Verificação automatizada de recursos do Amazon Inspector

O Amazon Inspector usa um mecanismo de varredura específico que monitora seus recursos em busca de vulnerabilidades de software e exposição não intencional na rede. Quando o Amazon Inspector detecta uma vulnerabilidade de software ou exposição não intencional na rede, ele cria uma descoberta. Quando você ativa o Amazon Inspector pela primeira vez, sua conta é automaticamente inscrita em todos os tipos de escaneamento, incluindo escaneamento Amazon AmazonEC2, Amazon ECR Scanning e escaneamento padrão Lambda.

nota

O escaneamento de código do Lambda é uma camada opcional do escaneamento de funções do Lambda que você poderá ativar a qualquer momento.

Visão geral dos tipos de verificação do Amazon Inspector

O Amazon Inspector oferece diferentes tipos de escaneamento que se concentram em tipos de recursos específicos em seu AWS ambiente.

EC2Digitalização da Amazon

Quando você ativa o EC2 escaneamento da Amazon, o Amazon Inspector escaneia suas EC2 instâncias para o seguinte:

• Vulnerabilidades e exposições comuns

• Vulnerabilidades do sistema operacional e do pacote de linguagem de programação

• Acessibilidade de rede

• Problemas de exposição de rede

O Amazon Inspector executa escaneamentos por meio do uso do SSM agente instalado em sua instância ou por meio de EBS snapshots de instâncias da Amazon. Para obter mais informações sobre escaneamentos para a AmazonEC2, consulteDigitalizando EC2 instâncias da Amazon com o Amazon Inspector.

nota

Por padrão, ao ativar o EC2 escaneamento da Amazon, você ativa automaticamente o modo de escaneamento híbrido. Para obter mais informações, consulte Escaneamento sem agente.

ECRDigitalização da Amazon

Quando você ativa o ECR escaneamento da Amazon, o Amazon Inspector converte todos os repositórios de contêineres de escaneamento básico em seu registro privado em escaneamento avançado com escaneamento contínuo. Outra opção é definir essa configuração para verificar somente por push ou para verificar repositórios selecionados por meio de regras de inclusão. Todas as imagens enviadas nos últimos 30 dias ou retiradas nos últimos 90 dias são digitalizadas inicialmente. Por padrão, o Amazon Inspector continua monitorando imagens por um período de 90 dias. Essa configuração pode ser alterada a qualquer momento. Para obter mais informações sobre escaneamentos para a AmazonECR, consulteDigitalizando imagens de contêineres do Amazon Elastic Container Registry com o Amazon Inspector.

Escaneamento padrão do Lambda

Ao ativar o escaneamento padrão do Lambda, o Amazon Inspector descobre as funções do Lambda em sua conta e imediatamente começa a verificá-las em busca de vulnerabilidades. O Amazon Inspector verifica novas funções e camadas do Lambda quando elas são implantadas e as examina novamente quando são atualizadas ou quando novas vulnerabilidades e exposições comuns () são publicadas. CVEs Para obter mais informações sobre a verificação da função do Lambda, consulte AWS Lambda Funções de digitalização com o Amazon Inspector.

Escaneamento padrão do Lambda + Escaneamento de código do Lambda

Essa opção combina a digitalização padrão Lambda com a digitalização de código Lambda. Quando o escaneamento de código do Lambda é ativado, o Amazon Inspector descobre as funções e camadas do Lambda em sua conta e verifica vulnerabilidades de código, dependências de pacotes de aplicativos. O escaneamento de código do Lambda verifica o código do aplicativo personalizado em suas funções do Lambda em busca de vulnerabilidades de código. Esses dois tipos de verificação devem ser ativados juntos. Para ter mais informações, consulte Escaneamento de código do Lambda do Amazon Inspector.