Conceitos básicos do Amazon Inspector - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos do Amazon Inspector

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas instâncias do Amazon EC2, imagens de contêineres do Amazon ECR e AWS Lambda funções em busca de vulnerabilidades de software e exposição não intencional na rede. O tutorial a seguir fornece uma introdução ao Amazon Inspector. A Etapa 1 descreve como ativar os escaneamentos do Amazon Inspector para uma conta autônoma ou conta de administrador delegado. A etapa 2 descreve como visualizar as descobertas do Amazon Inspector

Antes de começar

Antes de ativar o Amazon Inspector, considere o seguinte:

  • O Amazon Inspector é um serviço regional. Os dados são armazenados no Região da AWS local onde você ativa o Amazon Inspector. Você deve repetir as etapas deste tutorial para cada um em Região da AWS que você deseja ativar o Amazon Inspector.

  • Você pode ativar e desativar a instância do Amazon EC2, a imagem do contêiner do Amazon ECR AWS Lambda e a varredura de funções na página de gerenciamento de contas no console do Amazon Inspector ou com a API do Amazon Inspector.

  • O Amazon Inspector pode fornecer dados de vulnerabilidades e exposições comuns (CVE) para suas instâncias do EC2 com o agente Amazon EC2 Systems Manager (SSM). O agente SSM está pré-instalado em muitas instâncias do EC2, mas talvez seja necessário ativá-lo manualmente. Independentemente do status do agente SSM, todas as suas instâncias do EC2 são verificadas em busca de problemas de exposição na rede. O Amazon ECR e o escaneamento de AWS Lambda funções não exigem o uso de um agente. Para obter mais informações sobre a configuração de escaneamentos para o Amazon EC2, consulte Verificando instâncias do Amazon EC2 com o Amazon Inspector.

  • As identidades de usuário do IAM com permissões de administrador podem habilitar o Amazon Inspector. Recomendamos que você proteja suas credenciais configurando usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Isso ajuda você a garantir que cada um dos seus usuários tenha apenas as permissões necessárias para gerenciar o Amazon Inspector. Para obter informações sobre as permissões necessárias para habilitar o Amazon Inspector, consulte AWS política gerenciada: AmazonInspector2FullAccess.

  • O Amazon Inspector cria uma função vinculada ao serviço para sua conta chamada e. AWSServiceRoleForAmazonInspector2 AWSServiceRoleForAmazonInspector2Agentless Essa função inclui as permissões e as políticas de confiança, que permitem ao Amazon Inspector coletar detalhes do pacote de software e analisar as configurações do Amazon VPC para gerar descobertas de vulnerabilidade.

  • Quando você ativa o Amazon Inspector, o modo de digitalização híbrida é ativado automaticamente. O modo de escaneamento híbrido inclui escaneamento baseado em agente e métodos de escaneamento sem agente em instâncias elegíveis. Para escaneamento baseado em agentes, o Amazon Inspector usa associações SSM para coletar inventário de software de suas instâncias. Para escanear sem agentes, o Amazon Inspector usa snapshots do Amazon EBS para coletar um inventário de software de suas instâncias. Para obter mais informações sobre esses métodos de verificação, consulte Verificando instâncias do Amazon EC2 com o Amazon Inspector.

  • Os custos mensais são baseados nas cargas de trabalho examinadas. Para obter mais informações, consulte a Definição de preço do Amazon Inspector.

Etapa 1: ativar o Amazon Inspector

O primeiro passo para usar o Amazon Inspector é ativá-lo para sua Conta da AWS. Depois de ativar qualquer tipo de verificação do Amazon Inspector, o Amazon Inspector imediatamente começa a descobrir e verificar todos os recursos elegíveis.

Se você quiser gerenciar o Amazon Inspector para várias contas dentro da sua organização por meio de uma conta de administrador centralizada, você deverá designar um administrador delegado para o Amazon Inspector. Escolha uma das opções a seguir para aprender como ativar o Amazon Inspector para seu ambiente.

Standalone account environment

Ao ativar o Amazon Inspector em uma conta independente, todos os tipos de verificação são ativados por padrão. Gerencie os tipos de verificação ativados na página de gerenciamento de contas no console do Amazon Inspector ou usando as APIs do Amazon Inspector. Depois que o Amazon Inspector é ativado, ele automaticamente descobre e começa a verificar todos os recursos elegíveis. Analise as seguintes informações sobre o tipo de verificação para entender quais recursos são elegíveis por padrão:

Verificar o Amazon EC2

Para fornecer dados de Vulnerabilidades e Exposições Comuns (CVE) para sua instância EC2, o Amazon Inspector exige que o agente do Systems AWS Manager (SSM) seja instalado e ativado. Esse atendente vem pré-instalado em muitas instâncias do EC2, mas talvez seja necessário ativá-lo manualmente. Independentemente do status do atendente do SSM, todas as suas instâncias do EC2 serão verificadas em busca de problemas de exposição na rede. Para obter mais informações sobre como configurar verificações para o Amazon EC2, consulte o Verificar as instâncias do Amazon EC2 com o Amazon Inspector.

Verificação do Amazon ECR

Ao ativar o escaneamento do Amazon ECR, o Amazon Inspector converte todos os repositórios de contêineres em seu registro privado que estão configurados para o Escaneamento básico padrão fornecido pelo Amazon ECR em Escaneamento avançado com escaneamento contínuo. Outra opção é definir essa configuração para verificar somente por push ou para verificar repositórios selecionados por meio de regras de inclusão. Todas as imagens enviadas nos últimos 30 dias estão programadas para verificação Vitalícia. Essa configuração de escaneamento do ECR do Amazon pode ser alterada a qualquer momento. Para obter mais informações sobre a configuração de verificações do Amazon ECR, consulte Verificar imagens de contêineres do Amazon ECR com o Amazon Inspector.

AWS Lambda varredura de funções

Quando você ativa a verificação de AWS Lambda funções, o Amazon Inspector descobre as funções do Lambda em sua conta e imediatamente começa a escaneá-las em busca de vulnerabilidades. O Amazon Inspector verifica novas funções do Lambda e camadas quando elas são implantadas e as examina novamente quando são atualizadas ou quando novas CVEs (vulnerabilidades e exposições comuns) são publicadas. O Amazon Inspector oferece dois níveis diferentes de escaneamento da função do Lambda. Por padrão, ao ativar o Amazon Inspector pela primeira vez, a escaneamento padrão do Lambda é ativado, que verifica as dependências do pacote em suas funções. Além disso, você poderá ativar o escaneamento de código do Lambda para verificar o código do desenvolvedor em suas funções em busca de vulnerabilidades de código. Para obter mais informações sobre como configurar a verificação da função do Lambda, consulte o AWS Lambda Funções de digitalização com o Amazon Inspector.

Multi-account environment
Importante

Para concluir essas etapas, é necessário estar na mesma organização de todas as contas que deseja gerenciar e ter acesso à conta de gerenciamento do AWS Organizations para delegar um administrador para o Amazon Inspector em sua organização. Permissões adicionais podem ser necessárias para delegar um administrador. Para ter mais informações, consulte Permissões necessárias para designar um administrador delegado.

nota

Para habilitar programaticamente o Amazon Inspector para várias contas em várias regiões, use um script de shell desenvolvido pelo Amazon Inspector. Para obter mais informações sobre como usar esse script, consulte o inspetor2- enablement-with-cli on. GitHub

Delegar um administrador do Amazon Inspector

  1. Faça login na conta AWS Organizations de gerenciamento.

  2. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  3. No painel Administrador delegado, insira o ID de doze dígitos do Conta da AWS que você deseja designar como administrador delegado do Amazon Inspector para a organização. Em seguida, selecione Excluir. Em seguida, na janela de confirmação, selecione Delegar novamente.

    nota

    O Amazon Inspector é ativado para sua conta ao delegar um administrador.

Adicionar contas-membro

Como administrador delegado, ative a verificação de qualquer membro associado à conta de gerenciamento do Organizações. Esse fluxo de trabalho ativa todos os tipos de verificação para todas as contas dos membros. No entanto, os membros também podem ativar o Amazon Inspector para suas próprias contas, ou as verificações de um serviço podem ser ativadas seletivamente pelo administrador delegado. Para ter mais informações, consulte Gerenciar várias contas.

  1. Faça login na conta de administrador delegada.

  2. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  3. No painel de navegação, selecione Gerenciamento de contas. A tabela Contas exibe todas as contas de membros associadas à conta de gerenciamento do Organizações.

  4. Na página Gerenciamento de contas, você pode escolher Ativar escaneamento para todas as contas no banner superior para ativar instâncias do EC2, imagens de contêiner ECR e escaneamento de AWS Lambda funções para todas as contas em sua organização. Como alternativa, escolha as contas que deseja adicionar como membros selecionando-as na tabela Contas. Em seguida, no menu Ativar, selecione Todas as verificações.

  5. (Opcional) Ative o recurso Ativar automaticamente o Inspetor para novas contas de membros e selecione os tipos de verificação a serem incluídos para ativar esses escaneamentos para quaisquer novas contas de membros que sejam adicionadas à sua organização.

Atualmente, o Amazon Inspector oferece escaneamentos para instâncias EC2, imagens de contêineres ECR e funções. AWS Lambda Depois de ativar o Amazon Inspector, ele automaticamente começa a descobrir e escanear todos os recursos elegíveis. Analise as seguintes informações sobre o tipo de escaneamento para entender quais recursos são elegíveis por padrão:

Verificar o Amazon EC2

Para fornecer dados de vulnerabilidade CVE para suas instâncias EC2, o Amazon Inspector exige que o agente do Systems AWS Manager (SSM) seja instalado e ativado. Esse atendente vem pré-instalado em muitas instâncias do EC2, mas talvez seja necessário ativá-lo manualmente. Independentemente do status do atendente do SSM, todas as suas instâncias do EC2 serão verificadas em busca de problemas de exposição na rede. Para obter mais informações sobre como configurar verificações para o Amazon EC2, consulte o Verificar as instâncias do Amazon EC2 com o Amazon Inspector.

Escaneamento do Amazon ECR

Ao ativar o escaneamento do Amazon ECR, o Amazon Inspector converte todos os repositórios de contêineres em seu registro privado que estão configurados para o Escaneamento básico padrão fornecido pelo Amazon ECR em Escaneamento avançado com verificação contínua. Opcionalmente, você também pode definir essa configuração para verificar somente por push ou para verificar repositórios selecionados por meio de regras de inclusão. Todas as imagens enviadas nos últimos 30 dias estão programadas para verificação Vitalícia. Essa configuração de escaneamento do Amazon ECR pode ser alterada pelo administrador delegado a qualquer momento. Para obter mais informações sobre a configuração de verificações do Amazon ECR, consulte Verificar imagens de contêineres do Amazon ECR com o Amazon Inspector.

AWS Lambda varredura de funções

Quando você ativa a verificação de AWS Lambda funções, o Amazon Inspector descobre as funções do Lambda em sua conta e imediatamente começa a escaneá-las em busca de vulnerabilidades. O Amazon Inspector verifica novas funções do Lambda e camadas do quando elas são implantadas e as examina novamente quando são atualizadas ou quando novas CVEs (vulnerabilidades e exposições comuns) são publicadas. Para obter mais informações sobre como configurar a verificação da função do Lambda, consulte o AWS Lambda Funções de digitalização com o Amazon Inspector.

Etapa 2: visualizar descobertas do Amazon Inspector

Visualize as descobertas do seu ambiente no console do Amazon Inspector ou por meio da API. Todas as descobertas também são enviadas para a Amazon EventBridge e AWS Security Hub (se ativadas). Além disso, as descobertas de imagens de contêineres são enviadas ao Amazon ECR.

O console do Amazon Inspector oferece vários formatos de visualização diferentes para suas descobertas. O painel do Amazon Inspector oferece uma visão geral de alto nível dos riscos para o seu ambiente, enquanto a tabela Descobertas permite visualizar os detalhes de uma descoberta específica.

Nesta etapa, você explora os detalhes de uma descoberta usando a tabela Descobertas e o painel Descobertas. Para obter informações sobre o painel do Amazon Inspector, consulte Noções básicas sobre o painel.

Para ver detalhes das descobertas do seu ambiente no console do Amazon Inspector:

  1. Faça login usando suas credenciais e, em seguida, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. No painel de navegação, selecione Painel. Selecione qualquer um dos links no painel para navegar até uma página no console do Amazon Inspector com mais detalhes sobre esse item.

  3. No painel de navegação, selecione Descobertas.

  4. Por padrão, você verá a guia Todas as descobertas, que exibe todas as descobertas da instância EC2, do contêiner do ECR e das AWS Lambda funções do seu ambiente.

  5. Na lista Descobertas, escolha um nome de descoberta na coluna Título para abrir o painel de detalhes dessa descoberta. Todas as descobertas têm uma guia Detalhes da descoberta. Interaja com o guia Detalhes da descoberta das seguintes formas:

    • Para ver mais informações sobre vulnerabilidade, siga o link na seção Detalhes da vulnerabilidade para abrir a documentação dessa vulnerabilidade.

    • Para investigar melhor seu recurso, siga o link ID do recurso na seção Recurso afetado para abrir o console de serviço do recurso afetado.

    As descobertas do tipo de vulnerabilidade do package também têm uma Pontuação do Inspector e uma guia de inteligência de vulnerabilidade explicando como a pontuação do Amazon Inspector foi calculada para essa descoberta e fornecendo informações sobre as CVEs (vulnerabilidades e explorações comuns) associadas à descoberta. Para obter mais detalhes sobre tipos de descoberta, consulte o Tipos de descoberta no Amazon Inspector.