Conceitos básicos do Amazon Inspector - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos básicos do Amazon Inspector

Este tutorial fornece uma apresentação prática ao Amazon Inspector.

A etapa 1 abrange a ativação de escaneamentos do Amazon Inspector para uma conta autônoma ou como administrador delegado do Amazon Inspector em um ambiente de várias contas. AWS Organizations

A etapa 2 abrange a compreensão das descobertas do Amazon Inspector no console.

nota

Neste tutorial, você conclui as tarefas em sua versão atual Região da AWS. Para configurar o Amazon Inspector em outras regiões, conclua essas etapas em cada uma dessas regiões.

Antes de começar

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidades que verifica continuamente suas instâncias do Amazon EC2, imagens de contêineres do Amazon ECR e AWS Lambda funções em busca de vulnerabilidades de software e exposição não intencional na rede.

Observe o seguinte antes de ativar o Amazon Inspector:

  • O Amazon Inspector é um serviço regional e os dados são armazenados no Região da AWS local onde você usa o serviço. Qualquer um dos procedimentos de configuração que você concluir neste tutorial deve ser repetido em cada um Região da AWS que você deseja monitorar com o Amazon Inspector.

  • O Amazon Inspector oferece a flexibilidade de ativar a instância do Amazon EC2, a imagem do contêiner do Amazon ECR e a varredura de funções. AWS Lambda Gerencie os tipos de verificação na página de gerenciamento de contas no console do Amazon Inspector ou usando as APIs do Amazon Inspector.

  • O Amazon Inspector pode fornecer dados de CVE (vulnerabilidades e exposições comuns) para suas instâncias do EC2 somente se o atendente do SSM (Gerenciador de Sistemas) do Amazon EC2 estiver instalado e ativado. Esse atendente está pré-instalado em muitas instâncias do EC2, mas talvez seja necessário ativá-lo manualmente. Independentemente do status do atendente do SSM, todas as suas instâncias do EC2 são verificadas em busca de problemas de exposição na rede. Para obter mais informações sobre como configurar verificações para o Amazon EC2, consulte o Verificar as instâncias do Amazon EC2. O Amazon ECR e o escaneamento de AWS Lambda funções não exigem o uso de um agente.

  • Uma identidade de usuário do IAM com permissões de administrador em um Conta da AWS pode habilitar o Amazon Inspector. Para fins de proteção de dados, recomendamos que você proteja suas credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para gerenciar o Amazon Inspector. Para obter informações sobre as permissões necessárias para habilitar o Amazon Inspector, consulte AWS política gerenciada: AmazonInspector2FullAccess.

  • Ao ativar o Amazon Inspector pela primeira vez em qualquer região, ele cria uma função vinculada ao serviço globalmente para sua conta chamada AWSServiceRoleForAmazonInspector2. Essa função inclui as permissões e as políticas de confiança que permitem ao Amazon Inspector coletar detalhes do pacote de software e analisar as configurações do Amazon VPC para gerar descobertas de vulnerabilidade. Para ter mais informações, consulte Uso de funções vinculadas a serviço para o Amazon Inspector. Para obter mais informações sobre as funções vinculadas a um serviço, consulte Como usar funções vinculadas a serviços.

Etapa 1: ativar o Amazon Inspector

O primeiro passo para usar o Amazon Inspector é ativá-lo para sua Conta da AWS. Depois de ativar qualquer tipo de verificação do Amazon Inspector, o Amazon Inspector imediatamente começa a descobrir e verificar todos os recursos elegíveis.

Se você quiser gerenciar o Amazon Inspector para várias contas dentro da sua organização por meio de uma conta de administrador centralizada, você deverá designar um administrador delegado para o Amazon Inspector. Escolha uma das opções a seguir para aprender como ativar o Amazon Inspector para seu ambiente.

Standalone account environment
  1. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. Selecione a opção Conceitos básicos.

  3. Escolha Ativar o Amazon Inspector.

Ao ativar o Amazon Inspector em uma conta independente, todos os tipos de verificação são ativados por padrão. Gerencie os tipos de verificação ativados na página de gerenciamento de contas no console do Amazon Inspector ou usando as APIs do Amazon Inspector. Depois que o Amazon Inspector é ativado, ele automaticamente descobre e começa a verificar todos os recursos elegíveis. Analise as seguintes informações sobre o tipo de verificação para entender quais recursos são elegíveis por padrão:

Verificar o Amazon EC2

Para fornecer dados de Vulnerabilidades e Exposições Comuns (CVE) para sua instância EC2, o Amazon Inspector exige que o agente do Systems AWS Manager (SSM) seja instalado e ativado. Esse atendente vem pré-instalado em muitas instâncias do EC2, mas talvez seja necessário ativá-lo manualmente. Independentemente do status do atendente do SSM, todas as suas instâncias do EC2 serão verificadas em busca de problemas de exposição na rede. Para obter mais informações sobre como configurar verificações para o Amazon EC2, consulte o Verificar as instâncias do Amazon EC2 com o Amazon Inspector.

Verificação do Amazon ECR

Ao ativar o escaneamento do Amazon ECR, o Amazon Inspector converte todos os repositórios de contêineres em seu registro privado que estão configurados para o Escaneamento básico padrão fornecido pelo Amazon ECR em Escaneamento avançado com escaneamento contínuo. Outra opção é definir essa configuração para verificar somente por push ou para verificar repositórios selecionados por meio de regras de inclusão. Todas as imagens enviadas nos últimos 30 dias estão programadas para verificação Vitalícia. Essa configuração de escaneamento do ECR do Amazon pode ser alterada a qualquer momento. Para obter mais informações sobre a configuração de verificações do Amazon ECR, consulte Verificar imagens de contêineres do Amazon ECR com o Amazon Inspector.

AWS Lambda varredura de funções

Quando você ativa a verificação de AWS Lambda funções, o Amazon Inspector descobre as funções do Lambda em sua conta e imediatamente começa a escaneá-las em busca de vulnerabilidades. O Amazon Inspector verifica novas funções do Lambda e camadas quando elas são implantadas e as examina novamente quando são atualizadas ou quando novas CVEs (vulnerabilidades e exposições comuns) são publicadas. O Amazon Inspector oferece dois níveis diferentes de escaneamento da função do Lambda. Por padrão, ao ativar o Amazon Inspector pela primeira vez, a escaneamento padrão do Lambda é ativado, que verifica as dependências do pacote em suas funções. Além disso, você poderá ativar o escaneamento de código do Lambda para verificar o código do desenvolvedor em suas funções em busca de vulnerabilidades de código. Para obter mais informações sobre como configurar a verificação da função do Lambda, consulte o AWS Lambda Funções de digitalização com o Amazon Inspector.

Multi-account environment
Importante

Para concluir essas etapas, é necessário estar na mesma organização de todas as contas que deseja gerenciar e ter acesso à conta de gerenciamento do AWS Organizations para delegar um administrador para o Amazon Inspector em sua organização. Permissões adicionais podem ser necessárias para delegar um administrador. Para ter mais informações, consulte Permissões necessárias para designar um administrador delegado.

nota

Para habilitar programaticamente o Amazon Inspector para várias contas em várias regiões, use um script de shell desenvolvido pelo Amazon Inspector. Para obter mais informações sobre como usar esse script, consulte o inspetor2- enablement-with-cli on. GitHub

Delegar um administrador do Amazon Inspector

  1. Faça login na conta AWS Organizations de gerenciamento.

  2. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  3. No painel Administrador delegado, insira o ID de doze dígitos do Conta da AWS que você deseja designar como administrador delegado do Amazon Inspector para a organização. Em seguida, selecione Excluir. Em seguida, na janela de confirmação, selecione Delegar novamente.

    nota

    O Amazon Inspector é ativado para sua conta ao delegar um administrador.

Adicionar contas-membro

Como administrador delegado, ative a verificação de qualquer membro associado à conta de gerenciamento do Organizações. Esse fluxo de trabalho ativa todos os tipos de verificação para todas as contas dos membros. No entanto, os membros também podem ativar o Amazon Inspector para suas próprias contas, ou as verificações de um serviço podem ser ativadas seletivamente pelo administrador delegado. Para ter mais informações, consulte Gerenciar várias contas.

  1. Faça login na conta de administrador delegada.

  2. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  3. No painel de navegação, selecione Gerenciamento de contas. A tabela Contas exibe todas as contas de membros associadas à conta de gerenciamento do Organizações.

  4. Na página Gerenciamento de contas, você pode escolher Ativar escaneamento para todas as contas no banner superior para ativar instâncias do EC2, imagens de contêiner ECR e escaneamento de AWS Lambda funções para todas as contas em sua organização. Como alternativa, escolha as contas que deseja adicionar como membros selecionando-as na tabela Contas. Em seguida, no menu Ativar, selecione Todas as verificações.

  5. (Opcional) Ative o recurso Ativar automaticamente o Inspetor para novas contas de membros e selecione os tipos de verificação a serem incluídos para ativar esses escaneamentos para quaisquer novas contas de membros que sejam adicionadas à sua organização.

Atualmente, o Amazon Inspector oferece escaneamentos para instâncias EC2, imagens de contêineres ECR e funções. AWS Lambda Depois de ativar o Amazon Inspector, ele automaticamente começa a descobrir e escanear todos os recursos elegíveis. Analise as seguintes informações sobre o tipo de escaneamento para entender quais recursos são elegíveis por padrão:

Verificar o Amazon EC2

Para fornecer dados de vulnerabilidade CVE para suas instâncias EC2, o Amazon Inspector exige que o agente do Systems AWS Manager (SSM) seja instalado e ativado. Esse atendente vem pré-instalado em muitas instâncias do EC2, mas talvez seja necessário ativá-lo manualmente. Independentemente do status do atendente do SSM, todas as suas instâncias do EC2 serão verificadas em busca de problemas de exposição na rede. Para obter mais informações sobre como configurar verificações para o Amazon EC2, consulte o Verificar as instâncias do Amazon EC2 com o Amazon Inspector.

Escaneamento do Amazon ECR

Ao ativar o escaneamento do Amazon ECR, o Amazon Inspector converte todos os repositórios de contêineres em seu registro privado que estão configurados para o Escaneamento básico padrão fornecido pelo Amazon ECR em Escaneamento avançado com verificação contínua. Opcionalmente, você também pode definir essa configuração para verificar somente por push ou para verificar repositórios selecionados por meio de regras de inclusão. Todas as imagens enviadas nos últimos 30 dias estão programadas para verificação Vitalícia. Essa configuração de escaneamento do Amazon ECR pode ser alterada pelo administrador delegado a qualquer momento. Para obter mais informações sobre a configuração de verificações do Amazon ECR, consulte Verificar imagens de contêineres do Amazon ECR com o Amazon Inspector.

AWS Lambda varredura de funções

Quando você ativa a verificação de AWS Lambda funções, o Amazon Inspector descobre as funções do Lambda em sua conta e imediatamente começa a escaneá-las em busca de vulnerabilidades. O Amazon Inspector verifica novas funções do Lambda e camadas do quando elas são implantadas e as examina novamente quando são atualizadas ou quando novas CVEs (vulnerabilidades e exposições comuns) são publicadas. Para obter mais informações sobre como configurar a verificação da função do Lambda, consulte o AWS Lambda Funções de digitalização com o Amazon Inspector.

Etapa 2: visualizar descobertas do Amazon Inspector

Visualize as descobertas do seu ambiente no console do Amazon Inspector ou por meio da API. Todas as descobertas também são enviadas para a Amazon EventBridge e AWS Security Hub (se ativadas). Além disso, as descobertas de imagens de contêineres são enviadas ao Amazon ECR.

O console do Amazon Inspector oferece vários formatos de visualização diferentes para suas descobertas. O painel do Amazon Inspector oferece uma visão geral de alto nível dos riscos para o seu ambiente, enquanto a tabela Descobertas permite visualizar os detalhes de uma descoberta específica.

Nesta etapa, você explora os detalhes de uma descoberta usando a tabela Descobertas e o painel Descobertas. Para obter informações sobre o painel do Amazon Inspector, consulte Noções básicas sobre o painel.

Para ver detalhes das descobertas do seu ambiente no console do Amazon Inspector:

  1. Abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. No painel de navegação, selecione Painel. Selecione qualquer um dos links no painel para navegar até uma página no console do Amazon Inspector com mais detalhes sobre esse item.

  3. No painel de navegação, selecione Descobertas.

  4. Por padrão, você verá a guia Todas as descobertas, que exibe todas as descobertas da instância EC2, do contêiner do ECR e das AWS Lambda funções do seu ambiente.

  5. Na lista Descobertas, escolha um nome de descoberta na coluna Título para abrir o painel de detalhes dessa descoberta. Todas as descobertas têm uma guia Detalhes da descoberta. Interaja com o guia Detalhes da descoberta das seguintes formas:

    • Para ver mais informações sobre vulnerabilidade, siga o link na seção Detalhes da vulnerabilidade para abrir a documentação dessa vulnerabilidade.

    • Para investigar melhor seu recurso, siga o link ID do recurso na seção Recurso afetado para abrir o console de serviço do recurso afetado.

    As descobertas do tipo de vulnerabilidade do package também têm uma Pontuação do Inspector e uma guia de inteligência de vulnerabilidade explicando como a pontuação do Amazon Inspector foi calculada para essa descoberta e fornecendo informações sobre as CVEs (vulnerabilidades e explorações comuns) associadas à descoberta. Para obter mais detalhes sobre tipos de descoberta, consulte o Tipos de descoberta no Amazon Inspector.