Вопрос: Что такое Amazon Inspector?
Amazon Inspector является автоматизированным сервисом оценки безопасности, который помогает определить состояние безопасности вашего приложения, работающего в Amazon EC2.

Вопрос: Для чего предназначен сервис Amazon Inspector?
Amazon Inspector позволяет автоматизировать определение уязвимостей как во время всего процесса разработки и развертывания, так и в статических рабочих системах. С его помощью оценку безопасности можно проводить чаще и регулярно использовать в процессе разработки и эксплуатации ИТ. Amazon Inspector работает на основе агента с использованием API и представляет собой сервис, несложный в развертывании, управлении и организации автоматизированной работы.

Начать работу с Amazon Inspector

Создать бесплатный аккаунт

Вопрос: Из чего состоит сервис Amazon Inspector?
В состав Amazon Inspector входит разработанный Amazon агент, который устанавливается в операционной системе инстансов Amazon EC2, и сервис оценки безопасности, использующий телеметрические данные агента и конфигурации AWS для выявления уязвимостей и рисков безопасности инстансов.

Вопрос: Что такое шаблон оценки?
Шаблон оценки представляет собой конфигурацию, создаваемую в Amazon Inspector для определения хода оценки. Шаблон оценки включает пакет правил, согласно которым Amazon Inspector тестирует целевой объект, продолжительность процесса оценки, темы Amazon Simple Notification Service (SNS) для отправки уведомлений о состоянии процесса оценки и обнаруженных нарушениях, а также особые атрибуты Amazon Inspector (пары «ключ – значение»), которые можно присвоить нарушениям, выявленным в ходе оценки.

Вопрос: Что такое ход оценки?
Ход оценки – это процесс обнаружения потенциальных проблем безопасности путем анализа конфигурации и поведения целевого объекта с применением конкретных пакетов правил. В ходе оценки агент обеспечивает мониторинг, собирает и анализирует данные о поведении (телеметрические данные) по конкретному аспекту, такому как использование безопасных каналов, сетевой трафик запущенных процессов или взаимодействие с сервисами AWS. Затем агент анализирует данные и сравнивает их с правилами безопасности в пакетах, указанных в использованном шаблоне оценки. Результатом процесса оценки становится список нарушений – потенциальных проблем безопасности разной степени серьезности.

Вопрос: Оказывает ли Amazon Inspector влияние на производительность в процессе оценки?
Amazon Inspector и агент Amazon Inspector практически не оказывают влияния на производительность системы в ходе оценки.

Вопрос: Что такое целевой объект оценки?
Целевой объект оценки представляет собой группу ресурсов AWS, которые работают как единое целое для выполнения определенных рабочих задач. Amazon Inspector оценивает состояние безопасности ресурсов, которые являются целевым объектом. Целевой объект можно создать с помощью тегов Amazon EC2, а затем определить ресурсы с этими тегами в качестве целевого объекта для проведения процесса оценки, определенного шаблоном.

Вопрос: Что такое нарушение?
Нарушение – это потенциальная проблема безопасности, обнаруженная Amazon Inspector в ходе оценки целевого объекта. Нарушения отображаются в консоли Amazon Inspector или извлекаются с помощью API, в них подробно описана каждая проблема безопасности и приведены рекомендации по ее устранению.

Вопрос: Что такое пакет правил?
Пакет правил представляет собой набор тестов безопасности, который можно использовать как часть шаблона оценки в ходе процесса оценки. В Amazon Inspector используется множество пакетов правил, включая пакет обычных уязвимостей и рисков (CVE), пакет тестирования конфигурации операционной системы, подготовленный Центром интернет-безопасности (CIS), а также пакет рекомендаций в области безопасности. Полный список пакетов см. в документации по Amazon Inspector.

Вопрос: Можно ли определить свои правила для шаблонов оценки?
Нет. В ходе оценки могут использоваться только предопределенные правила. Тем не менее со временем мы планируем возможность использования как основных наборов правил поставщиков AWS Marketplace, так и специально разработанных правил.

Вопрос: Какие приложения Inspector может анализировать на предмет уязвимостей?
Amazon Inspector находит приложения, запрашивая диспетчер пакетов или систему установки программного обеспечения в операционной системе, где установлен агент. Это означает, что с точки зрения уязвимостей оценивается программное обеспечение, установленное через диспетчер пакетов. Inspector не распознает версию программного обеспечения и версии установленных исправлений, если таковые были установлены иными способами. Например, программное обеспечение, установленное через apt, yum или Microsoft Installer, будет проверено сервисом Inspector. Инспектор не будет оценивать программное обеспечение, установленное с помощью конфигураторов make config или make install, или двоичные файлы, скопированные непосредственно в систему с использованием программного обеспечения автоматизации, например Puppet или Ansible.

Вопрос: Что такое отчет об оценке и что он включает?
Отчет об оценке Amazon Inspector может быть создан после успешного завершения процесса оценки. Это документ, в котором подробно описывается, что тестировалось в ходе оценки, и приводятся результаты оценки. Результаты оценки оформляются в виде стандартного отчета, который может использоваться для передачи результатов группе, выполняющей действия по исправлению, в качестве дополнения к данным аудита соответствия или для сохранения и использования в будущем.

Можно выбрать один из двух типов отчетов об оценке: отчет о результатах или полный отчет. Отчет о результатах содержит краткий обзор оценки, целевые инстансы, протестированные пакеты правил, правила, которые генерировали результаты, и подробную информацию о каждом из этих правил вместе со списком инстансов, которые не прошли проверку. Полный отчет содержит всю информацию, содержащуюся в отчете о результатах, а также список правил, которые были проверены и прошли проверку во всех инстансах целевого объекта оценки.

Вопрос: Что будет, если в ходе проверки некоторые цели окажутся недоступными?
Amazon Inspector соберет данные об уязвимостях на всех доступных целях, указанных в шаблоне проверки, и сообщит обнаруженную информацию о безопасности касательно всех доступных целей. Если при запуске проверки ни одна из указанных в шаблоне целей не будет доступна, система сообщит о невозможности проведения проверки и вернет следующее сообщение: «The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template».

Вопрос: По какой причине цели могут быть недоступны?
Цели проверки могут быть недоступны по ряду причин, включая следующие: инстанс EC2 выключен или не отвечает; на выделенном (целевом) инстансе не установлен агент Amazon Inspector; установленный агент Amazon Inspector недоступен или не может передать данные об уязвимостях.

Вопрос: Сколько стоит использование Amazon Inspector?
Стоимость Amazon Inspector зависит от количества проводимых оценок и числа агентов или систем, проходивших оценку в это время. Это называется «агент-оценки». Расчетный период по требованию составляет один календарный месяц, как и для прочих сервисов AWS. Пример

     1 агент провел 1 оценку = 1 агент-оценка
     10 агентов провели по 1 оценке = 10 агент-оценок
     2 агента провели по 10 оценок = 20 агент-оценок
     10 агентов провели по 30 оценок = 300 агент-оценок

Если в течение расчетного периода в вашем аккаунте проведено указанное выше количество процессов оценки, то вы должны будете оплатить 331 агент-оценку.

Стоимость каждой отдельной агент-оценки рассчитывается с использованием гибкой модели ценообразования. Чем больше количество агент-оценок, полученных за расчетный период, тем меньше стоимость каждой агент-оценки. Например, стоимость на первых двух уровнях получения агент-оценок составит:

     первые 250 агент-оценок = 0,30 USD за агент-оценку;
     последующие 750 агент-оценок = 0,25 USD за агент-оценку.

Таким образом, если за расчетный период была получена 331 агент-оценка, как в рассмотренном выше примере, то первые 250 оценок будут стоить 0,30 USD каждая, а следующая 81 оценка будет стоить 0,25 USD каждая, т. е. общая стоимость за расчетный период составит 95,25 USD. Всю таблицу цен см. на странице цен Amazon Inspector.

Вопрос: Существует ли бесплатная пробная версия Amazon Inspector?
Да. В первые 90 дней использования сервиса Amazon Inspector предлагает бесплатное проведение первых 250 агент-оценок. Предложением могут воспользоваться все аккаунты AWS, использующие сервис Amazon Inspector впервые.

Вопрос: Какие операционные системы поддерживает AWS Inspector?
Актуальный список поддерживаемых операционных систем см. в документации по Amazon Inspector.

Вопрос: В каких регионах доступен Amazon Inspector?
Актуальный список поддерживаемых регионов см. в документации по Amazon Inspector.

Вопрос: Какие версии ядра Linux поддерживает Amazon Inspector?
Можно успешно выполнять оценки для инстанса EC2 с операционной системой на базе Linux, независимо от версии ядра, используя пакет общего перечня уязвимостей и рисков (CVE), пакет тестирования Центра безопасности Интернета (CIS) или пакет рекомендаций в области безопасности. Тем не менее, чтобы выполнить оценку с использованием пакета правил анализа поведения во время выполнения, инстанс Linux должен иметь версию ядра, которая поддерживается сервисом Amazon Inspector. Обновленный список версий ядра Linux, которые поддерживает Amazon Inspector, доступен по ссылке.

Вопрос: Звучит многообещающе, но как начать работу с Amazon Inspector?
Просто зарегистрируйтесь в сервисе Amazon Inspector с помощью Консоли управления AWS. После регистрации установите соответствующую версию агента Amazon Inspector на инстансах Amazon EC2, создайте новый шаблон оценки, выберите необходимые пакеты правил и запланируйте процесс оценки. После его завершения система составит отчет обо всех обнаруженных в среде нарушениях.

Вопрос: Нужно ли устанавливать агент Amazon Inspector на все инстансы EC2, которые требуется оценить?
Да. В процессе оценки агент Amazon Inspector отслеживает работу операционной системы и приложений инстанса EC2, на котором он установлен, собирает сведения о конфигурации и поведении и передает их сервису Amazon Inspector.

Вопрос: Как установить агент Amazon Inspector?
Агент можно установить несколькими способами. В простых сценариях возможна установка вручную на каждый инстанс или единовременная загрузка с помощью документа Run Command AWS Systems Manager (AmazonInspector-ManageAWSAgent). Для развертывания в более крупных средах можно автоматизировать установку агента, воспользовавшись функцией пользовательских данных EC2 при настройке инстансов, или осуществить автоматизированную установку агента с помощью AWS Lambda. Кроме того, можно запустить инстанс EC2 с использованием образа Amazon Linux AMI, включающего предустановленный агент Amazon Inspector, через консоль EC2 или AWS Marketplace.

Вопрос: Как узнать, установлен ли агент Amazon Inspector на инстансах EC2, и проверить его состояние?
Проверить статус агента Amazon Inspector для инстансов EC2 в целевом объекте оценки можно с помощью функции «Preview Targets» (Просмотр целевых объектов), которая доступна в консоли Amazon Inspector или через запрос API PreviewAgents. Статус агента указывает, установлен ли он на инстансе EC2, и включает сведения о его состоянии. Помимо сведений о статусе агента Amazon Inspector на целевом инстансе EC2 выводятся идентификатор инстанса, публичное имя хоста и публичный IP-адрес (если задан), а также ссылки на консоль EC2 для каждого инстанса.

Вопрос: Может ли Amazon Inspector работать без присвоения ресурсам тегов?
Нет. Для проведения оценки с помощью Amazon Inspector необходимо использовать теги инстансов Amazon EC2.

Вопрос: Имеет ли Amazon Inspector доступ к другим сервисам AWS в моем аккаунте?
Сервису Amazon Inspector требуется доступ к инстансам EC2 и тегам для идентификации инстансов, указанных как цель оценки. Amazon Inspector получает доступ к ним благодаря связанной с сервисом роли, которая создается от имени пользователя при начале работы с Amazon Inspector в качестве нового клиента или в новом регионе. Связанная с сервисом роль находится под управлением Amazon Inspector, поэтому случайной отмены разрешений, необходимых сервису, можно не опасаться. В случае с некоторыми существующими клиентами для доступа к другим сервисам AWS может использоваться роль IAM, зарегистрированная при начале работы с Amazon Inspector, пока не будет создана связанная с сервисом роль. Создать связанную с сервисом роль для Amazon Inspector можно на странице панели управления в консоли Amazon Inspector.

Вопрос: Я использую для своих инстансов трансляцию сетевых адресов (NAT). Будет ли Amazon Inspector работать с такими инстансами?
Да. Amazon Inspector поддерживает работу с инстансами, которые используют NAT, и не требует при этом дополнительных действий со стороны пользователя.

Вопрос: Я использую для своих инстансов прокси-сервер. Будет ли Amazon Inspector работать с такими инстансами?
Да. Агент Amazon Inspector поддерживает среды прокси-серверов. Для инстансов Linux реализована поддержка HTTPS, а для инстансов Windows – поддержка WinHTTP. См. инструкции по настройке поддержки прокси-сервера для агента Amazon Inspector в Руководстве пользователя Amazon Inspector.

Вопрос: Я хотел бы проводить автоматизированную оценку инфраструктуры на регулярной основе. Существует ли возможность производить автоматическую отправку результатов оценки?
Да. Amazon Inspector предоставляет полный API, который позволяет автоматически создавать среды приложений, создавать оценки, производить оценку политик, создавать исключения политик и фильтры, а также извлекать результаты.

Вопрос: Можно ли запланировать проведение оценки безопасности на определенную дату и время?
Да. Процесс оценки с помощью Amazon Inspector может быть запущен любым событием Amazon CloudWatch. Можно добавить в расписание повторяющееся событие, как с фиксированным интервалом повторения с помощью простого выражения rate, так и с использованием более сложного выражения cron.

Вопрос: Может ли событие служить триггером запуска оценки?
Да. Можно использовать Amazon CloudWatch Events для создания схем событий, которые будут следить за другими сервисами AWS и запускать оценку на основе определенных действий. Например, можно создать событие для отслеживания запуска новых инстансов Amazon EC2 с помощью AWS Auto Scaling или уведомлений AWS CodeDeploy об успешном завершении развертывания кода. После настройки Amazon CloudWatch Events для шаблонов Amazon Inspector события-триггеры будут отображаться в консоли Amazon Inspector в составе шаблонов оценки. Это дает возможность просматривать все автоматизированные триггеры для запуска конкретной оценки.

Вопрос: Можно ли настроить оценки Amazon Inspector с помощью AWS CloudFormation?
Да. Группы ресурсов, цели оценки и шаблоны оценки Amazon Inspector можно создавать с помощью шаблонов AWS CloudFormation. Это позволяет автоматически настроить проведение оценки безопасности для инстансов EC2 при их развертывании. В шаблоне CloudFormation также можно настроить скрипт для установки агента Amazon Inspector на инстансах EC2 с помощью команд установки агента в AWS::CloudFormation::Init или пользовательских данных EC2. Кроме того, в шаблоне Amazon CloudFormation можно создавать инстансы EC2 с использованием образа AMI, включающего агент Amazon Inspector.

Вопрос: Где можно просмотреть данные метрик по результатам оценок Amazon Inspector?
Amazon Inspector автоматически публикует данные метрик по проведенным оценкам в Amazon CloudWatch. Статистика оценки Amazon Inspector для пользователей CloudWatch будет автоматически отображаться в этом сервисе. Сейчас пользователям доступны следующие метрики Inspector: число выполненных оценок, оцениваемые агенты и собранные в результате оценки данные. Дополнительную информацию о метриках оценки, которые выгружаются в CloudWatch, можно найти в документации по Amazon Inspector

Вопрос: Можно ли интегрировать Amazon Inspector с другими сервисами AWS для ведения журналов и отправки уведомлений?
Amazon Inspector интегрирован с Amazon SNS для отправки уведомлений о различных событиях, например этапах мониторинга, сбоях или окончании действия исключений, а также с AWS CloudTrail для ведения журналов вызовов Amazon Inspector.

Вопрос: Что представляет собой пакет правил CIS Operating System Security Configuration Benchmarks?
Руководства по оценочному тестированию CIS Security Benchmark предоставляются Центром интернет-безопасности и являются единственными руководствами с рекомендациями по обеспечению безопасности, разработанными и принятыми после согласования с государственными, коммерческими, отраслевыми и научными организациями. Amazon Web Services является участником программы CIS Security Benchmarks, при этом список сертификатов Amazon Inspector можно посмотреть здесь. Правила оценочного тестирования CIS разработаны в качестве проверки безопасности, прохождение которой может завершиться успешно или неудачно. Для каждой проверки CIS, которая завершилась неудачно, Inspector генерирует нарушение с высокой степенью серьезности. Кроме того, для каждого инстанса генерируется нарушение, носящее информационный характер, в котором перечисляются все проверенные правила CIS, а также дается информация об успешном или неудачном выполнении теста для каждого правила.

Вопрос: Что представляет собой пакет правил Common Vulnerabilities and Exposures?
Пакет Common Vulnerabilities and Exposures, или правила CVE, используется для проверки наличия известных уязвимостей и рисков информационной безопасности. Подробные сведения о правилах CVE можно найти в общедоступной национальной базе данных уязвимостей (NVD). Мы используем общую систему оценки уязвимостей NVD (CVSS)в качестве основного источника информации о серьезности уязвимостей. Если данные о CVE отсутствуют в базе NVD, но присутствует в советах по обеспечению безопасности пакета AMI Amazon Linux (ALAS), то мы используем информацию о серьезности уязвимостей, представленную в советах по обеспечению безопасности Amazon Linux. Если данные о CVE отсутствуют и в базе NVD, и в ALAS, мы не будем сообщать о таком CVE как о нарушении. Мы ежедневно проверяем последнюю информацию в NVD и ALAS и соответствующим образом обновляем свои пакеты правил.

Вопрос: Какая степень серьезности у нарушений?
Каждому правилу Amazon Inspector присвоена своя степень серьезности, которая по классификации Amazon носит высокий, средний, низкий и информационный характер. Степень серьезности позволяет определить приоритеты при реагировании на нарушения.

Вопрос: Как определяется степень серьезности?
Степень серьезности правила основана на потенциальном влиянии обнаруженной проблемы безопасности. Хотя для некоторых пакетов правил определены уровни серьезности, предусмотренные рамками предоставляемых правил, они часто могут отличаться в зависимости от набора правил. Amazon Inspector упорядочивает уровни серьезности для нарушений во всех доступных пакетах правил путем сопоставления отдельных уровней серьезности с уровнями общей классификации (высоким, средним, низким и информационным). Для высокого, среднего и низкого уровней серьезности нарушений более высокая степень серьезности нарушения означает большее влияние проблемы на безопасность. Нарушения, которые классифицируются как информационные, предоставляются для информирования клиентов по вопросам безопасности и могут не оказывать немедленного воздействия на безопасность.

  • Для поддерживаемых пакетов правил AWS степень серьезности определяется подразделением AWS по обеспечению безопасности.
  • Для нарушений пакетов правил CIS Benchmarks всегда используется высокая степень серьезности.
  • Для пакета правил Common Vulnerabilities and Exploits (CVE) Amazon Inspector использует следующее сопоставление уровней серьезности с оценками уязвимостей, предоставляемыми базой CVSS, и уровнями серьезности, предоставляемыми ALAS:
            Серьезность Amazon Inspector        Базовая оценка CVSS            Серьезность ALAS (если оценка CVSS отсутствует)
            «Высокая»                                               >= 5                                  «Критическая» или «Важная»
            «Средняя»                                         < 5 и >= 2,1                     «Средняя»
            «Низкая»                                               < 2,1 и >= 0,8               «Низкая»
            «Информационная»                                 < 0,8                                 Н/Д

Вопрос: Когда я описываю нарушения через API (DescribeFindings), каждое нарушение имеет атрибут numericSeverity. Что означает этот атрибут?
Атрибут numericSeverity – это числовое представление серьезности нарушения. Числовые значения серьезности нарушений следующим образом отражают серьезность нарушения.
            Информационная = 0,0
            Низкая = 3,0
            Средняя = 6,0
            Высокая = 9,0

Вопрос: Работает ли Amazon Inspector с решениями, предоставляемыми партнерами AWS?
Да, в Amazon Inspector есть публичные API, доступные для использования клиентами и партнерами AWS. Некоторые партнеры интегрировали Amazon Inspector в свою работу и включают отправку отчетов о нарушениях по электронной почте, через системы заявок, пейджерные платформы или универсальные панели управления безопасностью. Подробные сведения о партнерах, поддерживающих использование сервиса, см. на странице партнеров по Amazon Inspector.

Вопрос: Соответствует ли сервис Amazon Inspector требованиям HIPAA?
Да, Amazon Inspector соответствует требованиям HIPAA и включен в договор делового партнерства (BAA) AWS. Если вы заключили с AWS договор BAA, вы можете запускать Amazon Inspector в инстансах EC2, содержащих закрытую медицинскую информацию (PHI).

Вопрос: Какие программы обеспечения соответствия и предоставления гарантий поддерживает Amazon Inspector?
Amazon Inspector поддерживает SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 и HIPAA. Инспектор отвечает требованиям FedRAMP, и сейчас мы ждем завершения аудиторского отчета. Если вы хотите узнать подробнее, на какие сервисы AWS распространяются программы обеспечения соответствия, посетите страницу Сервисы AWS в программе обеспечения соответствия.