Introducción a Amazon Inspector - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción a Amazon Inspector

En este tutorial, encontrará una introducción práctica acerca de Amazon Inspector.

El paso 1 incluye la activación de los escaneos de Amazon Inspector para una cuenta independiente o como administrador delegado de Amazon Inspector AWS Organizations en un entorno de múltiples cuentas.

El paso 2 le ayuda a utilizar los resultados de Amazon Inspector en la consola.

nota

En este tutorial, completará las tareas en su versión actual. Región de AWS Para configurar Amazon Inspector en otras regiones, deberá completar estos pasos en cada una de las regiones.

Antes de empezar

Amazon Inspector es un servicio de administración de vulnerabilidades que analiza continuamente las instancias de Amazon EC2, las imágenes de los contenedores de Amazon ECR y las AWS Lambda funciones para detectar vulnerabilidades de software y exposiciones no intencionadas en la red.

Información importante antes de activar Amazon Inspector:

  • Amazon Inspector es un servicio regional y los datos se almacenan en el Región de AWS lugar donde se utiliza el servicio. Todos los procedimientos de configuración que complete en este tutorial deben repetirse en cada uno de los procedimientos de configuración Región de AWS que desee supervisar con Amazon Inspector.

  • Amazon Inspector le ofrece la flexibilidad de activar la instancia de Amazon EC2, la imagen del contenedor de Amazon ECR y AWS Lambda el escaneo de funciones. Puede administrar los tipos de análisis desde la página de administración de cuentas de la consola de Amazon Inspector o mediante las API de Amazon Inspector.

  • Amazon Inspector puede proporcionar datos sobre vulnerabilidades y riesgos comunes (CVE) para sus instancias de EC2 solo si el agente de Amazon EC2 Systems Manager (SSM) está instalado y activado. Este agente viene preinstalado en muchas instancias de EC2, pero es posible que tenga que activarlo manualmente. Independientemente del estado del agente de SSM, se analizarán todas las instancias de EC2 en busca de problemas de exposición de red. Para obtener más información acerca de la configuración de análisis de Amazon EC2, consulte Análisis de instancias de Amazon EC2. Amazon ECR y el escaneo de AWS Lambda funciones no requieren el uso de un agente.

  • Una identidad de usuario de IAM con permisos de administrador Cuenta de AWS puede habilitar Amazon Inspector. Con fines de protección de datos, le recomendamos que proteja sus credenciales y configure usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para administrar Amazon Inspector. Para obtener más información acerca de los permisos necesarios para habilitar Amazon Inspector, consulte AWS política gestionada: AmazonInspector2FullAccess.

  • Al activar Amazon Inspector por primera vez en una región, se crea un rol vinculado a servicios a nivel mundial para la cuenta, denominado AWSServiceRoleForAmazonInspector2. Este rol incluye los permisos y las políticas de confianza que permiten a Amazon Inspector recopilar detalles de paquetes de software y analizar configuraciones de Amazon VPC para generar resultados de vulnerabilidades. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon Inspector. Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios.

Paso 1: activación de Amazon Inspector

El primer paso antes de utilizar Amazon Inspector es activarlo para su Cuenta de AWS. Una vez haya activado cualquier tipo de análisis de Amazon Inspector, Amazon Inspector comenzará inmediatamente a descubrir y a analizar todos los recursos elegibles.

Si desea administrar Amazon Inspector para varias cuentas de su organización a través de una cuenta de administrador centralizada, deberá asignar un administrador delegado para Amazon Inspector. Elija una de las siguientes opciones para aprender a activar Amazon Inspector en su entorno.

Standalone account environment
  1. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. Elija Comenzar.

  3. Elija Activar Amazon Inspector.

Al activar Amazon Inspector en una cuenta independiente, todos los tipos de análisis se activan de forma predeterminada. Puede administrar los tipos de análisis activados desde la página de administración de cuentas de la consola de Amazon Inspector o mediante las API de Amazon Inspector. Una vez activado, Amazon Inspector detecta automáticamente todos los recursos elegibles y comienza a analizarlos. Revise la información sobre el tipo de análisis que se indica a continuación para conocer cuáles son los recursos elegibles de forma predeterminada:

Análisis de Amazon EC2

Para proporcionar datos sobre vulnerabilidades y exposiciones comunes (CVE) para su instancia EC2, Amazon Inspector requiere que el agente AWS Systems Manager (SSM) esté instalado y activado. Este agente viene preinstalado en muchas instancias de EC2, pero es posible que deba activarlo manualmente. Independientemente del estado del agente de SSM, se analizarán todas las instancias de EC2 en busca de problemas de exposición de red. Para obtener más información acerca de la configuración de análisis de Amazon EC2, consulte Análisis de instancias de Amazon EC2 con Amazon Inspector.

Análisis de Amazon ECR

Al activar el análisis de Amazon ECR, Amazon Inspector modifica todos los repositorios de contenedores de su registro privado que se hayan configurado con el valor Análisis básico proporcionado por Amazon ECR para que utilicen el valor Análisis mejorado y continuo. Si lo desea, también puede configurar este parámetro para que analice únicamente de forma automática o para que analice algunos repositorios según reglas de inclusión. Todas las imágenes insertadas en los últimos 30 días tienen programado el análisis por vigencia. Este parámetro de análisis de Amazon ECR puede modificarse en cualquier momento. Para obtener más información acerca de la configuración de análisis de Amazon ECR, consulte Análisis de imágenes de contenedores de Amazon ECR con Amazon Inspector.

AWS Lambda escaneo de funciones

Al activar el análisis de AWS Lambda funciones, Amazon Inspector descubre las funciones Lambda de su cuenta e inmediatamente comienza a analizarlas en busca de vulnerabilidades. Amazon Inspector analiza las nuevas capas y funciones de Lambda cuando se implementan y vuelve a analizarlas cuando se actualizan o cuando se publican nuevas vulnerabilidades y riesgos comunes (CVE). Amazon Inspector ofrece dos niveles diferentes para el análisis de funciones de Lambda. De forma predeterminada, cuando activa Amazon Inspector por primera vez, se activa el análisis estándar de Lambda, por el que se analizan las dependencias de paquetes en las funciones. Asimismo, puede activar el análisis de código de Lambda para analizar el código de desarrollador de las funciones en busca de vulnerabilidades de código. Para obtener más información acerca de la configuración de análisis de funciones de Lambda, consulte AWS Lambda Funciones de escaneo con Amazon Inspector.

Multi-account environment
importante

Para completar estos pasos, debe estar en la misma organización que todas las cuentas que desee administrar y tener acceso a la cuenta de administración de AWS Organizations con el fin de delegar un administrador para Amazon Inspector en su organización. Es posible que se necesiten permisos adicionales para delegar un administrador. Para obtener más información, consulte Permisos necesarios para designar un administrador delegado.

nota

Si desea habilitar Amazon Inspector de forma programática para varias cuentas en varias regiones, puede utilizar un script de intérprete de comandos desarrollado por Amazon Inspector. Para obtener más información sobre el uso de este script, consulte inspector2 - on. enablement-with-cli GitHub

Designación de un administrador para Amazon Inspector

  1. Inicie sesión en la cuenta de administración. AWS Organizations

  2. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  3. En el panel Administrador delegado, introduzca el identificador de doce dígitos del Cuenta de AWS que desee designar como administrador delegado de Amazon Inspector para la organización. A continuación, elija Delegar. En la ventana de confirmación, elija Delegar una vez más.

    nota

    Amazon Inspector se activa en su cuenta cuando delega un administrador.

Adición de cuentas de miembros

Como administrador delegado, puede activar el análisis para cualquier miembro asociado a la cuenta de administración de Organizations. Este flujo de trabajo activa todos los tipos de análisis para todas las cuentas de miembros. No obstante, los miembros también pueden activar Amazon Inspector en sus propias cuentas. El administrador delegado puede activar selectivamente los análisis para un servicio. Para obtener más información, consulte Administración de varias cuentas .

  1. Inicie sesión en la cuenta de administrador delegado.

  2. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  3. En el panel de navegación, elija Administración de cuentas. En la tabla Cuentas se muestran todas las cuentas de miembros asociadas a la cuenta de administración de Organizations.

  4. En la página de administración de cuentas, puede seleccionar Activar el escaneo de todas las cuentas en la parte superior para activar las instancias de EC2, las imágenes de los contenedores de ECR y el escaneo de AWS Lambda funciones para todas las cuentas de su organización. También puede elegir las cuentas que desee añadir como miembros en la tabla Cuentas. A continuación, en el menú Activar, seleccione Todos los análisis.

  5. (Opcional) Active la característica Activar Inspector automáticamente para las nuevas cuentas de miembros y seleccione los tipos de análisis que desee incluir para activar los análisis en todas las cuentas de miembro nuevas que se añadan a la organización.

Actualmente, Amazon Inspector ofrece escaneos para instancias EC2, imágenes de contenedores ECR y AWS Lambda funciones. Una vez activado, Amazon Inspector detecta automáticamente todos los recursos elegibles y comienza a analizarlos. Revise la información sobre el tipo de análisis que se indica a continuación para conocer cuáles son los recursos elegibles de forma predeterminada:

Análisis de Amazon EC2

Para proporcionar datos de vulnerabilidad de CVE para sus instancias EC2, Amazon Inspector requiere que el agente AWS Systems Manager (SSM) esté instalado y activado. Este agente viene preinstalado en muchas instancias de EC2, pero es posible que deba activarlo manualmente. Independientemente del estado del agente de SSM, se analizarán todas las instancias de EC2 en busca de problemas de exposición de red. Para obtener más información acerca de la configuración de análisis de Amazon EC2, consulte Análisis de instancias de Amazon EC2 con Amazon Inspector.

Análisis de Amazon ECR

Al activar el análisis de Amazon ECR, Amazon Inspector modifica todos los repositorios de contenedores de su registro privado que se hayan configurado con el valor Análisis básico proporcionado por Amazon ECR para que utilicen el valor Análisis mejorado y continuo. Si lo desea, también puede configurar este parámetro para que analice únicamente de forma automática o para que analice algunos repositorios según reglas de inclusión. Todas las imágenes insertadas en los últimos 30 días tienen programado el análisis por vigencia. El administrador delegado puede modificar este parámetro de análisis de Amazon ECR en cualquier momento. Para obtener más información acerca de la configuración de análisis de Amazon ECR, consulte Análisis de imágenes de contenedores de Amazon ECR con Amazon Inspector.

AWS Lambda escaneo de funciones

Al activar el análisis de AWS Lambda funciones, Amazon Inspector descubre las funciones Lambda de su cuenta e inmediatamente comienza a analizarlas en busca de vulnerabilidades. Amazon Inspector analiza las nuevas capas y funciones de Lambda cuando se implementan y vuelve a analizarlas cuando se actualizan o cuando se publican nuevas vulnerabilidades y riesgos comunes (CVE). Para obtener más información acerca de la configuración de análisis de funciones de Lambda, consulte AWS Lambda Funciones de escaneo con Amazon Inspector.

Paso 2: visualización de los resultados de Amazon Inspector

Puede ver los resultados de su entorno en la consola de Amazon Inspector o a través de la API. Todos los resultados también se envían a Amazon EventBridge y AWS Security Hub (si están activados). Además, los resultados relacionados con las imágenes de contenedores se envían a Amazon ECR.

La consola de Amazon Inspector ofrece varios formatos de visualización distintos para los resultados. El panel de Amazon Inspector proporciona información general de alto nivel sobre los riesgos que corre el entorno, mientras que la tabla Resultados le permite consultar los detalles de un resultado concreto.

En este paso, aprenderá a consultar los detalles de un resultado con la tabla Resultados y el panel correspondiente. Para obtener más información acerca del panel de Amazon Inspector, consulte Descripción del panel.

Visualización de detalles de los resultados de un entorno en la consola de Amazon Inspector:

  1. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. En el panel de navegación, seleccione Panel. Seleccione cualquiera de los enlaces del panel para acceder a una página de la consola de Amazon Inspector con más información sobre el elemento en cuestión.

  3. En el panel de navegación, seleccione Resultados.

  4. De forma predeterminada, verá la pestaña Todos los hallazgos, que muestra todos los hallazgos de la instancia EC2, la imagen del contenedor de ECR y las AWS Lambda funciones de su entorno.

  5. En la lista Resultados, elija un nombre de resultado de la columna Título para abrir el panel de detalles correspondiente. Todos los resultados tienen la pestaña Detalles del resultado. Puede interactuar con la pestaña Detalles del resultado de las siguientes maneras:

    • Si desea obtener más información acerca de la vulnerabilidad, siga el enlace de la sección Detalles de la vulnerabilidad para abrir la documentación de dicha vulnerabilidad.

    • Si desea investigar más a fondo el recurso, siga el enlace ID de recurso de la sección Recurso afectado para abrir la consola de servicio del recurso afectado.

    Los resultados del tipo Vulnerabilidad de paquetes también incluyen la pestaña Puntuación de Inspector e inteligencia de vulnerabilidades, en la que se explica cómo se ha calculado la puntuación de Amazon Inspector de un resultado y se proporciona información sobre la lista de vulnerabilidades y riesgos comunes (CVE) asociada al resultado. Para obtener más información acerca de los tipos de resultado, consulte Tipos de resultados en Amazon Inspector.