Cifrado en reposo - Amazon Inspector
Cifrado de código en reposo en los resultados Permisos para el cifrado de código con una clave administrada por el clienteConfiguración del cifrado con una clave administrada por el cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

De forma predeterminada, Amazon Inspector almacena los datos en reposo mediante soluciones de AWS cifrado. Amazon Inspector cifra datos, como los siguientes:

  • Inventario de recursos recopilado con AWS Systems Manager.

  • Inventario de recursos analizado a partir de imágenes de Amazon Elastic Container Registry

  • Se generaron hallazgos de seguridad utilizando claves AWS de cifrado propias de AWS Key Management Service

No puede administrar, usar ni ver las claves AWS propias. Sin embargo, no es necesario realizar ninguna acción ni cambiar los programas para proteger las claves que cifran los datos. Para obtener más información, consulta las claves AWS propias.

Si inhabilitas Amazon Inspector, eliminará permanentemente todos los recursos que almacena o mantiene para ti, como el inventario recopilado y los datos de seguridad.

Cifrado de código en reposo en los resultados

Para el escaneo de código Lambda de Amazon Inspector, Amazon Inspector colabora con el objetivo de CodeGuru escanear el código en busca de vulnerabilidades. Cuando se detecta una vulnerabilidad, CodeGuru extrae un fragmento del código que contiene la vulnerabilidad y lo almacena hasta que Amazon Inspector solicite acceso. De forma predeterminada, CodeGuru utiliza una AWS clave propia para cifrar el código extraído; sin embargo, puede configurar Amazon Inspector para que utilice su propia AWS KMS clave gestionada por el cliente para el cifrado.

En el siguiente flujo de trabajo se describe cómo Amazon Inspector utiliza la clave que ha configurado para cifrar el código:

  1. Usted proporciona una AWS KMS clave a Amazon Inspector mediante la UpdateEncryptionKeyAPI de Amazon Inspector.

  2. Amazon Inspector reenvía la información sobre tu AWS KMS clave a CodeGuru. CodeGuru almacena la información para usarla en el futuro.

  3. CodeGuru solicita una concesión AWS KMS para la clave que configuraste en Amazon Inspector.

  4. CodeGuru crea una clave de datos cifrada a partir de su AWS KMS clave y la almacena. Esta clave de datos se utiliza para cifrar los datos de código almacenados por CodeGuru.

  5. Siempre que Amazon Inspector solicita datos de escaneos de código, CodeGuru utiliza la autorización para descifrar la clave de datos cifrados y, a continuación, utiliza esa clave para descifrar los datos y poder recuperarlos.

Al deshabilitar el escaneo de código Lambda, CodeGuru se retira la concesión y se elimina la clave de datos asociada.

Permisos para el cifrado de código con una clave administrada por el cliente

Para usar el cifrado, debe tener una política que permita el acceso a AWS KMS las acciones, así como una declaración que otorgue a Amazon Inspector y CodeGuru permisos para usar esas acciones a través de claves de condición.

Si quiere configurar, actualizar o restablecer la clave de cifrado de su cuenta, deberá utilizar una política de administrador de Amazon Inspector como, por ejemplo, AWS política gestionada: AmazonInspector2FullAccess. También tendrá que conceder los siguientes permisos a los usuarios con permisos de solo lectura que necesiten recuperar fragmentos de código de resultados y datos relacionados con la clave de cifrado elegida.

En el caso de KMS, la política debe permitirle realizar las siguientes acciones:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKeyWithoutPlainText

  • kms:Encrypt

  • kms:RetireGrant

Una vez que hayas comprobado que tienes los AWS KMS permisos correctos en tu política, debes adjuntar una declaración que permita CodeGuru a Amazon Inspector y utilizar tu clave para el cifrado. La instrucción de política que debe adjuntar es la siguiente:

nota

Sustituya la región por la AWS región en la que está activado el escaneo de códigos de Amazon Inspector Lambda.


{
            "Sid": "allow CodeGuru Security to request a grant for a AWS KMS key",
        	"Effect": "Allow",
        	"Action": "kms:CreateGrant",
        	"Resource": "*",
        	"Condition": {
        		"ForAllValues:StringEquals": {
        			"kms:GrantOperations": [
        				"GenerateDataKey",
        				"GenerateDataKeyWithoutPlaintext",
        				"Encrypt",
        				"Decrypt",
        				"RetireGrant",
        				"DescribeKey"
        			]
        		},
        		"StringEquals": {
        			"kms:ViaService": [
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }, 
        {
        	"Sid": "allow Amazon Inspector and CodeGuru Security to use your AWS KMS key",
        	"Effect": "Allow",
        	"Action": [
        		"kms:Encrypt",
        		"kms:Decrypt",
        		"kms:RetireGrant",
        		"kms:DescribeKey",
        		"kms:GenerateDataKeyWithoutPlaintext"
        	],
        	"Resource": "*",
        	"Condition": {
        		"StringEquals": {
        			"kms:ViaService": [
        				"inspector2.Region.amazonaws.com",
        				"codeguru-security.Region.amazonaws.com"
        			]
        		}
        	}
        }
nota

Cuando agregue la instrucción, asegúrese de que la sintaxis sea válida. Las políticas utilizan el formato JSON. Esto significa que tiene que insertar una coma al principio o al final de la instrucción, dependiendo del lugar de la política al que agregue la instrucción. Si agrega la instrucción como la última instrucción, inserte la coma después del corchete de cierre de la instrucción anterior. Si la agrega como primera instrucción o entre dos instrucciones existentes, inserte la coma después del corchete de cierre de la instrucción que acaba de agregar.

Configuración del cifrado con una clave administrada por el cliente

Para configurar el cifrado en su cuenta con una clave administrada por el cliente, debe ser administrador de Amazon Inspector y contar con los permisos que se indican en Permisos para el cifrado de código con una clave administrada por el cliente. Además, necesitará una AWS KMS clave en la misma AWS región que sus hallazgos o una clave multirregional. Puede usar una clave simétrica existente en su cuenta o crear una clave simétrica administrada por el cliente mediante la consola de AWS administración o las API. AWS KMS Para obtener más información, consulte Creación de AWS KMS claves de cifrado simétricas en la guía del AWS KMS usuario.

Uso de la API de Amazon Inspector para configurar el cifrado

Para configurar una clave de cifrado, el UpdateEncryptionKeyfuncionamiento de la API de Amazon Inspector cuando se ha iniciado sesión como administrador de Amazon Inspector. En la solicitud de API, usa el kmsKeyId campo para especificar el ARN de la AWS KMS clave que deseas usar. Para scanType, introduzca CODE y, para resourceType, introduzca AWS_LAMBDA_FUNCTION.

Puedes usar la UpdateEncryptionKeyAPI para comprobar qué AWS KMS clave utiliza Amazon Inspector para el cifrado.

nota

Si intentas utilizarla sin GetEncryptionKey configurar una clave gestionada por el cliente, la operación devolverá un ResourceNotFoundException error, lo que significa que se está utilizando una AWS clave propia para el cifrado.

Si eliminas la clave o cambias su política de denegar el acceso a Amazon Inspector o no CodeGuru podrás acceder a los hallazgos de vulnerabilidad de tu código, el escaneo de código Lambda no funcionará en tu cuenta.

Puede utilizarla ResetEncryptionKey para volver a utilizar una clave AWS propia para cifrar el código extraído como parte de las conclusiones de Amazon Inspector.