HAQM Inspector mejora la seguridad de contenedores mediante el mapeo de imágenes de HAQM ECR a contenedores en ejecución

Tradución del blog original HAQM Inspector enhances container security by mapping HAQM ECR images to running containers

Al ejecutar cargas de trabajo en contenedores, es fundamental comprender cómo las vulnerabilidades del software pueden comprometer la seguridad de sus recursos. Si bien HAQM Elastic Container Registry (HAQM ECR) permitía identificar vulnerabilidades en las imágenes, no era posible determinar si estas imágenes estaban activas en contenedores ni monitorear su uso. Esta falta de visibilidad sobre las imágenes en ejecución en los clústeres dificultaba la priorización de correcciones basadas en patrones reales de implementación.

A partir de hoy, HAQM Inspector ofrece dos nuevas características que mejoran la gestión de vulnerabilidades, brindándole una visión más completa de sus imágenes de contenedores. En primer lugar, HAQM Inspector ahora mapea las imágenes de HAQM ECR con los contenedores en ejecución, permitiendo que los equipos de seguridad prioricen las vulnerabilidades basándose en los contenedores que se están ejecutando actualmente en su entorno. Con estas nuevas capacidades, puede analizar las vulnerabilidades en sus imágenes de HAQM ECR y priorizar los hallazgos según si están actualmente en ejecución y cuándo se ejecutaron por última vez en su entorno de contenedores. Además, puede ver el HAQM Resource Name (ARN) del clúster, el número de pods de HAQM Elastic Kubernetes Service (EKS) o tareas ECS.

En segundo lugar, estamos ampliando el soporte de análisis de vulnerabilidades a imágenes base mínimas, incluidas las imágenes scratch, distroless y Chainguard, y extendiendo el soporte para ecosistemas adicionales como Go toolchain, Oracle JDK & JRE, HAQM Corretto, Apache Tomcat, Apache httpd, WordPress (core, temas, plugins) y Puppeteer, ayudando a los equipos a mantener una seguridad robusta incluso en entornos de contenedores altamente optimizados.

A través del monitoreo y seguimiento continuo de imágenes que se ejecutan en contenedores, HAQM Inspector ayuda a los equipos a identificar qué imágenes de contenedor están ejecutándose activamente en su entorno y dónde están implementadas, detectando imágenes de HAQM ECR que se ejecutan en contenedores en HAQM Elastic Container Service (HAQM ECS) y HAQM Elastic Kubernetes Service (HAQM EKS), y cualquier vulnerabilidad asociada. Esta solución apoya a los equipos que gestionan imágenes de HAQM ECR en cuentas individuales de AWS, escenarios entre cuentas y AWS Organizations con capacidades de administrador delegado, permitiendo una gestión centralizada de vulnerabilidades basada en patrones de ejecución de imágenes de contenedor.

Veámoslo en acción
El análisis de imágenes de HAQM ECR ayuda a identificar vulnerabilidades en sus imágenes de contenedor mediante el análisis mejorado, que se integra con HAQM Inspector para proporcionar un análisis automatizado y continuo de sus repositorios. Para utilizar esta nueva función, debe habilitar el análisis mejorado ó enhanced scanning, en inglés, a través de la consola de HAQM ECR; puedes hacerlo siguiendo los pasos en la página de documentación de Configuración del análisis mejorado para imágenes en HAQM ECR. Ya tengo habilitado el análisis mejorado de HAQM ECR, así que no necesito realizar ninguna acción.

En la consola de HAQM Inspector con la opción de idioma en inglés, voy a General settings y selecciono ECR scanning settings en el panel de navegación. Aquí puedo configurar los nuevos ajustes del modo Image re-scan eligiendo entre Last in-use date y Last pull date. Lo dejo como está por defecto para Last in-use date y establezco la Image last in use date en 14 días. Esta configuración hace que Inspector monitoree mis imágenes según cuándo se ejecutaron por última vez en mis entornos de HAQM ECS o HAQM EKS en los últimos 14 días. Después de aplicar esta configuración, HAQM Inspector comienza a rastrear información sobre las imágenes que se ejecutan en contenedores y la incorpora a los hallazgos de vulnerabilidades, lo que me ayuda a centrarme en las imágenes que se ejecutan activamente en contenedores en mi entorno.

Una vez configurado, puedo ver información sobre las imágenes que se ejecutan en contenedores en el menú Details, donde puedo ver las fechas de último uso y extracción, junto con el recuento de pods de EKS o tareas de ECS.

Al seleccionar el número de Deployed ECS Tasks/EKS Pods, puedo ver el ARN del clúster, las fechas de último uso y el Tipo para cada imagen.

Para la demostración de visibilidad entre cuentas, tengo un repositorio con pods EKS desplegados en dos cuentas. En el menú de Resources coverage, voy a Container repositories, selecciono el nombre de mi repositorio y elijo Image tag. Como antes, puedo ver el número de pods EKS/tareas ECS desplegados.

Cuando selecciono el número de pods EKS/tareas ECS desplegados ó Deployed ECS Tasks/EKS Pods, en inglés, puedo ver que se está ejecutando en una cuenta diferente.

En el menú All Findings, puedo revisar cualquier vulnerabilidad y, al seleccionar una, puedo encontrar la fecha de último uso y las Tareas ECS/Pods EKS desplegados involucrados en la vulnerabilidad en los datos de Recurso afectado, lo que me ayuda a priorizar la remediación según el uso real.

En el menú Todos los hallazgos, ahora puede buscar vulnerabilidades dentro de la gestión de cuentas, utilizando filtros como Account ID, Image in use count y Image last in use at.

Características clave y consideraciones
Monitoreo basado en el ciclo de vida de la imagen del contenedor – HAQM Inspector ahora determina la actividad de la imagen según: duración del rango de fecha de envío de la imagen de 14, 30, 60, 90 o 180 días o de por vida, fecha de extracción de imagen de 14, 30, 60, 90 o 180 días, duración de detención desde nunca hasta 14, 30, 60, 90 o 180 días y estado de la imagen ejecutándose en el contenedor. Esta flexibilidad permite a las organizaciones adaptar su estrategia de monitoreo según el uso real de las imágenes de contenedor en lugar de basarse únicamente en eventos del repositorio. Para las cargas de trabajo de HAQM EKS y HAQM ECS, el último uso, envío y duración de extracción se establecen en 14 días, que ahora es el valor predeterminado para nuevos clientes.

Detalles de hallazgos conscientes del tiempo de ejecución – Para ayudar a priorizar los esfuerzos de remediación, cada hallazgo en HAQM Inspector ahora incluye la fecha lastInUseAt y el InUseCount, indicando cuándo se ejecutó por última vez una imagen en los contenedores y el número de pods EKS/tareas ECS desplegados que la utilizan actualmente. HAQM Inspector monitorea tanto los datos de fecha de última extracción de HAQM ECR como los datos de contenedores ejecutándose en tareas de HAQM ECS o pods de HAQM EKS para todas las cuentas, actualizando esta información al menos una vez al día. HAQM Inspector integra estos detalles en todos los informes de hallazgos y funciona perfectamente con HAQM EventBridge. Puede filtrar los hallazgos basándose en el campo lastInUseAt utilizando opciones de ventana móvil o rango fijo, y puede filtrar imágenes según su última fecha de ejecución dentro de los últimos 14, 30, 60 o 90 días.

Cobertura de seguridad integral – HAQM Inspector ahora proporciona evaluaciones unificadas de vulnerabilidades tanto para distribuciones Linux tradicionales como para imágenes base mínimas, incluyendo imágenes scratch, distroless y Chainguard a través de un único servicio. Esta cobertura extendida elimina la necesidad de múltiples soluciones de escaneo mientras mantiene prácticas de seguridad robustas en todo su ecosistema de contenedores, desde distribuciones tradicionales hasta entornos de contenedores altamente optimizados. El servicio simplifica las operaciones de seguridad proporcionando una gestión integral de vulnerabilidades a través de una plataforma centralizada, permitiendo una evaluación eficiente de todos los tipos de contenedores.

Visibilidad mejorada entre cuentas – La gestión de seguridad a través de cuentas individuales, configuraciones entre cuentas y AWS Organizations ahora está soportada mediante capacidades de administrador delegado. HAQM Inspector comparte información sobre imágenes ejecutándose en contenedores dentro de la misma organización, lo cual es particularmente valioso para cuentas que mantienen repositorios de imágenes maestras. HAQM Inspector proporciona todos los ARN para clústeres de HAQM EKS y HAQM ECS donde se ejecutan las imágenes, si el recurso pertenece a la cuenta con una API, proporcionando visibilidad integral a través de múltiples cuentas de AWS. El sistema actualiza la información de pods EKS o tareas ECS desplegados al menos una vez al día y mantiene automáticamente la precisión a medida que las cuentas se unen o abandonan la organización.

Disponibilidad y precios – Las nuevas capacidades de mapeo de contenedores están disponibles ahora en todas las regiones de AWS donde se ofrece HAQM Inspector sin costo adicional. Para comenzar, visite la documentación de HAQM Inspector. Para detalles de precios y disponibilidad regional, consulte la página de precios de HAQM Inspector.

PD: Escribir un blog post en AWS siempre es un esfuerzo de equipo, incluso cuando solo se ve un nombre bajo el título del post. En este caso, quiero agradecer a Nirali Desai por su generosa ayuda con la orientación técnica y experiencia, que hicieron posible y completa esta descripción general.

— Eli

How is the News Blog doing? Take this 1 minute survey!

(This survey is hosted by an external company. AWS handles your information as described in the AWS Privacy Notice. AWS will own the data gathered via this survey and will not share the information collected with survey respondents.)