Visão geral

O HAQM Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente as workloads da AWS em busca de vulnerabilidades de software e exposição não intencional à rede. Com algumas etapas no Console de Gerenciamento da AWS, você pode usar o HAQM Inspector em todas as contas da sua organização. Depois de iniciado, ele descobre automaticamente instâncias do HAQM Elastic Compute Cloud (EC2), imagens de contêiner residentes no HAQM Elastic Container Registry (ECR) e funções do AWS Lambda, em escala, e começa a avaliá-las imediatamente quanto a vulnerabilidades conhecidas.

O HAQM Inspector calcula uma pontuação de risco altamente contextualizada para cada descoberta, correlacionando informações de vulnerabilidades e exposições comuns (CVE) com fatores, como acesso à rede e potencial de exploração. Essa pontuação é usada para priorizar as vulnerabilidades mais críticas para melhorar a eficiência da resposta de remediação. Todas as descobertas são agregadas no console do HAQM Inspector e enviadas por push ao AWS Security Hub e ao HAQM EventBridge para automatizar fluxos de trabalho. As vulnerabilidades encontradas em imagens de contêineres também são enviadas ao HAQM ECR para que os proprietários de recursos as visualizem e corrijam. O HAQM Inspector capacita as equipes de segurança e os desenvolvedores de qualquer tamanho a alcançar segurança e conformidade abrangentes da workload da infraestrutura em todos os ambientes da AWS.

Page Topics

Principais recursos

Principais recursos

Open all
O HAQM Inspector é um serviço abrangente de gerenciamento de vulnerabilidades que envolve vários recursos, como o HAQM EC2, funções do Lambda e workloads de contêineres. Ele identifica diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software e exposição não intencional da rede, que podem ser usadas para comprometer workloads, redirecionar recursos para uso mal-intencionado ou facilitar a exfiltração de dados.
Inicie o HAQM Inspector em várias contas com uma etapa no console do HAQM Inspector ou com uma única chamada de API. O HAQM Inspector permite que você atribua uma conta de administrador delegado (DA) do Inspector para sua organização, que então pode, sem interrupções, iniciar e configurar todas as contas-membro, além de consolidar todas as descobertas.
Uma vez iniciado, o HAQM Inspector descobre automaticamente todas as instâncias do HAQM EC2, funções do Lambda e imagens de contêiner no HAQM ECR. Ele inicia imediatamente a verificação de vulnerabilidades de software e exposição não intencional da rede. Todas as workloads são continuamente verificadas novamente quando uma nova CVE é publicada ou quando há alterações nas workloads, incluindo a instalação de um novo software em uma instância do EC2.
O HAQM Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado para coletar o inventário e as configurações de software das suas instâncias do HAQM EC2. O inventário e as configurações coletadas das aplicações são usadas para avaliar as workloads em busca de vulnerabilidades.

O HAQM Inspector oferece monitoramento contínuo das instâncias do HAQM EC2 em busca de vulnerabilidades de software sem instalar um agente ou software adicional. O HAQM Inspector faz um snapshot do volume do EBS para extrair dados sobre o sistema e a configuração das instâncias a fim de realizar avaliações de vulnerabilidades. Com esse recurso, você pode expandir a cobertura da avaliação de vulnerabilidades para toda a infraestrutura do EC2 com a verificação sem agente do HAQM Inspector para instâncias do EC2 que não têm agentes SSM instalados ou configurados.
O HAQM Inspector oferece suporte à supressão de descobertas com base em critérios que você define. Você pode criar essas regras de supressão para suprimir descobertas que sua organização considera um risco aceitável.
O HAQM Inspector gera uma pontuação de risco altamente contextualizada para cada descoberta ao correlacionar informações de CVEs com fatores ambientais, como resultados de acessibilidade da rede e dados de capacidade de exploração. Isso ajuda a priorizar as descobertas, além de destacar as descobertas mais críticas e os recursos vulneráveis. O cálculo da pontuação do HAQM Inspector (e quais fatores influenciaram esta pontuação) pode ser visualizado na guia Pontuação do Inspector no painel lateral Detalhes das descobertas.
O HAQM Inspector detecta automaticamente se uma vulnerabilidade recebeu um patch ou foi corrigida. Após a detecção, ele altera automaticamente o estado da descoberta para “Closed” (Fechada) sem intervenção manual.
O HAQM Inspector fornece uma visão geral abrangente e quase em tempo real da cobertura do ambiente em toda a organização para que você possa evitar lacunas da cobertura. Ele fornece métricas e informações detalhadas sobre contas e também de instâncias do HAQM EC2, de repositórios do HAQM ECR e de imagens de contêiner que estão sendo ativamente verificados pelo HAQM Inspector. Além disso, ele destaca os recursos que não estão sendo monitorados ativamente e fornece orientações sobre como incluí-los.
Todas as descobertas são agregadas no console do HAQM Inspector, roteadas para o AWS Security Hub e enviadas por push pelo HAQM EventBridge para automatizar fluxos de trabalho, como a emissão de bilhetes.

O HAQM Inspector verifica o código de aplicações proprietárias personalizadas dentro de uma função do Lambda em busca de vulnerabilidades de segurança de código, como falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente, com base nas melhores práticas de segurança da AWS. Ao detectar vulnerabilidades de código na camada ou função do Lambda, o HAQM Inspector gera descobertas de segurança práticas que fornecem vários detalhes, como nome do detector de segurança, trechos de código afetados e sugestões de remediação para solucionar vulnerabilidades. Usando IA generativa e raciocínio automatizado, o HAQM Inspector fornece patches de código contextualizados para várias classes de vulnerabilidades, reduzindo o esforço necessário para corrigir vulnerabilidades de código. Ao abordar as vulnerabilidades nas camadas básicas, você pode ajudar a melhorar a segurança de todas as funções downstream do Lambda.  
O HAQM Inspector oferece gerenciamento automatizado e centralizado das exportações da lista de materiais de software (SBOM). Ele permite a exportação fácil de uma SBOM consolidada para todos os recursos monitorados para um bucket pré-configurado do HAQM S3, compatíveis com formatos padrão do setor. Você pode baixar o artefato SBOM, realizar consultas no HAQM Athena ou criar painéis do HAQM QuickSight para obter insights valiosos e visualizar tendências.

O HAQM Inspector se integra a ferramentas de desenvolvedores, como Jenkins e TeamCity, para avaliações de imagens de contêineres. Ele permite que os desenvolvedores avaliem imagens de contêiner dentro dessas ferramentas de CI/CD, promovendo a segurança no início do ciclo de vida de desenvolvimento de software. As descobertas estão disponíveis no painel da ferramenta de CI/CD, permitindo a execução automatizada de ações em resposta a problemas críticos de segurança, como compilações com bloqueios ou envio de imagens para registros de contêineres. As ferramentas de CI/CD podem ser hospedadas em qualquer lugar: na AWS, on-premises ou em nuvens híbridas, oferecendo consistência para que os desenvolvedores usem uma única solução em todos os pipelines de desenvolvimento.

O HAQM Inspector oferece suporte aos benchmarks do CIS (Center for Internet Security). Você pode executar o HAQM Inspector para realizar avaliações direcionadas e sob demanda em relação aos benchmarks de configuração do CIS no nível do sistema operacional para instâncias do HAQM EC2 em toda a sua organização da AWS. As avaliações do CIS no HAQM Inspector oferecem suporte a verificações de benchmark de configuração de nível 1 e 2 em sistemas operacionais, incluindo HAQM Linux 2, Windows 2019 e Windows 2022.