Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Amazon Inspector
Estos controles están relacionados con los recursos de Amazon Inspector.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Inspector.1] El EC2 escaneo de Amazon Inspector debe estar activado
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-ec2-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el EC2 escaneo de Amazon Inspector está activado. El control falla si el EC2 escaneo de Amazon Inspector no está activado.
nota
En un entorno de varias cuentas, este control solo evalúa la cuenta de administrador delegada de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de EC2 escaneo de las cuentas de los miembros de la organización. Las cuentas de los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas.
El EC2 escaneo de Amazon Inspector extrae los metadatos de su instancia de Amazon Elastic Compute Cloud (AmazonEC2) y, a continuación, los compara con las reglas recopiladas en los avisos de seguridad para obtener resultados. Amazon Inspector escanea las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad de la red. Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede escanear sin un SSM agente, consulte Sistemas operativos compatibles: EC2 digitalización de Amazon.
Corrección
Para activar el EC2 escaneo de Amazon Inspector, consulte Activación de escaneos en la Guía del usuario de Amazon Inspector.
[Inspector.2] El ECR escaneo de Amazon Inspector debe estar activado
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-ecr-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el ECR escaneo de Amazon Inspector está activado. El control falla si el ECR escaneo de Amazon Inspector no está activado.
nota
En un entorno de varias cuentas, este control solo evalúa la cuenta de administrador delegada de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de ECR escaneo de las cuentas de los miembros de la organización. Las cuentas de los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas.
Amazon Inspector escanea las imágenes de los contenedores almacenadas en Amazon Elastic Container Registry (AmazonECR) en busca de vulnerabilidades de software para generar hallazgos de vulnerabilidades en los paquetes. Cuando activas los escaneos de Amazon Inspector para AmazonECR, estableces Amazon Inspector como tu servicio de escaneo preferido para tu registro privado. Esto reemplaza el escaneo básico, que Amazon proporciona sin cargo, por el escaneo mejoradoECR, que se proporciona y factura a través de Amazon Inspector. El escaneo mejorado le ofrece la ventaja de escanear vulnerabilidades tanto para el sistema operativo como para los paquetes de lenguajes de programación a nivel de registro. Puedes revisar los hallazgos descubiertos mediante el escaneo mejorado a nivel de imagen, para cada capa de la imagen, en la ECR consola de Amazon. Además, puedes revisar estos resultados y trabajar con ellos en otros servicios que no están disponibles para los resultados de digitalización básicos, como AWS Security Hub Amazon EventBridge.
Corrección
Para activar el ECR escaneo de Amazon Inspector, consulte Activación de escaneos en la Guía del usuario de Amazon Inspector.
[Inspector.3] El escaneo de código Lambda de Amazon Inspector debe estar activado
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-lambda-code-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el escaneo de código Lambda de Amazon Inspector está activado. El control falla si el escaneo de código de Amazon Inspector Lambda no está activado.
nota
En un entorno de varias cuentas, este control solo evalúa la cuenta de administrador delegada de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de escaneo de código Lambda para las cuentas de los miembros de la organización. Las cuentas de los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas.
El escaneo de código Lambda de Amazon Inspector analiza el código de la aplicación personalizada dentro de una AWS Lambda función para detectar vulnerabilidades en el código según las prácticas recomendadas AWS de seguridad. El análisis de código de Lambda puede detectar fallos de inyección, fugas de datos, errores de criptografía débil o una falta de cifrado en el código. Esta función Regiones de AWS solo está disponible de forma específica. Puede activar el escaneo de código Lambda junto con el escaneo estándar Lambda (consulte). [Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
Corrección
Para habilitar el escaneo de código Lambda de Amazon Inspector, consulte Activación de escaneos en la Guía del usuario de Amazon Inspector.
[Inspector.4] El escaneo estándar de Amazon Inspector Lambda debe estar activado
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : inspector-lambda-standard-scan-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el escaneo estándar de Amazon Inspector Lambda está activado. El control falla si el escaneo estándar de Amazon Inspector Lambda no está activado.
nota
En un entorno de varias cuentas, este control solo evalúa la cuenta de administrador delegada de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la función de digitalización estándar Lambda para las cuentas de los miembros de la organización. Las cuentas de los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas.
El escaneo estándar de Amazon Inspector Lambda identifica las vulnerabilidades de software en las dependencias del paquete de aplicaciones que añada al código y las capas de AWS Lambda función. Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de aplicaciones de la función Lambda, Amazon Inspector produce una búsqueda de tipos detalladaPackage Vulnerability. Puede activar el escaneo de código Lambda junto con el escaneo estándar Lambda (consulte). [Inspector.3] El escaneo de código Lambda de Amazon Inspector debe estar activado
Corrección
Para habilitar el escaneo estándar de Amazon Inspector Lambda, consulte Activación de escaneos en la Guía del usuario de Amazon Inspector.
