Domande frequenti su HAQM Inspector

Puoi attivare HAQM Inspector per l'intera organizzazione o per un singolo account con poche operazioni nella Console di gestione AWS. Una volta attivato, HAQM Inspector rileva automaticamente le istanze HAQM EC2 in esecuzione, le funzioni Lambda e i repository HAQM ECR e avvia immediatamente la scansione continua dei carichi di lavoro alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Se non conosci HAQM Inspector, è disponibile una prova gratuita di 15 giorni.

Un risultato di HAQM Inspector è una potenziale vulnerabilità della sicurezza. Ad esempio, quando HAQM Inspector rileva vulnerabilità del software o apre percorsi di rete alle risorse di elaborazione, crea risultati di sicurezza.

Sì. HAQM Inspector è integrato con AWS Organizations. Puoi assegnare un account AD per HAQM Inspector, che funge da account amministratore principale per HAQM Inspector ed è in grado di gestirlo e configurarlo centralmente. L'account DA può visualizzare e gestire centralmente i risultati per tutti gli account che fanno parte della tua organizzazione AWS.

L'account AWS Organizations Management può assegnare un account DA per HAQM Inspector nella console di HAQM Inspector o utilizzando le API di HAQM Inspector.

Se avvii HAQM Inspector per la prima volta, tutti i tipi di scansione, ovvero la scansione EC2, la scansione Lambda e la scansione di immagini del container ECR, sono abilitati per impostazione predefinita. Puoi tuttavia disattivare una singola scansione, o più di una, per tutti gli account dell'organizzazione. Gli utenti esistenti possono attivare le nuove funzionalità nella console di HAQM Inspector o utilizzando le API di HAQM Inspector.

No, non è necessario un agente per la scansione. Per la scansione delle vulnerabilità delle istanze HAQM EC2, puoi utilizzare Agente AWS Systems Manager (Agente SSM) per una soluzione basata su agenti. HAQM Inspector offre anche la scansione agentless (anteprima) se l'agente SSM non è distribuito o configurato. Non sono necessari agenti per la valutazione della raggiungibilità della rete delle istanze HAQM EC2, la scansione delle vulnerabilità delle immagini dei container o la scansione delle vulnerabilità delle funzioni Lambda. 

Per eseguire correttamente la scansione delle istanze HAQM EC2 alla ricerca di vulnerabilità software, HAQM Inspector richiede che queste istanze siano gestite da AWS Systems Manager e dall'agente SSM. Consulta i prerequisiti di Systems Manager nella Guida per l'utente di AWS Systems Manager per istruzioni su come attivare e configurare Systems Manager. Per informazioni sulle istanze gestite, consulta la sezione Istanze gestite nella Guida per l'utente di AWS Systems Manager.

HAQM Inspector supporta la configurazione delle regole di inclusione per selezionare quali repository ECR vengono scansionati. Le regole di inclusione possono essere create e gestite nella pagina delle impostazioni del registro all'interno della console ECR o utilizzando le API di ECR. I repository ECR che corrispondono alle regole di inclusione sono configurati per la scansione. Lo stato di scansione dettagliato dei repository è disponibile nelle console ECR e HAQM Inspector.

Il pannello Environmental Coverage (Copertura ambientale) nel dashboard di HAQM Inspector mostra i parametri per account, istanze HAQM EC2, funzioni Lambda e repository ECR sottoposti a scansione attiva da parte di HAQM Inspector. Ogni istanza e immagine ha uno stato di scansione: Scansione in corso o Non in scansione. Scansione in corso significa che la risorsa viene continuamente scansionata quasi in tempo reale. Uno stato di Non in scansione potrebbe significare che la scansione iniziale non è stata ancora eseguita, il sistema operativo non è supportato o qualcos'altro sta impedendo la scansione.

Tutte le scansioni vengono eseguite automaticamente in base agli eventi. Tutti i carichi di lavoro vengono inizialmente scansionati al momento del rilevamento e successivamente scansionati di nuovo.

• Per le istanze HAQM EC2: per le scansioni basate sull'agente SSM, le nuove scansioni vengono avviate quando un nuovo pacchetto software viene installato o disinstallato su un'istanza, quando viene pubblicato un nuovo CVE e dopo l'aggiornamento di un pacchetto vulnerabile (per confermare che non ci siano ulteriori vulnerabilità). Per le scansioni senza agente, vengono eseguite ogni 24 ore.
• Per le immagini dei container HAQM ECR: le nuove scansioni automatiche vengono avviate per le immagini dei container idonee quando viene pubblicato un nuovo CVE che interessa un'immagine. Le scansioni automatiche delle immagini dei container si basano sulle durate di nuova scansione configurate sia per la data di invio che per la data di estrazione dell'immagine nella console o nelle API di HAQM Inspector. Se la data di invio di un'immagine è inferiore alla «Durata di nuova scansione della data di invio» configurata e l'immagine è stata estratta entro la «Durata di nuova scansione della data di estrazione» configurata, l'immagine del container continuerà a essere monitorata e le nuove scansioni automatiche vengono avviate quando viene pubblicato un nuovo CVE che influisce su un'immagine. Le configurazioni disponibili della durata di nuova scansione per la data di invio dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni o 180 giorni.
• Per le funzioni Lambda: tutte le nuove funzioni Lambda vengono valutate inizialmente al momento dell'individuazione. In caso di aggiornamento della funzione Lambda o di pubblicazione di un nuovo CVE, le funzioni vengono valutate nuovamente in modo continuo.

Le immagini dei container che risiedono nei repository HAQM ECR configurate per la scansione continua vengono scansionate per la durata configurata nella console HAQM Inspector o nelle API. Le configurazioni della durata di nuova scansione disponibili per la data di invio dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni o 180 giorni.

• Quando la scansione ECR di HAQM Inspector è attivata, HAQM Inspector raccoglie solo le immagini inviate o estratte negli ultimi 30 giorni per la scansione, ma le scansiona continuamente per la durata di nuova scansione configurata per la data di invio e di estrazione, ossia per 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Se la data di invio di un'immagine è inferiore alla «Durata di nuova scansione della data di invio» configurata E l'immagine è stata estratta entro la «Durata di nuova scansione della data di estrazione» configurata, l'immagine del container continuerà a essere monitorata e le nuove scansioni automatiche vengono avviate quando viene pubblicato un nuovo CVE che influisce su un'immagine. Ad esempio, quando si attiva la scansione ECR di HAQM Inspector, raccoglierà le immagini inviate o estratte negli ultimi 30 giorni per la scansione. Tuttavia, dopo l'attivazione, se selezioni la durata della nuova scansione per le configurazioni sia della data di invio che della data di estrazione di 180 giorni, HAQM Inspector continuerà a scansionare le immagini se sono state inviate negli ultimi 180 giorni o sono state estratte almeno una volta negli ultimi 180 giorni. Se un'immagine non è stata inviata o estratta negli ultimi 180 giorni, HAQM Inspector interromperà il monitoraggio.
• Tutte le immagini inviate all'ECR dopo l'attivazione della scansione ECR di HAQM Inspector vengono scansionate continuamente per la durata configurata in «Durata di nuova scansione della data di invio» e «Durata di nuova scansione della data di estrazione». Le configurazioni della durata di nuova scansione disponibili per la data di invio dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni o 180 giorni. La durata della nuova scansione automatica viene calcolata in base alla data dell'ultimo invio o estrazione di un'immagine del container. Ad esempio, dopo aver attivato la scansione ECR di HAQM Inspector, se selezioni la durata della nuova scansione per le configurazioni sia della data di invio che della data di estrazione di 180 giorni, HAQM Inspector continuerà a scansionare le immagini se sono state inviate negli ultimi 180 giorni o sono state estratte almeno una volta negli ultimi 180 giorni. Tuttavia, se un'immagine non è stata inviata o estratta negli ultimi 180 giorni, HAQM Inspector smetterà di monitorarla.
• Se l'immagine è nello stato "idoneità alla scansione scaduta", puoi estrarla per rieseguire il monitoraggio di HAQM Inspector. L'immagine verrà scansionata continuamente per le durate delle date di invio e di estrazione della nuova scansione configurata a partire dall'ultima data di estrazione.

• Per le istanze HAQM EC2: sì, un'istanza EC2 può essere esclusa dalla scansione aggiungendo un tag di risorsa. È possibile utilizzare la chiave 'InspectorEC2Exclusion' e il valore è <optional>.
• Per le immagini di container che risiedono in HAQM ECR: sì. Sebbene sia possibile selezionare quali archivi HAQM ECR sono configurati per la scansione, verranno scansionate tutte le immagini all'interno di un repository. Puoi creare regole di inclusione per selezionare quali repository devono essere scansionati.
• Per le funzioni Lambda: Sì, una funzione Lambda può essere esclusa dalla scansione aggiungendo un tag di risorse. Per la scansione standard, utilizzare la chiave 'InspectorExclusion' e il valore 'LambdaStandardScanning'. Per la scansione del codice, usa la chiave 'InspectorCodeExclusion' e il valore 'LambdaCodeScanning'.

In caso di struttura multi-account, puoi abilitare le valutazioni delle vulnerabilità di HAQM Inspector per tutti gli account all'interno di AWS Organizations dalla console di HAQM Inspector o dalle API tramite l'account di amministratore delegato (AD). Nel caso in cui il team di sicurezza centrale non abbia già provveduto, gli altri account membri possono attivare autonomamente HAQM Inspector sul proprio account. Gli account che non fanno parte di AWS Organizations possono attivare HAQM Inspector per il proprio account individuale tramite la console di HAQM Inspector o le API.

HAQM Inspector esegue il monitoraggio e la valutazione continua solo della versione $LATEST. Le nuove scansioni automatiche verranno effettuate solo per la versione più recente, generando i relativi risultati. All'interno della console, puoi selezionare una determinata versione dal menu a discesa per visualizzarne i risultati.

No. Sono disponibili due opzioni: attivare la sola scansione Lambda standard o abilitare insieme la scansione Lambda standard e la scansione dei codici. La scansione standard Lambda fornisce una protezione di sicurezza fondamentale contro le dipendenze vulnerabili utilizzate nell'applicazione distribuita come funzioni Lambda e livelli di associazione. La scansione del codice Lambda fornisce un valore di sicurezza aggiuntivo scansionando il codice dell'applicazione proprietaria personalizzata all'interno di una funzione Lambda per rilevare vulnerabilità di sicurezza del codice come difetti di iniezione, fughe di dati, crittografia debole o segreti incorporati.

La modifica della frequenza di raccolta dell'inventario SSM di default può avere un impatto sulla natura continua della scansione. HAQM Inspector si affida all'agente SSM per raccogliere l'inventario delle applicazioni al fine di generare risultati. Se la durata dell'inventario dell'applicazione viene aumentata rispetto al valore predefinito di 30 minuti, ciò ritarderà il rilevamento delle modifiche all'inventario dell'applicazione e i nuovi risultati potrebbero essere a loro volta ritardati.

L’HAQM Inspector risk score è un punteggio altamente contestualizzato che viene generato per ogni risultato correlando le informazioni sulle vulnerabilità e le esposizioni comuni (CVE) con i risultati di raggiungibilità della rete, i dati di sfruttabilità e le tendenze dei social media. In questo modo è più facile dare la priorità ai risultati e concentrarsi sui risultati più critici e sulle risorse vulnerabili. È possibile vedere come è stato calcolato un Inspector risk score e quali fattori hanno influenzato il punteggio nella scheda Punteggio Inspector nel pannello laterale Dettagli Risultati.

Ad esempio: sull'istanza HAQM EC2 è stato identificato un nuovo CVE, che può essere sfruttato solo in remoto. Se le scansioni costanti sulla raggiungibilità della rete da parte di HAQM Inspector rilevano anche che l'istanza non è raggiungibile da Internet, sa che è meno probabile che la vulnerabilità venga sfruttata. Pertanto, HAQM Inspector correla i risultati della scansione con il CVE per regolare il punteggio di rischio verso il basso, riflettendo in modo più accurato l'impatto del CVE su quella particolare istanza.

HAQM Inspector consente di sopprimere i risultati in base ai criteri personalizzati che definisci. Puoi creare regole di soppressione per i risultati considerati accettabili dall'organizzazione.

Puoi generare report in più formati (CSV o JSON) con poche operazioni nella console di HAQM Inspector o tramite le API di HAQM Inspector. Puoi scaricare un rapporto completo con tutti i risultati oppure generare e scaricare un rapporto personalizzato basato sui filtri di visualizzazione impostati nella console.

No. Sono disponibili due opzioni: attivare la sola scansione Lambda standard o abilitare insieme la scansione Lambda standard e la scansione dei codici. La scansione standard Lambda fornisce una protezione di sicurezza fondamentale contro le dipendenze vulnerabili utilizzate nell'applicazione distribuita come funzioni Lambda e livelli di associazione. La scansione del codice Lambda fornisce un valore di sicurezza aggiuntivo scansionando il codice dell'applicazione proprietaria personalizzata all'interno di una funzione Lambda per rilevare vulnerabilità di sicurezza del codice come difetti di iniezione, fughe di dati, crittografia debole o segreti incorporati.

Puoi generare ed esportare SBOM per tutte le risorse monitorate con HAQM Inspector, in più formati (CycloneDX o SPDX), con pochi passaggi nella console HAQM Inspector o tramite le API di HAQM Inspector. Puoi scaricare un rapporto completo con SBOM per tutte le risorse o generare e scaricare selettivamente gli SBOM per alcune risorse selezionate in base ai filtri di visualizzazione impostati.

Per i clienti HAQM Inspector esistenti che utilizzano un solo account, puoi abilitare la scansione agentless (anteprima) visitando la pagina di gestione dell'account all'interno della console HAQM Inspector o utilizzando le API.

Per i clienti HAQM Inspector esistenti che utilizzano AWS Organizations, il tuo amministratore delegato deve migrare completamente l'intera organizzazione verso una soluzione senza agenti o continuare a utilizzare esclusivamente la soluzione basata su agenti SSM. È possibile modificare la configurazione della modalità di scansione dalla pagina delle impostazioni EC2 nella console o tramite le API.

Per i nuovi clienti di HAQM Inspector, durante il periodo di anteprima della scansione agentless, le istanze vengono scansionate in modalità di scansione basata su agente quando abiliti la scansione EC2. È possibile passare alla modalità di scansione ibrida, se necessario. Nella modalità di scansione ibrida, HAQM Inspector si affida agli agenti SSM per la raccolta dell'inventario delle applicazioni per eseguire valutazioni delle vulnerabilità e ricorre automaticamente alla scansione agentless per le istanze in cui non sono installati o configurati agenti SSM.

HAQM Inspector attiverà automaticamente una scansione ogni 24 ore per le istanze contrassegnate per la scansione agentless (anteprima). Non verrà apportata alcuna modifica al comportamento di scansione continua per le istanze contrassegnate per le scansioni basate su agenti SSM. 

Puoi visualizzare la modalità di scansione nella colonna "Monitorato utilizzando" semplicemente visitando le pagine di copertura delle risorse nella console HAQM Inspector o utilizzando le API di copertura di HAQM Inspector. 

No, in una configurazione con più account, solo gli amministratori delegati possono configurare la configurazione della modalità di scansione per l'intera organizzazione.

I team di applicazioni e piattaforme possono integrare HAQM Inspector nelle loro pipeline di compilazione utilizzando plug-in HAQM Inspector appositamente progettati per vari strumenti CI/CD, come Jenkins e TeamCity. Questi plug-in sono disponibili nel marketplace di ogni rispettivo strumento CI/CD. Una volta installato il plug-in, puoi aggiungere un passaggio nella pipeline per eseguire una valutazione dell'immagine del container e intraprendere azioni, come bloccare la pipeline in base ai risultati della valutazione. Quando nella valutazione vengono identificate delle vulnerabilità, vengono generati risultati di sicurezza utilizzabili. Questi risultati includono dettagli sulle vulnerabilità, suggerimenti per la correzione e dettagli sulla sfruttabilità. Vengono restituiti allo strumento CI/CD nei formati JSON e CSV, che possono quindi essere tradotti in un pannello di controllo leggibile dall'uomo dal plug-in HAQM Inspector o possono essere scaricati dai team.

No, non è necessario abilitare HAQM Inspector per utilizzare questa funzionalità purché si disponga di un account AWS attivo.

Sì. HAQM Inspector utilizza l'agente SSM per raccogliere l'inventario delle applicazioni. Tale agente può essere configurato come endpoint del cloud privato virtuale (VPC) di HAQM per evitare di inviare informazioni su Internet.

È possibile trovare l'elenco dei sistemi operativi (SO) supportati qui.

Puoi trovare l'elenco dei pacchetti di linguaggi di programmazione supportati qui.

Sì. Le istanze che utilizzano NAT sono supportate automaticamente da HAQM Inspector.

Sì. Per ulteriori informazioni, consultare la sezione come configurare Agente SSM per l'utilizzo di un proxy.

HAQM Inspector si integra con HAQM EventBridge per fornire notifiche per eventi come un nuovo risultato, il cambio di stato di un risultato o la creazione di una regola di soppressione. HAQM Inspector si integra anche con AWS CloudTrail per la registrazione delle chiamate.

Sì. Puoi eseguire HAQM Inspector per effettuare valutazioni mirate e on-demand confrontandole ai benchmark di configurazione CIS a livello di sistema operativo per le istanze HAQM EC2 in tutta la tua organizzazione AWS.

Sì. Per ulteriori informazioni, consulta la sezione Partner di HAQM Inspector.

Sì. Puoi disattivare tutti i tipi di scansione (scansione HAQM EC2, scansione di immagini del container HAQM ECR e scansione di funzioni Lambda) disabilitando il servizio HAQM Inspector oppure puoi disattivare ciascun tipo di scansione singolarmente per un account.

No, HAQM Inspector non supporta uno stato sospeso.