оценок Amazon Inspector?
Amazon Inspector автоматически публикует данные метрик по проведенным оценкам в Amazon CloudWatch. Статистика оценки Amazon Inspector для пользователей CloudWatch будет автоматически отображаться в этом сервисе. Сейчас пользователям доступны следующие метрики Inspector: число выполненных оценок, оцениваемые агенты и собранные в результате оценки данные. Дополнительную информацию о метриках оценки, которые выгружаются в CloudWatch, можно найти в документации по Amazon Inspector

Вопрос: Можно ли интегрировать Amazon Inspector с другими сервисами AWS для ведения журналов и отправки уведомлений?
Amazon Inspector интегрирован с SNS для отправки уведомлений о различных событиях, например этапах мониторинга, сбоях или окончании действия исключений, а также с AWS CloudTrail для ведения журналов вызовов Amazon Inspector.

Вопрос: Я хотел бы проводить автоматизированную оценку инфраструктуры на регулярной основе. Существует ли возможность производить автоматическую отправку результатов оценки?
Да. Amazon Inspector предоставляет полный API, который позволяет автоматически создавать среды приложений, создавать оценки, производить оценку политик, создавать исключения политик и фильтры, а также извлекать результаты.

Вопрос: Можно ли запланировать проведение оценки безопасности на определенную дату и время?
Да. Amazon Inspector создал схему AWS Lambda, которая позволяет создавать воспроизводимые по графику события. После создания шаблона для запуска необходимой оценки безопасности просто перейдите в Консоли управления AWS к сервису AWS Lambda. В AWS Lambda нажмите «Create a Lambda function» и выберите схему «inspector-scheduled-run». Схема будет направлять ваши действия в процессе создания расписания циклического запуска оценки.

Вопрос: Может ли Amazon Inspector работать без присвоения ресурсам тегов?
Нет. Для проведения оценки с помощью Amazon Inspector необходимо использовать теги инстансов Amazon EC2.

Вопрос: Оказывает ли Amazon Inspector какое-либо влияние на производительность в процессе сканирования?
Amazon Inspector и агент Amazon Inspector практически не оказывают влияния на производительность системы в ходе оценки.

Вопрос: Можно ли определить свои правила для шаблонов оценки?
Нет. В ходе оценки могут использоваться только предопределенные правила. Тем не менее со временем мы планируем возможность использования как основных наборов правил поставщиков AWS Marketplace, так и специально разработанных правил.

Вопрос: Какая степень серьезности у нарушений?
Каждому правилу Amazon Inspector присвоена своя степень серьезности, которая по классификации Amazon носит высокий, средний, низкий и информационный характер. Степень серьезности позволяет определить приоритеты при реагировании на нарушения.

Вопрос: Что представляет собой пакет правил CIS Operating System Security Configuration Benchmarks?
Руководства по оценочному тестированию CIS Security Benchmark предоставляются Центром интернет-безопасности и являются единственными руководствами с рекомендациями по обеспечению безопасности, разработанными и принятыми после согласования с государственными, коммерческими, отраслевыми и научными организациями. Amazon Web Services является участником программы CIS Security Benchmarks, при этом список сертификатов Amazon Inspector можно посмотреть здесь. Правила оценочного тестирования CIS разработаны в качестве проверки безопасности, прохождение которой может завершиться успешно или неудачно. Для каждой проверки CIS, которая завершилась неудачно, Inspector генерирует нарушение с высокой степенью серьезности. Кроме того, для каждого инстанса генерируется нарушение, носящее информационный характер, в котором перечисляются все проверенные правила CIS, а также дается информация об успешном или неудачном выполнении теста для каждого правила.

Вопрос: Что представляет собой пакет правил Common Vulnerabilities and Exposures?
Пакет Common Vulnerabilities and Exposures, или правила CVE, используется для проверки наличия известных уязвимостей и рисков информационной безопасности. Подробные сведения о правилах CVE можно найти в общедоступной национальной базе данных уязвимостей (NVD). Мы используем общую систему оценки уязвимостей NVD (CVSS)в качестве основного источника информации о серьезности уязвимостей. Если данные о CVE отсутствуют в базе NVD, но присутствует в советах по обеспечению безопасности пакета AMI Amazon Linux (ALAS), то мы используем информацию о серьезности уязвимостей, представленную в советах по обеспечению безопасности Amazon Linux. Если данные о CVE отсутствуют и в базе NVD, и в ALAS, мы не будем сообщать о таком CVE как о нарушении. Мы ежедневно проверяем последнюю информацию в NVD и ALAS и соответствующим образом обновляем свои пакеты правил.

Вопрос: Как определяется степень серьезности?
Степень серьезности правила основана на потенциальном влиянии обнаруженной проблемы безопасности. Хотя для некоторых пакетов правил определены уровни серьезности, предусмотренные рамками предоставляемых правил, они часто могут отличаться в зависимости от набора правил. Amazon Inspector упорядочивает уровни серьезности для нарушений во всех доступных пакетах правил путем сопоставления отдельных уровней серьезности с уровнями общей классификации (высоким, средним, низким и информационным). Для высокого, среднего и низкого уровней серьезности нарушений более высокая степень серьезности нарушения означает большее влияние проблемы на безопасность. Нарушения, которые классифицируются как информационные, предоставляются для информирования клиентов по вопросам безопасности и могут не оказывать немедленного воздействия на безопасность.

  • Для поддерживаемых пакетов правил AWS степень серьезности определяется подразделением AWS по обеспечению безопасности.
  • Для нарушений пакетов правил CIS Benchmarks всегда используется высокая степень серьезности.
  • Для пакета правил Common Vulnerabilities and Exploits (CVE) Amazon Inspector использует следующее сопоставление уровней серьезности с оценками уязвимостей, предоставляемыми базой CVSS, и уровнями серьезности, предоставляемыми ALAS:
            Серьезность Amazon Inspector        Базовая оценка CVSS            Серьезность ALAS (если оценка CVSS отсутствует)
            «Высокая»                                               >= 5                                  «Критическая» или «Важная»
            «Средняя»                                         < 5 и >= 2,1                     «Средняя»
            «Низкая»                                               < 2,1 и >= 0,8               «Низкая»
            «Информационная»                                 < 0,8                                 Н/Д

 

Вопрос: Когда я описываю нарушения через API (DescribeFindings), каждое нарушение имеет атрибут numericSeverity. Что означает этот атрибут?
Атрибут numericSeverity – это числовое представление серьезности нарушения. Числовые значения серьезности нарушений следующим образом отражают серьезность нарушения.
            Информационная = 0,0
            Низкая = 3,0
            Средняя = 6,0
            Высокая = 9,0