Preguntas frecuentes de HAQM Inspector
Aspectos generales
Abrir todo¿Qué es HAQM Inspector?
HAQM Inspector es un servicio automatizado de administración de vulnerabilidades que analiza de forma continua HAQM Elastic Compute Cloud (EC2), las funciones de AWS Lambda y las imágenes de contenedores en HAQM ECR y dentro de herramientas de integración continua y entrega continua (CI/CD), casi en tiempo real para detectar vulnerabilidades de software y exposición involuntaria de la red.
¿Qué beneficios clave ofrece HAQM Inspector?
HAQM Inspector elimina la sobrecarga operativa asociada a la implementación y configuración de una solución de administración de vulnerabilidades, ya que permite implementar HAQM Inspector en todas las cuentas con un solo paso. Los beneficios adicionales incluyen:
- detección automatizada y análisis continuo que proporcionan hallazgos de vulnerabilidad prácticamente en tiempo real
- Administración, configuración y visualización centralizadas de los resultados de todas las cuentas de su organización mediante el establecimiento de una cuenta de administrador delegado (DA)
- Una puntuación de riesgo de HAQM Inspector sumamente contextualizada y significativa para cada resultado con el fin de ayudarlo a establecer prioridades de respuesta más precisas
- Un panel intuitivo de HAQM Inspector para obtener métricas de cobertura, incluidas cuentas, instancias de HAQM EC2, funciones de Lambda e imágenes de contenedores en HAQM ECR y en herramientas de CI/CD, prácticamente en tiempo real.
- Analice fácilmente las instancias de EC2 y cambie entre el análisis basado en agentes y el análisis sin agentes (versión preliminar) para maximizar la cobertura de la evaluación de vulnerabilidades.
- Administre, de forma centralizada, las exportaciones de listas de materiales del software (SBOM) para todos los recursos supervisados.
- Integración con AWS Security Hub y HAQM EventBridge para automatizar los flujos de trabajo y el enrutamiento de tickets
¿Cómo puedo migrar de HAQM Inspector Classic al nuevo HAQM Inspector?
Puede desactivar HAQM Inspector Classic con solo eliminar todas las plantillas de evaluación de su cuenta. Para acceder a los resultados de las evaluaciones existentes, puede descargarlos como informes o exportarlos mediante la API de HAQM Inspector. Puede activar el nuevo HAQM Inspector con unos solos pasos en la Consola de administración de AWS o mediante las nuevas API del inspector de HAQM. Encontrará los pasos detallados de la migración en la Guía del usuario de HAQM Inspector Classic.
¿En qué se diferencia HAQM Inspector de HAQM Inspector Classic?
HAQM Inspector se ha rediseñado y reestructurado con el objeto de crear un nuevo servicio de administración de vulnerabilidades. A continuación, se detallan las principales mejoras con respecto a HAQM Inspector Classic:
- Creado para el escalado: el nuevo HAQM Inspector se ha creado para operar en escala y adaptarse al entorno dinámico en la nube. No hay límite en el número de instancias o imágenes que se pueden analizar a la vez.
- Compatibilidad con imágenes de contenedores y funciones de Lambda: el nuevo HAQM Inspector también analiza las imágenes de contenedores que residen en HAQM ECR y en herramientas de CI/CD, y funciones de Lambda en busca de vulnerabilidades de software. Además, los resultados relacionados con los contenedores se envían a la consola de HAQM ECR.
- Compatibilidad con la administración de varias cuentas: el nuevo HAQM Inspector se integra con AWS Organizations, lo que permite delegar una cuenta de administrador de HAQM Inspector para su organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.
- AWS Systems Manager Agent: con el nuevo HAQM Inspector, ya no es necesario que instale ni que mantenga un agente de HAQM Inspector independiente en todas sus instancias de HAQM EC2. Dado que el nuevo HAQM Inspector emplea un AWS Systems Manager Agent (SSM Agent) totalmente implementado, ya no resulta necesario.
- Análisis automatizado y continuo: el nuevo HAQM Inspector detecta de forma automática todas las instancias de HAQM EC2 recién lanzadas, las funciones de Lambda y las imágenes de contenedor elegibles enviadas a HAQM ECR, y las analiza de inmediato en busca de vulnerabilidades de software y exposición involuntaria a la red. Cuando se produce un evento que puede llegar a presentar una nueva vulnerabilidad, los recursos implicados se vuelven a analizar de forma automática. Algunos de los eventos que provocan que se vuelva a analizar un recurso son la instalación de un nuevo paquete en una instancia EC2, la instalación de un parche y la publicación de nuevas vulnerabilidades y exposiciones comunes (CVE) que afecten al recurso.
- Puntuación de riesgo de HAQM Inspector: el nuevo HAQM Inspector calcula una puntuación de riesgo de Inspector mediante la correlación de la información actualizada de CVE con factores temporales y del entorno, como la accesibilidad a la red y la información de explotabilidad para agregar contexto a la hora de priorizar sus resultados.
- Cobertura de evaluación de vulnerabilidades: el nuevo HAQM Inspector mejora la evaluación de vulnerabilidades al analizar de forma íntegra las instancias de EC2 y cambiar entre el análisis basado en agentes y sin agentes (versión preliminar).
- Exportación de listas de materiales (SBOM) de software: el nuevo HAQM Inspector administra y exporta de forma centralizada la SBOM de todos los recursos supervisados.
¿Puedo utilizar HAQM Inspector y HAQM Inspector Classic simultáneamente en la misma cuenta?
Sí, puede utilizar ambos servicios simultáneamente en la misma cuenta.
¿En qué se diferencia el servicio de escaneo de imágenes de contenedores de HAQM Inspector para HAQM Elastic Container Registry (ECR) de la solución de escaneo nativo de imágenes de contenedores de HAQM ECR?
| Escaneo de imágenes de contenedores de HAQM Inspector (escaneo mejorado con ECR) | Escaneo nativo de imágenes de contenedores de HAQM ECR (escaneo básico con ECR) | |
|---|---|---|
| Motor de análisis |
HAQM Inspector es un servicio de administración de vulnerabilidades desarrollado por AWS que tiene compatibilidad integrada para imágenes de contenedores que residen en HAQM ECR |
HAQM ECR ofrece una solución de escaneo básica, gestionada y nativa de AWS |
| Cobertura del paquete |
Identifica vulnerabilidades tanto en paquetes de sistemas operativos (SO) como en paquetes de lenguajes de programación (como Python, Java y Ruby) |
Identifica las vulnerabilidades del software solo en los paquetes del sistema operativo |
| Compatibilidad con una mejor detección | Sí, la detección de ecosistemas como la cadena de herramientas Go toolchain, Oracle JDK y JRE, HAQM Corretto, Apache Tomcat, Apache httpd, Wordpress (núcleo, temas, complementos), Google Puppeteer (incrustación de Chrome) y la versión ejecutable de Node.js | No |
| Compatibilidad con imágenes scratch, sin sistema operativo y Chainguard | Sí, se admiten todas las imágenes scratch, sin sistema operativo y Chainguard. | No |
| Frecuencia de análisis |
Ofrece análisis continuo y análisis al insertar. |
Ofrece solo análisis al insertar |
| Inteligencia de vulnerabilidades | Brinda una inteligencia de vulnerabilidades mejorada, como si un exploit está disponible para una CVE y corregido en la guía de resolución de problemas de la versión del paquete, puntuaciones EPSS y conjuntos de malware utilizados para generar un exploit para una CVE | Brinda únicamente información básica acerca de una vulnerabilidad de software |
| Hallazgos |
Los hallazgos están disponibles en las consolas HAQM Inspector y HAQM ECR, así como en la interfaz de programación de aplicaciones (API) y el kit de desarrollo de software (SDK) de HAQM Inspector y HAQM ECR |
Los hallazgos están disponibles en la consola de HAQM ECR y en las API y SDK de HAQM ECR |
| Detección de EOL | Sí, HAQM Inspector genera una búsqueda adicional para el software de EOL. | No, la detección de EOL no está disponible. |
| Puntuación de vulnerabilidad |
Proporciona una puntuación contextual de Inspector y puntuaciones del Sistema de puntuación de vulnerabilidades comunes (CVSS) v2 y v3 tanto de la Base de datos nacional de vulnerabilidades (NVD) como de los proveedores. |
Solo puntuaciones CVSS v3 y v2 |
| Integraciones de servicios de AWS |
Integrado a AWS Security Hub, AWS Organizations y AWS EventBridge |
No hay integraciones a otros servicios de AWS disponibles. |
¿Cuánto cuesta HAQM Inspector?
Consulte la página de precios de HAQM Inspector para ver los detalles completos de los precios.
¿Existe un período de prueba gratuito para HAQM Inspector?
Todas las cuentas nuevas de HAQM Inspector gozan de una prueba gratuita de 15 días para evaluar el servicio y calcular su costo. Durante la prueba, todas las instancias de HAQM EC2, las funciones de AWS Lambda y las imágenes de contenedores que se envíen a HAQM ECR se analizarán de forma continua y gratuita. También puede consultar los gastos estimados en la consola de HAQM Inspector.
¿En qué regiones está disponible HAQM Inspector?
HAQM Inspector está disponible en todo el mundo. La disponibilidad específica por región se indica aquí.
Introducción
Abrir todo¿Qué debo hacer para comenzar?
Puede activar HAQM Inspector para toda su organización o una cuenta individual con unos pocos pasos en la Consola de administración de AWS. Una vez que se activa, HAQM Inspector detecta automáticamente las instancias de HAQM EC2, las funciones de Lambda y los repositorios de HAQM ECR en ejecución e inmediatamente comienza a analizar de forma continua las cargas de trabajo en busca de vulnerabilidades de software y exposición involuntaria a la red. Si es la primera vez que utiliza HAQM Inspector, hay un período de prueba gratuito de 15 días.
¿Qué es un resultado o hallazgo de HAQM Inspector?
Un hallazgo de HAQM Inspector representa una vulnerabilidad potencial para la seguridad. Por ejemplo, cuando HAQM Inspector detecta vulnerabilidades de software o rutas de red abiertas en sus recursos informáticos, crea hallazgos de seguridad.
¿Es posible administrar HAQM Inspector con mi estructura de AWS Organizations?
Sí. HAQM Inspector se integra con AWS Organizations. Puede asignar una cuenta de DA para HAQM Inspector, que actúa como cuenta de administrador principal para HAQM Inspector y puede administrarlo y configurarlo de forma centralizada. La cuenta de DA puede ver y administrar de forma centralizada los resultados de todas las cuentas que forman parte de su organización de AWS.
¿Cómo puedo delegar un administrador para el servicio de HAQM Inspector?
La cuenta de administración de AWS Organizations puede asignar una cuenta de DA para HAQM Inspector en la consola de HAQM Inspector o mediante las API de HAQM Inspector.
¿Tengo que activar tipos de análisis específicos (es decir, análisis de HAQM EC2, análisis de funciones de Lambda o análisis de imágenes de contenedores de HAQM ECR)?
Si es la primera vez que inicia HAQM Inspector, todos los tipos de análisis, entre ellos el análisis de EC2, el análisis de Lambda y el análisis de imágenes de contenedores ECR, están activados de forma predeterminada. Sin embargo, puede desactivar cualquiera o todos ellos en todas las cuentas de su organización. Los usuarios existentes pueden activar las nuevas características en la consola de HAQM Inspector o mediante las API de HAQM Inspector.
¿Necesito algún agente para utilizar HAQM Inspector?
No, no necesita un agente para realizar análisis. Para analizar las vulnerabilidades de las instancias de HAQM EC2, puede utilizar AWS Systems Manager Agent (SSM Agent) como solución basada en agentes. HAQM Inspector también ofrece análisis sin agente (versión preliminar) si no tiene el agente SSM implementado o configurado. Para evaluar la accesibilidad de red de las instancias de HAQM EC2 y el análisis de vulnerabilidades de las imágenes de contenedores o el análisis de vulnerabilidades de las funciones de Lambda, no se requieren agentes.
¿Cómo hago para instalar y configurar HAQM Systems Manager Agent?
Para analizar correctamente las instancias de HAQM EC2 en busca de vulnerabilidades de software, HAQM Inspector requiere que estas instancias se administren mediante AWS Systems Manager y el agente SSM. Consulte los requisitos previos de Systems Manager en la Guía del usuario de AWS Systems Manager para obtener instrucciones para activar y configurar Systems Manager. Para obtener más información sobre las instancias administradas, consulte la sección Instancias administradas en la Guía del usuario de AWS Systems Manager.
¿Cómo distingo los repositorios de HAQM ECR que se configuraron para el análisis? ¿Y cómo puedo administrar qué repositorios deben configurarse para el análisis?
HAQM Inspector admite la configuración de reglas de inclusión para seleccionar qué repositorios de ECR se analizan. Las reglas de inclusión pueden crearse y administrarse en la página de configuración del registro de la consola de ECR o mediante las API de ECR. Los repositorios de ECR que coinciden con las reglas de inclusión se configuran para su análisis. El estado del análisis en detalle de los repositorios está disponible en las consolas de ECR y HAQM Inspector.
Trabajar con HAQM Inspector
Abrir todo¿Cómo puedo saber si mis recursos se analizan de forma activa?
El panel de cobertura de entorno del panel de control de HAQM Inspector muestra las métricas de las cuentas, las instancias de HAQM EC2, las funciones de Lambda y los repositorios de ECR que HAQM Inspector analiza activamente. Cada instancia e imagen tiene un estado de análisis: Scanning (Analizando) o Not Scanning (No analizando). “Scanning” (Analizando) significa que el recurso se analiza de forma continua y prácticamente en tiempo real. Un estado de “Not Scanning” (No analizando) podría significar que el análisis inicial aún no se ha realizado, que el sistema operativo no es compatible o que hay algo que impide el análisis.
¿Con qué frecuencia se vuelven a realizar los análisis automáticos?
Todos los análisis se realizan automáticamente en función de los eventos. Todas las cargas de trabajo se analizan por primera vez cuando se detectan y, posteriormente, se vuelven a analizar.
- Para instancias de HAQM EC2: En el caso de los análisis basados en agentes SSM, se inician nuevos análisis cuando se instala o desinstala un nuevo paquete de software en una instancia, cuando se publica una nueva CVE y después de actualizar un paquete vulnerable (para confirmar que no existen vulnerabilidades adicionales). En el caso de los análisis sin agentes, los análisis se realizan cada 24 horas.
- En el caso de las imágenes de contenedor de HAQM ECR: se inician nuevos análisis automatizados para imágenes de contenedor que cumplan los requisitos cuando se publica una nueva CVE que afecta a una imagen. Los nuevos análisis automatizados de imágenes de contenedor se basan en las duraciones de los nuevos análisis configuradas para la fecha de inserción y la fecha de extracción de la imagen en la consola de HAQM Inspector o en las API. Si la fecha de inserción de una imagen es inferior a la “Duración del nuevo análisis de la fecha de inserción” configurada y la imagen se ha extraído dentro de la “Duración del nuevo análisis de la fecha de extracción” configurada, la imagen del contenedor seguirá supervisándose y los nuevos análisis automatizados se iniciarán cuando se publique una nueva CVE que afecte a una imagen. Las configuraciones de duración de nuevos análisis disponibles para la fecha de inserción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días o 180 días.
- En el caso de las funciones de Lambda: todas las funciones de Lambda nuevas se evalúan inicialmente cuando se detectan y se reevalúan de forma continua cuando hay una actualización de la función de Lambda o se publica una nueva CVE.
¿Durante cuánto tiempo se vuelven a analizar continuamente las imágenes de contenedores con HAQM Inspector?
Las imágenes de contenedores que se encuentran en los repositorios de HAQM ECR y que se han configurado para un análisis continuo se analizan durante el periodo configurado en la consola de HAQM Inspector o en las API. Las configuraciones de duración de nuevos análisis disponibles para la fecha de inserción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días o 180 días.
- Cuando el análisis de HAQM Inspector ECR está activado, HAQM Inspector solo elige imágenes insertadas o extraídas durante los últimos 30 días para analizarlas, pero sigue analizándolas de manera continua durante el periodo configurado para la fecha de inserción y extracción, por ejemplo, 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Si la fecha de inserción de una imagen es inferior a la “Duración del nuevo análisis de la fecha de inserción” configurada Y la imagen se ha extraído dentro de la “Duración del nuevo análisis de la fecha de extracción” configurada, la imagen del contenedor seguirá supervisándose y los nuevos análisis automatizados se iniciarán cuando se publique una nueva CVE que afecte a una imagen. Por ejemplo, al activar el análisis de HAQM Inspector ECR, HAQM Inspector recogerá las imágenes insertadas o extraídas en los últimos 30 días para analizarlas. Sin embargo, después de la activación, si selecciona la duración de 180 días para el nuevo análisis tanto para las configuraciones de fecha de inserción como de fecha de extracción, HAQM Inspector seguirá analizando las imágenes si se han insertado en los últimos 180 días o si se han extraído al menos una vez en los últimos 180 días. Si no se ha insertado ni extraído una imagen en los últimos 180 días, HAQM Inspector dejará de supervisarla.
- Todas las imágenes insertadas en ECR tras la activación del análisis de HAQM Inspector ECR se analizan de manera continua durante el periodo configurado en “Duración del nuevo análisis de la fecha de inserción” y “Duración del nuevo análisis de la fecha de extracción”. Las configuraciones de duración de nuevos análisis disponibles para la fecha de inserción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días, 180 días o de por vida. Las configuraciones de duración de nuevos análisis disponibles para la fecha de extracción de imágenes son de 90 días (de forma predeterminada), 14 días, 30 días, 60 días o 180 días. La duración del nuevo análisis automatizado se calcula en función de la última fecha de inserción o extracción de una imagen de contenedor. Por ejemplo, después de activar el análisis de HAQM Inspector ECR, si selecciona la duración de 180 días para el nuevo análisis tanto para las configuraciones de fecha de inserción como de fecha de extracción, HAQM Inspector seguirá analizando las imágenes si se han insertado en los últimos 180 días o si se han extraído al menos una vez en los últimos 180 días. Sin embargo, si no se ha insertado ni extraído una imagen en los últimos 180 días, HAQM Inspector dejará de supervisarla.
- Si la imagen se encuentra en el estado “caducó la elegibilidad para analizar”, puede extraerla para que vuelva a estar bajo la supervisión de HAQM Inspector. La imagen se analizará continuamente durante el tiempo del nuevo análisis de la fecha de inserción y fecha de extracción configuradas a partir de la última fecha de extracción.
¿Puedo evitar que mis recursos se sometan a un análisis?
- Para las instancias de HAQM EC2: Sí, se puede excluir una instancia EC2 del escaneo añadiendo una etiqueta de recurso. Puede usar la clave 'InspectorEc2Exclusion', y el valor es <opcional>.
- En el caso de las imágenes de contenedores que se encuentran en HAQM ECR: sí. Aunque puede seleccionar qué repositorios de HAQM ECR están configurados para el escaneo, se escanearán todas las imágenes de un repositorio. Puede crear reglas de inclusión que permitan seleccionar los repositorios que se deben analizar.
- Para las funciones de Lambda: Sí, se puede excluir una función de Lambda del análisis al agregar una etiqueta de recurso. Para el análisis estándar, utilice la clave 'InspectorExclusion' y el valor 'LambdaStandardScanning'. Para analizar un código, utilice la clave 'InspectorCodeExclusion' y el valor 'LambdaCodeScanning'.
¿Cómo puedo utilizar HAQM Inspector para evaluar las vulnerabilidades de seguridad de mis funciones de Lambda?
En una estructura de varias cuentas, puede activar HAQM Inspector para las evaluaciones de vulnerabilidades de Lambda para todas sus cuentas dentro de la organización de AWS desde la consola o las API de HAQM Inspector a través de la cuenta de administrador delegado (DA), mientras que otras cuentas miembro pueden activar HAQM Inspector para su propia cuenta si el equipo de seguridad central aún no lo activó para ellas. Las cuentas que no forman parte de la organización de AWS pueden activar HAQM Inspector para su cuenta individual a través de la consola de HAQM Inspector o las API.
Si una función de Lambda tiene varias versiones, ¿qué versión evaluará HAQM Inspector?
HAQM Inspector controlará y evaluará continuamente solo la versión $LATEST. Los nuevos análisis automatizados continuarán solamente para la última versión, por lo que los nuevos resultados se generarán solo para la última versión. En la consola, podrá ver los resultados de cualquier versión si selecciona la versión en el menú desplegable.
¿Puedo activar el análisis de código Lambda sin activar el análisis estándar de Lambda?
No. Tiene dos opciones: activar el análisis estándar de Lambda por sí solo o habilitar el análisis estándar de Lambda y de código al mismo tiempo. El análisis estándar de Lambda proporciona una protección de seguridad fundamental contra las dependencias vulnerables utilizadas en la aplicación implementada como funciones de Lambda y capas de asociación. El análisis de código Lambda proporciona un valor de seguridad adicional al analizar el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o secretos incrustados.
¿De qué manera afecta el cambio de la frecuencia de recopilación de inventario de SSM de los 30 minutos predeterminados a 12 horas al análisis continuo que hace HAQM Inspector?
El cambio de la frecuencia de recopilación de inventario de SSM predeterminado puede repercutir en la continuidad del análisis. HAQM Inspector se basa en el agente SSM para recopilar el inventario de aplicaciones y generar hallazgos. Si se aumenta la duración del inventario de aplicaciones con respecto al valor predeterminado de 30 minutos, se retrasará la detección de cambios en el inventario de aplicaciones y podrían retrasarse los nuevos resultados.
¿Qué es la puntuación de riesgo de HAQM Inspector?
La puntuación de riesgo de HAQM Inspector es un valor sumamente contextualizado que se genera para cada hallazgo mediante la correlación de la información sobre vulnerabilidades y exposiciones comunes (CVE) con los resultados de alcance de la red, los datos de explotabilidad y las tendencias de las redes sociales. De este modo, le resultará más fácil priorizar los resultados y centrarse en los más críticos y en los recursos vulnerables. Puede ver la forma en que se calculó la puntuación de riesgo de Inspector y cuáles fueron los factores que influyeron en ella en la pestaña “Inspector Score” (Puntuación de Inspector) dentro del panel lateral de “Findings Details” (Detalles de los hallazgos).
Por ejemplo: Hay una nueva CVE identificada en su instancia de HAQM EC2, que solo puede explotarse de forma remota. Si los análisis continuos de accesibilidad a la red de HAQM Inspector también detectan que no es posible acceder a la instancia desde Internet, entonces se sabrá que es menos probable que se explote la vulnerabilidad. Por lo tanto, HAQM Inspector relaciona los resultados del análisis con la CVE a fin de que la puntuación de riesgo se reduzca y refleje con mayor precisión el impacto de la CVE en esa instancia en particular.
¿Cómo se determina la gravedad de un resultado?
| Puntuación de HAQM Inspector | Gravedad |
|---|---|
| 0 | Informativa |
| 0,2–3,9 | Bajo |
| 4,0–6,9 | Mediano |
| 7,0–8,9 | Alta |
| 9,0–10,0 | Crítica |
¿Cómo funcionan las reglas de supresión?
HAQM Inspector le permite suprimir los hallazgos en función de los criterios personalizados que defina. Puede crear reglas de supresión para los resultados que su organización considere aceptables.
¿Cómo puedo exportar mis resultados y qué incluyen?
Puede generar informes en diversos formatos (CSV o JSON) con unos pocos pasos en la consola de HAQM Inspector o a través de las API de HAQM Inspector. Puede descargar un informe completo con todos los resultados, o bien generar y descargar un informe personalizado según los filtros de visualización establecidos en la consola.
¿Puedo activar el análisis de código Lambda sin activar el análisis estándar de Lambda?
No. Tiene dos opciones: activar el análisis estándar de Lambda por sí solo o habilitar el análisis estándar de Lambda y de código al mismo tiempo. El análisis estándar de Lambda proporciona una protección de seguridad fundamental contra las dependencias vulnerables utilizadas en la aplicación implementada como funciones de Lambda y capas de asociación. El análisis de código Lambda proporciona un valor de seguridad adicional al analizar el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o secretos incrustados.
¿Cómo puedo exportar la SBOM para mis recursos y qué incluyen?
Puede generar y exportar SBOM para todos los recursos supervisados con HAQM Inspector, en varios formatos (CycloneDX o SPDX), con unos pocos pasos en la consola de HAQM Inspector o mediante las API de HAQM Inspector. Puede descargar un informe completo con SBOM para todos los recursos, o generar y descargar SBOM de forma selectiva para algunos recursos seleccionados en función de los filtros de visualización establecidos.
¿Cómo puedo activar el análisis sin agentes en mi cuenta?
Para los clientes actuales de HAQM Inspector que utilizan una sola cuenta, pueden habilitar el análisis sin agentes (versión preliminar) si visitan la página de administración de cuentas en la consola de HAQM Inspector o mediante las API.
En el caso de los clientes actuales de HAQM Inspector que utilizan AWS Organizations, su administrador delegado debe migrar por completo toda la organización a una solución sin agentes o seguir utilizando exclusivamente la solución basada en agentes de SSM. Puede cambiar la configuración del modo de análisis desde la página de configuración de EC2 de la consola o mediante las API.
Para los nuevos clientes de HAQM Inspector, durante el período de versión preliminar del análisis sin agente, las instancias se analizan en el modo de análisis basado en agentes al habilitar el análisis de EC2. Si es necesario, puede cambiar al modo de análisis híbrido. En el modo de análisis híbrido, HAQM Inspector confía en los agentes de SSM para recopilar el inventario de aplicaciones a fin de realizar evaluaciones de vulnerabilidades y recurre automáticamente al análisis sin agentes para las instancias que no tienen agentes de SSM instalados o configurados.
¿Cuál es la frecuencia de los análisis sin agente?
HAQM Inspector activará de manera automática un análisis cada 24 horas para las instancias que estén marcadas para ser analizadas sin agentes (versión preliminar). No habrá ningún cambio en el comportamiento de análisis continuo de las instancias marcadas para análisis basados en agentes SSM.
¿Dónde puedo ver qué instancias se analizan con agente o sin agente cuando uso el modo de análisis híbrido para el análisis de EC2?
Puede ver el modo de análisis en la columna “Uso supervisado” si visita las páginas de cobertura de recursos en la consola de HAQM Inspector o mediante las API de cobertura de HAQM Inspector.
¿Es posible que las cuentas de los miembros con una configuración multicuenta modifiquen el modo de análisis para el análisis de EC2 de sus cuentas respectivas?
No, en una configuración de varias cuentas, solo los administradores delegados pueden configurar el modo de análisis para toda la organización.
¿Cómo integro HAQM Inspector en mis herramientas de CI/CD para analizar imágenes de contenedores?
Los equipos de aplicaciones y plataformas pueden integrar HAQM Inspector en sus procesos de creación mediante complementos de HAQM Inspector especialmente diseñados para diversas herramientas de CI/CD, como Jenkins y TeamCity. Estos complementos están disponibles en el mercado de cada herramienta de CI/CD correspondiente. Una vez instalado el complemento, puede agregar un paso en la canalización para realizar una evaluación de la imagen del contenedor y tomar medidas, como bloquear la canalización en función de los resultados de la evaluación. Cuando se identifican las vulnerabilidades en la evaluación, se generan resultados de seguridad procesables. Estos resultados incluyen detalles de la vulnerabilidad, recomendaciones de corrección y detalles de explotabilidad. Se devuelven a la herramienta CI/CD en formatos JSON y CSV, que luego pueden traducirse a un panel legible por humanos mediante el complemento HAQM Inspector o pueden ser descargados por los equipos.
¿Necesito permitir que HAQM Inspector utilice la integración CI/CD de HAQM Inspector para analizar imágenes de contenedores?
No, no necesita habilitar HAQM Inspector para usar esta característica siempre que tenga una cuenta de AWS activa.
¿Puedo analizar mis instancias privadas de HAQM EC2 mediante la configuración de HAQM Inspector como punto de enlace de VPC?
Sí. HAQM Inspector utiliza SSM Agent para recopilar el inventario de aplicaciones, que pueden configurarse como puntos de conexión de la nube virtual privada (VPC) de HAQM para evitar el envío de información a través de Internet.
¿Qué sistemas operativos admite HAQM Inspector?
Puede encontrar la lista de los sistemas operativos (SO) que se admiten aquí.
¿Qué paquetes de lenguaje de programación son compatibles con HAQM Inspector para analizar imágenes de contenedores?
Puede encontrar la lista de paquetes de lenguajes de programación compatibles aquí.
¿HAQM Inspector funcionará con instancias que utilizan la traducción de direcciones de red (NAT)?
Sí. Las instancias que utilizan NAT son automáticamente compatibles con HAQM Inspector.
Utilizo un proxy para mis instancias. ¿HAQM Inspector funcionará con estas instancias?
Sí. Para obtener más información, consulte Cómo configurar el agente de SSM para usar un proxy.
¿Es posible integrar HAQM Inspector con otros servicios de AWS para obtener registros y notificaciones?
HAQM Inspector se integra a HAQM EventBridge para proporcionar notificaciones de eventos, tales como un nuevo hallazgo, el cambio de estado de un hallazgo o la creación de una regla de supresión. Asimismo, HAQM Inspector se integra a AWS CloudTrail para el registro de llamadas.
¿HAQM Inspector ofrece análisis de “referencias de la configuración de seguridad del sistema operativo CIS”?
Sí. Puede ejecutar HAQM Inspector para realizar evaluaciones específicas y bajo demanda, las cuales establecen una comparación con los puntos de referencia de configuración del CIS a nivel del sistema operativo para las instancias de HAQM EC2 en toda su organización de AWS.
¿HAQM Inspector es compatible con las soluciones de los socios de AWS?
Sí. Para obtener más información, consulte socios de HAQM Inspector.
¿Puedo desactivar HAQM Inspector?
Sí. Puede desactivar todos los tipos de escaneo (escaneo de HAQM EC2, escaneo de imágenes de contenedores de HAQM ECR y escaneo de funciones de Lambda) al desactivar el servicio de HAQM Inspector, o puede desactivar cada tipo de escaneo individualmente para una cuenta.
¿Puedo suspender HAQM Inspector?
No. HAQM Inspector no admite el estado de suspensión.