¿Qué es Amazon Inspector?
Amazon Inspector es un servicio de administración de vulnerabilidades que detecta de forma automática cargas de trabajo y analiza de forma continua vulnerabilidades de software y exposiciones de red no deseadas. Amazon Inspector detecta y analiza instancias de Amazon EC2, imágenes de contenedor en Amazon ECR y funciones de Lambda. Cuando Amazon Inspector detecta una vulnerabilidad de software o exposición de red no intencionada, crea un resultado, que es un informe detallado sobre el problema. Puede administrar los resultados en la consola o la API de Amazon Inspector.
Características de Amazon Inspector
Administración centralizada de varias cuentas de Amazon Inspector
Si su entorno de AWS tiene varias cuentas, puede administrarlo de forma centralizada a través de una sola cuenta con AWS Organizations. De esta forma, puede designar una cuenta como cuenta de administrador delegado de Amazon Inspector.
Amazon Inspector se puede activar para toda la organización con un solo clic. También puede automatizar la activación del servicio para futuros miembros cuando se unan a la organización. Desde la cuenta de administrador delegado de Amazon Inspector, se administran los datos de los resultados, así como determinados parámetros para los miembros de la organización. Entre otras cosas, el administrador delegado puede ver detalles agregados de los resultados de todas las cuentas de miembros, activar o desactivar análisis de cuentas de miembros y revisar los recursos analizados dentro de la organización de AWS.
Análisis continuo del entorno en busca de vulnerabilidades y exposiciones de red
Con Amazon Inspector, no tendrá que programar o configurar manualmente análisis de evaluación. Amazon Inspector detecta automáticamente todos los recursos elegibles y empieza a analizarlos. Amazon Inspector sigue evaluando el entorno a lo largo del ciclo de vida de los recursos mediante el análisis continuo y automático de recursos en respuesta a los cambios que podrían haber introducido una nueva vulnerabilidad, como la instalación de un nuevo paquete en una instancia de EC2, la instalación de un parche y la publicación de una nueva lista de vulnerabilidades y riesgos comunes (CVE) que afectan al recurso. A diferencia de un software de análisis de seguridad tradicional, Amazon Inspector tiene un impacto mínimo en el rendimiento de la flota.
Cuando se detectan vulnerabilidades o rutas de red abiertas, Amazon Inspector genera un resultado para que lo investigue. El resultado incluye detalles exhaustivos sobre la vulnerabilidad y el recurso afectado, así como recomendaciones para corregir el problema. Siempre que se corrige un resultado correctamente, Amazon Inspector detecta automáticamente la corrección y cierra el resultado.
Evaluación de vulnerabilidades de forma precisa gracias a las puntuaciones de riesgo de Amazon Inspector
A medida que Amazon Inspector recopila información sobre el entorno mediante análisis, proporciona puntuaciones de gravedad adaptadas específicamente al entorno. Amazon Inspector examina las métricas de seguridad que componen la puntuación base de la Base de Datos Nacional de Vulnerabilidades
Identificación de resultados de alto impacto con el panel de Amazon Inspector
El panel de Amazon Inspector ofrece una visualización de alto nivel de los resultados en todo el entorno. Desde el panel, puede acceder a los detalles pormenorizados de un resultado. El panel contiene información simplificada sobre la cobertura de los análisis en el entorno, los resultados más críticos y los recursos para los que se han generado más resultados. El panel de correcciones basadas en riesgos del panel de Amazon Inspector presenta los resultados que afectan al mayor número de instancias e imágenes. Este panel facilita la identificación de los resultados que afectan en mayor medida al entorno, la revisión de los detalles de los resultados y la consulta de las soluciones recomendadas.
Administración de los resultados con vistas personalizables
Además del panel, la consola de Amazon Inspector ofrece una vista de resultados. Esta página enumera todos los resultados del entorno y proporciona detalles de cada resultado. Puede ver los resultados agrupados por categoría o por tipo de vulnerabilidad. En cada vista, puede personalizar aún más los resultados mediante filtros. También puede utilizar filtros para crear reglas de supresión que oculten los resultados no deseados en las vistas.
Los filtros y las reglas de supresión le permiten generar informes sobre todos los resultados o sobre una selección personalizada de resultados. Los informes se pueden generar en formato CSV o JSON.
Supervisión y procesamiento de resultados con otros servicios y sistemas
Para facilitar la integración con otros servicios y sistemas, Amazon Inspector publica los resultados en Amazon EventBridge como eventos de resultado. EventBridge es un servicio de bus de eventos sin servidor que conecta los datos de los resultados con sus objetivos como, por ejemplo, funciones de AWS Lambda y temas de Amazon Simple Notification Service (Amazon SNS). Con EventBridge, puede supervisar y procesar los resultados casi en tiempo real como parte de sus flujos de trabajo de seguridad y cumplimiento.
Si ha activado AWS Security Hub, Amazon Inspector también publicará los resultados en Security Hub. Security Hub es un servicio que le proporciona una visión completa de su estado de seguridad en el entorno de AWS y le ayuda a verificar el entorno siguiendo los estándares y las prácticas recomendadas en el sector de la seguridad. Con Security Hub, puede supervisar y procesar los resultados de forma sencilla como parte de un análisis más completo del estado de seguridad de la organización en AWS.
Acceso a Amazon Inspector
Amazon Inspector está disponible en la mayoría de las Regiones de AWS. Para ver una lista de todas las regiones en las que Amazon Inspector está disponible en este momento, consulte Puntos de conexión y cuotas de Amazon Inspector en la Guía de referencia general de Amazon Web Services. Para obtener más información acerca de las Regiones de AWS, consulte Administración de Regiones de AWS en la Guía de referencia general de Amazon Web Services. En cada región, puede trabajar con Amazon Inspector de las siguientes formas.
Consola de administración de AWS
La AWS Management Console proporciona una interfaz de usuario basada en web que puede utilizar para crear y administrar recursos de AWS. Además, la consola de Amazon Inspector le otorga acceso a su cuenta y recursos de Amazon Inspector. Desde la consola de Amazon Inspector puede llevar a cabo tareas de Amazon Inspector.
Herramientas de línea de comandos de AWS
Con las herramientas de línea de comandos de AWS, puede emitir comandos en la línea de comandos del sistema para llevar a cabo tareas de Amazon Inspector. Usar la línea de comandos puede ser más rápido y práctico que usar la consola. Las herramientas de línea de comandos también son útiles si desea crear scripts que realicen tareas.
AWS proporciona dos conjuntos de herramientas de línea de comandos: AWS Command Line Interface (AWS CLI) y la AWS Tools for PowerShell. Para obtener información sobre cómo instalar y utilizar la AWS CLI, consulte la Guía del usuario de la interfaz de la línea de comandos de AWS. Para obtener información sobre cómo instalar y utilizar Tools for PowerShell, consulte la Guía del usuario de AWS Tools for PowerShell.
SDK de AWS
AWS ofrece SDK que se componen de bibliotecas y códigos de muestra para varios lenguajes de programación y plataformas, entre los que se incluyen Java, Go, Python, C++ y .NET. Los SDK proporcionan un acceso cómodo y programático a Amazon Inspector y otros Servicios de AWS. También permiten realizar tareas como firmar solicitudes criptográficamente, administrar errores y reintentar solicitudes automáticamente. Para obtener información sobre cómo instalar y utilizar los SDK de AWS, consulte Herramientas para compilar en AWS
API de REST de Amazon Inspector
La API de REST de Amazon Inspector le proporciona un acceso completo y programático a su cuenta y recursos de Amazon Inspector. Con esta API, puede enviar solicitudes HTTPS directamente a Amazon Inspector. Sin embargo, a diferencia de las herramientas de línea de comandos y SDK de AWS, para utilizar esta API es necesario que la aplicación pueda realizar pequeñas tareas de nivel bajo, como generar para firmar una solicitud.
