Tipos de descoberta no Amazon Inspector - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Tipos de descoberta no Amazon Inspector

O Amazon Inspector gera descobertas para instâncias do Amazon Elastic Compute Cloud (Amazon EC2), imagens de contêineres nos repositórios e funções do Amazon Elastic Container Registry (Amazon ECR). AWS Lambda O Amazon Inspector pode gerar os seguintes tipos de descobertas.

Vulnerabilidade do pacote

As descobertas de vulnerabilidade de pacotes identificam pacotes de software em seu AWS ambiente que estão expostos a Common Vulnerabilities and Exposures (CVEs). Os invasores podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. O sistema de CVE é um método de referência a informações conhecidas publicamente sobre vulnerabilidades e exposições de segurança. Para obter mais informações, consulte https://www.cve.org/.

As detecções de CVE para Linux são adicionadas ao Amazon Inspector dentro de 24 horas após o lançamento pelas recomendações de segurança do fornecedor. As detecções de CVE para Windows são adicionadas ao Amazon Inspector dentro de 48 horas após serem lançadas pela Microsoft. Use o Pesquisa no banco de dados de vulnerabilidades do Amazon Inspector para consultar se a detecção de CVE tem suporte.

O Amazon Inspector pode gerar descobertas de vulnerabilidade de pacotes para instâncias EC2, imagens de contêineres ECR e funções do Lambda. As descobertas de vulnerabilidade do pacote têm detalhes adicionais exclusivos para esse tipo de descoberta, como a Pontuação do inspetor e inteligência de vulnerabilidade.

Vulnerabilidade de código

As descobertas da vulnerabilidade do código identificam linhas em seu código que os invasores poderiam explorar. As vulnerabilidades do código incluem falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente em seu código.

O Amazon Inspector avalia o código do seu aplicativo de função do Lambda usando raciocínio automatizado e machine learning que analisa o código do seu aplicativo para verificar a conformidade geral de segurança. Ele identifica violações de políticas e vulnerabilidades com base em detectores internos desenvolvidos em colaboração com a Amazon. CodeGuru Para obter uma lista de possíveis detecções, consulte Biblioteca de CodeGuru detectores.

Importante

O escaneamento de código do Amazon Inspector captura trechos de código para destacar as vulnerabilidades detectadas. Esses trechos podem mostrar credenciais codificadas ou outros materiais confidenciais em texto simples.

O Amazon Inspector pode gerar descobertas de Vulnerabilidade de código para funções do Lambda se você tiver ativado o Escaneamento de código do Lambda do Amazon Inspector.

Trechos de código detectados em conexão com uma vulnerabilidade de código são armazenados pelo CodeGuru serviço. Por padrão, uma AWS chave própria controlada por CodeGuru é usada para criptografar seu código, no entanto, você pode usar sua própria chave gerenciada pelo cliente para criptografia por meio da API do Amazon Inspector. Para obter mais informações, consulte Criptografia em repouso para código em suas descobertas.

Acessibilidade de rede

As descobertas de acessibilidade da rede indicam que há caminhos de rede abertos para instâncias do Amazon EC2 em seu ambiente. Essas descobertas aparecem quando as portas TCP e UDP são acessíveis a partir das bordas da VPC, como um gateway de internet (inclusive instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento da VPC ou uma VPN por meio de um gateway virtual. Essas descobertas destacam configurações de rede que podem ser excessivamente permissivas, como grupos de segurança mal gerenciados, listas de controle de acesso ou gateways de internet, ou que podem permitir acesso potencialmente mal intencionados.

O Amazon Inspector gera somente descobertas de acessibilidade de rede para instâncias do Amazon EC2. O Amazon Inspector realiza verificações de descobertas de acessibilidade de rede a cada 24 horas.

O Amazon Inspector avalia as seguintes configurações ao verificar caminhos de rede: