Información general

HAQM Inspector es un servicio de administración de vulnerabilidades que analiza continuamente las cargas de trabajo de AWS en busca de vulnerabilidades de software y exposiciones involuntarias a la red. Con tan solo unos clics en la consola de administración de AWS, puede usar HAQM Inspector en todas las cuentas de su organización. Una vez que se inicia, detecta automáticamente las instancias de HAQM Elastic Compute Cloud (EC2) en ejecución, las imágenes de contenedor de HAQM Elastic Container Registry (HAQM ECR) y las funciones de AWS Lambda, a escala, y comienza de manera inmediata a evaluarlas en busca de vulnerabilidades conocidas.

HAQM Inspector calcula una puntuación de riesgo altamente contextualizada para cada resultado, ya que correlaciona informaciones de vulnerabilidades y exposiciones comunes (CVE) con factores como acceso a la red y explotabilidad. Esta puntuación se utiliza para dar prioridad a las vulnerabilidades más críticas y mejorar la eficiencia de la respuesta para solucionar dichas vulnerabilidades. Todos los resultados se agregan en la consola de HAQM Inspector y se transfieren a AWS Security Hub y a HAQM EventBridge para automatizar los flujos de trabajo. Las vulnerabilidades que se encuentran en imágenes de contenedores también se envían a HAQM ECR para que los propietarios de los recursos las visualicen y solucionen. HAQM Inspector permite a los equipos de seguridad y a los desarrolladores de cualquier tamaño lograr una seguridad y conformidad completas de la carga de trabajo de la infraestructura en sus entornos de AWS.

Page Topics

Características clave

Características clave

Open all
HAQM Inspector es un servicio integral de administración de vulnerabilidades que abarca varios recursos, como HAQM EC2, las funciones de Lambda y las cargas de trabajo de contenedores. Identifica diferentes tipos de vulnerabilidades, como las vulnerabilidades de software y la exposición involuntaria a la red, lo que puede usarse para poner en riesgo cargas de trabajo, usar recursos para usos maliciosos o facilitar la filtración de datos.
Inicie HAQM Inspector en varias cuentas con un solo paso en la consola de HAQM Inspector o una única llamada a la API. HAQM Inspector le permite asignar una cuenta de administrador delegado (DA) de Inspector para su organización, que puede iniciar y configurar sin problemas todas las cuentas miembro, así como consolidar todos los resultados.
Una vez iniciado, HAQM Inspector descubre automáticamente todas las instancias de HAQM EC2, las funciones de Lambda y las imágenes de contenedores en HAQM ECR. Inicia rápidamente las exploraciones para detectar vulnerabilidades de software y una exposición involuntaria a la red. Todas las cargas de trabajo se vuelven a analizar de manera continua cuando se publica una nueva CVE o cuando se producen cambios en las cargas de trabajo, incluyendo la instalación de nuevo software en una instancia de EC2.
HAQM Inspector usa AWS Systems Manager Agent (SSM Agent), ampliamente implementado, para recopilar el inventario y configuraciones de software de sus instancias de HAQM EC2. El inventario y configuraciones de la aplicación recopilados se usan para evaluar las cargas de trabajo en busca de vulnerabilidades.

HAQM Inspector ofrece una supervisión continua de sus instancias de HAQM EC2 para detectar vulnerabilidades de software sin necesidad de instalar un agente o software adicional. HAQM Inspector toma una instantánea del volumen de EBS para extraer datos sobre el sistema y la configuración de las instancias para realizar evaluaciones de vulnerabilidad. Con esta capacidad, puede ampliar la cobertura de evaluación de vulnerabilidades en toda su infraestructura de EC2 con el escaneo sin agentes de HAQM Inspector para instancias de EC2 que no tengan agentes de SSM instalados o configurados.
HAQM Inspector admite la supresión de hallazgos según los criterios que defina. Puede crear reglas de supresión para suprimir hallazgos que su organización considere como riesgos aceptables.
HAQM Inspector genera una puntuación de riesgo de HAQM Inspector altamente contextualizada para cada hallazgo, ya que correlaciona la información de CVE con factores del entorno como los resultados de accesibilidad de la red y datos de explotabilidad. De este modo, se ayuda a dar prioridad a los resultados y se destacan los hallazgos más críticos y los recursos vulnerables. El cálculo de puntuación de HAQM Inspector (y los factores que influyeron en ella) se puede consultar en la pestaña “HAQM Inspector Score” (Puntuación de HAQM Inspector) dentro del panel lateral de “Findings Details” (Detalles de los resultados).
HAQM Inspector detecta de manera automática si se ha revisado o solucionado una vulnerabilidad. Una vez que se detecta, este servicio cambia de manera automática el estado del hallazgo a “Cerrado” sin necesidad de intervención manual.
HAQM Inspector ofrece una visión general completa y casi en tiempo real de la cobertura del entorno de toda la organización, para que pueda evitar brechas en la cobertura. Ofrece métricas e información detallada sobre cuentas, así como instancias de HAQM EC2, repositorios de HAQM ECR e imágenes de contenedores que están siendo escaneados activamente por HAQM Inspector. De manera adicional, este servicio destaca los recursos que no están siendo supervisados de forma activa y brinda orientación para incluirlos.
Todos los resultados se agregan en la consola de HAQM Inspector, se enrutan a AWS Security Hub y se transfieren a través de HAQM EventBridge para automatizar los flujos de trabajo como emisión de tickets.

HAQM Inspector analiza el código propietario personalizado de la aplicación dentro de una función de Lambda para detectar vulnerabilidades de seguridad del código, como defectos de inyección, fugas de datos, criptografía débil o falta de cifrado, según las prácticas recomendadas de seguridad de AWS. Al detectar vulnerabilidades de código en la función o capa de Lambda, HAQM Inspector genera resultados de seguridad procesables que proporcionan varios detalles, como el nombre del detector de seguridad, los fragmentos de código afectados y sugerencias de solución para abordar las vulnerabilidades. Mediante la IA generativa y el razonamiento automatizado, HAQM Inspector proporciona parches de código contextuales para varias clases de vulnerabilidades, lo que reduce el esfuerzo necesario para corregir las vulnerabilidades del código. Al abordar las vulnerabilidades en las capas fundamentales, puede ayudar a mejorar la seguridad de todas las funciones de Lambda posteriores.  
HAQM Inspector ofrece una administración automatizada y centralizada de las exportaciones de la software bill of materiales (SBOM, lista de materiales del software). Permite exportar con facilidad una SBOM consolidada para todos los recursos supervisados a un bucket de HAQM S3 preconfigurado, compatible con los formatos estándar del sector. Puede descargar el artefacto SBOM, realizar consultas de HAQM Athena o crear paneles de HAQM QuickSight para obtener información valiosa y visualizar las tendencias.

HAQM Inspector se integra con herramientas para desarrolladores, como Jenkins y TeamCity, para evaluar las imágenes de los contenedores. Permite a los desarrolladores evaluar las imágenes de sus contenedores con estas herramientas de CI/CD, lo que incorpora la seguridad en una etapa más temprana del ciclo de vida del desarrollo del software. Los resultados están disponibles en el panel de control de la herramienta CI/CD, lo que le permite tomar medidas automatizadas inmediatas en respuesta a problemas de seguridad críticos, como bloquear compilaciones o enviar imágenes a los registros de contenedores. Sus herramientas de CI/CD pueden alojarse en cualquier lugar, en AWS, de forma local o en nubes híbridas, lo que proporciona coherencia para que los desarrolladores usen una única solución en todas sus canalizaciones de desarrollo.

HAQM Inspector es compatible con los puntos de referencia del CIS del Centro de seguridad en Internet. Puede ejecutar HAQM Inspector para realizar evaluaciones específicas y bajo demanda, las cuales establecen una comparación con los puntos de referencia de configuración del CIS a nivel del sistema operativo para las instancias de HAQM EC2 en toda su organización de AWS. Las evaluaciones del CIS de HAQM Inspector admiten comprobaciones comparativas de configuración de nivel 1 y 2 en todos los sistemas operativos, incluidos HAQM Linux 2, Windows 2019 y Windows 2022.