Introducción a Amazon Inspector - Amazon Inspector
Antes de empezarPaso 1: activación de Amazon Inspector Paso 2: visualización de los resultados de Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a Amazon Inspector

Amazon Inspector es un servicio de administración de vulnerabilidades que analiza continuamente las instancias de Amazon EC2, las imágenes de los contenedores de Amazon ECR y las AWS Lambda funciones para detectar vulnerabilidades de software y exposiciones no intencionadas en la red. El siguiente tutorial proporciona una introducción a Amazon Inspector. El paso 1 describe cómo activar los escaneos de Amazon Inspector para una cuenta independiente o una cuenta de administrador delegado. El paso 2 describe cómo ver los hallazgos de Amazon Inspector

Antes de empezar

Antes de activar Amazon Inspector, tenga en cuenta lo siguiente:

  • Amazon Inspector es un servicio regional. Los datos se almacenan en el Región de AWS lugar donde se activa Amazon Inspector. Debe repetir los pasos de este tutorial para cada Región de AWS lugar en el que desee activar Amazon Inspector.

  • Puede activar y desactivar la instancia de Amazon EC2, la imagen del contenedor de Amazon ECR AWS Lambda y el escaneo de funciones desde la página de administración de cuentas de la consola de Amazon Inspector o con la API de Amazon Inspector.

  • Amazon Inspector puede proporcionar datos sobre vulnerabilidades y exposiciones comunes (CVE) para sus instancias de EC2 con el agente Amazon EC2 Systems Manager (SSM). El agente SSM viene preinstalado en muchas instancias de EC2, pero es posible que deba activarlo manualmente. Independientemente del estado del agente SSM, todas las instancias de EC2 se escanean para detectar problemas de exposición a la red. Amazon ECR y el escaneo de AWS Lambda funciones no requieren el uso de un agente. Para obtener más información sobre la configuración de escaneos para Amazon EC2, consulte Escaneo de instancias de Amazon EC2 con Amazon Inspector.

  • Las identidades de usuario de IAM con permisos de administrador pueden activar Amazon Inspector. Le recomendamos que proteja sus credenciales configurando usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). Esto le ayuda a asegurarse de que cada uno de sus usuarios solo tiene los permisos necesarios para administrar Amazon Inspector. Para obtener más información acerca de los permisos necesarios para habilitar Amazon Inspector, consulte AWS política gestionada: AmazonInspector2FullAccess.

  • Amazon Inspector crea un rol vinculado a un servicio para tu cuenta llamado AWSServiceRoleForAmazonInspector2 y. AWSServiceRoleForAmazonInspector2Agentless Esta función incluye las políticas de permisos y confianza, que permiten a Amazon Inspector recopilar detalles de los paquetes de software y analizar las configuraciones de Amazon VPC para detectar vulnerabilidades.

  • Al activar Amazon Inspector, el modo de escaneo híbrido se habilita automáticamente. El modo de escaneo híbrido incluye métodos de escaneo con y sin agente en las instancias elegibles. Para el escaneo basado en agentes, Amazon Inspector utiliza asociaciones SSM para recopilar el inventario de software de sus instancias. Para el escaneo sin agentes, Amazon Inspector utiliza instantáneas de Amazon EBS para recopilar un inventario de software de sus instancias. Para obtener más información sobre estos métodos de escaneo, consulte Escanear instancias de Amazon EC2 con Amazon Inspector.

  • Los costos mensuales se basan en las cargas de trabajo escaneadas. Para obtener más información, consulte Precios de Amazon Inspector.

Paso 1: activación de Amazon Inspector

El primer paso antes de utilizar Amazon Inspector es activarlo para su Cuenta de AWS. Una vez haya activado cualquier tipo de análisis de Amazon Inspector, Amazon Inspector comenzará inmediatamente a descubrir y a analizar todos los recursos elegibles.

Si desea administrar Amazon Inspector para varias cuentas de su organización a través de una cuenta de administrador centralizada, deberá asignar un administrador delegado para Amazon Inspector. Elija una de las siguientes opciones para aprender a activar Amazon Inspector en su entorno.

Standalone account environment

  1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. Elija Comenzar.

  3. Elija Activar Amazon Inspector.

Al activar Amazon Inspector en una cuenta independiente, todos los tipos de análisis se activan de forma predeterminada. Puede administrar los tipos de análisis activados desde la página de administración de cuentas de la consola de Amazon Inspector o mediante las API de Amazon Inspector. Una vez activado, Amazon Inspector detecta automáticamente todos los recursos elegibles y comienza a analizarlos. Revise la información sobre el tipo de análisis que se indica a continuación para conocer cuáles son los recursos elegibles de forma predeterminada:

Análisis de Amazon EC2

Para proporcionar datos sobre vulnerabilidades y exposiciones comunes (CVE) para su instancia EC2, Amazon Inspector requiere que el agente AWS Systems Manager (SSM) esté instalado y activado. Este agente viene preinstalado en muchas instancias de EC2, pero es posible que deba activarlo manualmente. Independientemente del estado del agente de SSM, se analizarán todas las instancias de EC2 en busca de problemas de exposición de red. Para obtener más información acerca de la configuración de análisis de Amazon EC2, consulte Análisis de instancias de Amazon EC2 con Amazon Inspector.

Análisis de Amazon ECR

Al activar el análisis de Amazon ECR, Amazon Inspector modifica todos los repositorios de contenedores de su registro privado que se hayan configurado con el valor Análisis básico proporcionado por Amazon ECR para que utilicen el valor Análisis mejorado y continuo. Si lo desea, también puede configurar este parámetro para que analice únicamente de forma automática o para que analice algunos repositorios según reglas de inclusión. Todas las imágenes insertadas en los últimos 30 días tienen programado el análisis por vigencia. Este parámetro de análisis de Amazon ECR puede modificarse en cualquier momento. Para obtener más información acerca de la configuración de análisis de Amazon ECR, consulte Análisis de imágenes de contenedores de Amazon ECR con Amazon Inspector.

AWS Lambda escaneo de funciones

Al activar el análisis de AWS Lambda funciones, Amazon Inspector descubre las funciones Lambda de su cuenta e inmediatamente comienza a analizarlas en busca de vulnerabilidades. Amazon Inspector analiza las nuevas capas y funciones de Lambda cuando se implementan y vuelve a analizarlas cuando se actualizan o cuando se publican nuevas vulnerabilidades y riesgos comunes (CVE). Amazon Inspector ofrece dos niveles diferentes para el análisis de funciones de Lambda. De forma predeterminada, cuando activa Amazon Inspector por primera vez, se activa el análisis estándar de Lambda, por el que se analizan las dependencias de paquetes en las funciones. Asimismo, puede activar el análisis de código de Lambda para analizar el código de desarrollador de las funciones en busca de vulnerabilidades de código. Para obtener más información acerca de la configuración de análisis de funciones de Lambda, consulte AWS Lambda Funciones de escaneo con Amazon Inspector.

Multi-account environment
importante

Para completar estos pasos, debe estar en la misma organización que todas las cuentas que desee administrar y tener acceso a la cuenta de administración de AWS Organizations con el fin de delegar un administrador para Amazon Inspector en su organización. Es posible que se necesiten permisos adicionales para delegar un administrador. Para obtener más información, consulte Permisos necesarios para designar un administrador delegado.

nota

Si desea habilitar Amazon Inspector de forma programática para varias cuentas en varias regiones, puede utilizar un script de intérprete de comandos desarrollado por Amazon Inspector. Para obtener más información sobre el uso de este script, consulte inspector2 - on. enablement-with-cli GitHub

Designación de un administrador para Amazon Inspector

  1. Inicie sesión en la cuenta de administración. AWS Organizations

  2. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  3. En el panel Administrador delegado, introduzca el identificador de doce dígitos del Cuenta de AWS que desee designar como administrador delegado de Amazon Inspector para la organización. A continuación, elija Delegar. En la ventana de confirmación, elija Delegar una vez más.

    nota

    Amazon Inspector se activa en su cuenta cuando delega un administrador.

Adición de cuentas de miembros

Como administrador delegado, puede activar el análisis para cualquier miembro asociado a la cuenta de administración de Organizations. Este flujo de trabajo activa todos los tipos de análisis para todas las cuentas de miembros. No obstante, los miembros también pueden activar Amazon Inspector en sus propias cuentas. El administrador delegado puede activar selectivamente los análisis para un servicio. Para obtener más información, consulte Administración de varias cuentas .

  1. Inicie sesión en la cuenta de administrador delegado.

  2. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  3. En el panel de navegación, elija Administración de cuentas. En la tabla Cuentas se muestran todas las cuentas de miembros asociadas a la cuenta de administración de Organizations.

  4. En la página de administración de cuentas, puede seleccionar Activar el escaneo de todas las cuentas en la parte superior para activar las instancias de EC2, las imágenes de los contenedores de ECR y el escaneo de AWS Lambda funciones para todas las cuentas de su organización. También puede elegir las cuentas que desee añadir como miembros en la tabla Cuentas. A continuación, en el menú Activar, seleccione Todos los análisis.

  5. (Opcional) Active la característica Activar Inspector automáticamente para las nuevas cuentas de miembros y seleccione los tipos de análisis que desee incluir para activar los análisis en todas las cuentas de miembro nuevas que se añadan a la organización.

Actualmente, Amazon Inspector ofrece escaneos para instancias EC2, imágenes de contenedores ECR y AWS Lambda funciones. Una vez activado, Amazon Inspector detecta automáticamente todos los recursos elegibles y comienza a analizarlos. Revise la información sobre el tipo de análisis que se indica a continuación para conocer cuáles son los recursos elegibles de forma predeterminada:

Análisis de Amazon EC2

Para proporcionar datos de vulnerabilidad de CVE para sus instancias EC2, Amazon Inspector requiere que el agente AWS Systems Manager (SSM) esté instalado y activado. Este agente viene preinstalado en muchas instancias de EC2, pero es posible que deba activarlo manualmente. Independientemente del estado del agente de SSM, se analizarán todas las instancias de EC2 en busca de problemas de exposición de red. Para obtener más información acerca de la configuración de análisis de Amazon EC2, consulte Análisis de instancias de Amazon EC2 con Amazon Inspector.

Análisis de Amazon ECR

Al activar el análisis de Amazon ECR, Amazon Inspector modifica todos los repositorios de contenedores de su registro privado que se hayan configurado con el valor Análisis básico proporcionado por Amazon ECR para que utilicen el valor Análisis mejorado y continuo. Si lo desea, también puede configurar este parámetro para que analice únicamente de forma automática o para que analice algunos repositorios según reglas de inclusión. Todas las imágenes insertadas en los últimos 30 días tienen programado el análisis por vigencia. El administrador delegado puede modificar este parámetro de análisis de Amazon ECR en cualquier momento. Para obtener más información acerca de la configuración de análisis de Amazon ECR, consulte Análisis de imágenes de contenedores de Amazon ECR con Amazon Inspector.

AWS Lambda escaneo de funciones

Al activar el análisis de AWS Lambda funciones, Amazon Inspector descubre las funciones Lambda de su cuenta e inmediatamente comienza a analizarlas en busca de vulnerabilidades. Amazon Inspector analiza las nuevas capas y funciones de Lambda cuando se implementan y vuelve a analizarlas cuando se actualizan o cuando se publican nuevas vulnerabilidades y riesgos comunes (CVE). Para obtener más información acerca de la configuración de análisis de funciones de Lambda, consulte AWS Lambda Funciones de escaneo con Amazon Inspector.

Paso 2: visualización de los resultados de Amazon Inspector

Puede ver los resultados de su entorno en la consola de Amazon Inspector o a través de la API. Todos los resultados también se envían a Amazon EventBridge y AWS Security Hub (si están activados). Además, los resultados relacionados con las imágenes de contenedores se envían a Amazon ECR.

La consola de Amazon Inspector ofrece varios formatos de visualización distintos para los resultados. El panel de Amazon Inspector proporciona información general de alto nivel sobre los riesgos que corre el entorno, mientras que la tabla Resultados le permite consultar los detalles de un resultado concreto.

En este paso, aprenderá a consultar los detalles de un resultado con la tabla Resultados y el panel correspondiente. Para obtener más información acerca del panel de Amazon Inspector, consulte Descripción del panel.

Visualización de detalles de los resultados de un entorno en la consola de Amazon Inspector:

  1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. En el panel de navegación, seleccione Panel. Seleccione cualquiera de los enlaces del panel para acceder a una página de la consola de Amazon Inspector con más información sobre el elemento en cuestión.

  3. En el panel de navegación, seleccione Resultados.

  4. De forma predeterminada, verá la pestaña Todos los hallazgos, que muestra todos los hallazgos de las instancias EC2, la imagen del contenedor de ECR y las AWS Lambda funciones de su entorno.

  5. En la lista Resultados, elija un nombre de resultado de la columna Título para abrir el panel de detalles correspondiente. Todos los resultados tienen la pestaña Detalles del resultado. Puede interactuar con la pestaña Detalles del resultado de las siguientes maneras:

    • Si desea obtener más información acerca de la vulnerabilidad, siga el enlace de la sección Detalles de la vulnerabilidad para abrir la documentación de dicha vulnerabilidad.

    • Si desea investigar más a fondo el recurso, siga el enlace ID de recurso de la sección Recurso afectado para abrir la consola de servicio del recurso afectado.

    Los resultados del tipo Vulnerabilidad de paquetes también incluyen la pestaña Puntuación de Inspector e inteligencia de vulnerabilidades, en la que se explica cómo se ha calculado la puntuación de Amazon Inspector de un resultado y se proporciona información sobre la lista de vulnerabilidades y riesgos comunes (CVE) asociada al resultado. Para obtener más información acerca de los tipos de resultado, consulte Tipos de resultados en Amazon Inspector.