Tipos de resultados de Amazon Inspector
En esta sección se describen los distintos tipos de resultados en Amazon Inspector.
Vulnerabilidad de paquetes
Los resultados de vulnerabilidades de paquetes identifican los paquetes de software de su entorno de AWS expuestos a vulnerabilidades y riesgos comunes (CVE). Los atacantes pueden aprovechar las vulnerabilidades no parcheadas y poner en riesgo la confidencialidad, integridad o disponibilidad de los datos, así como acceder a otros sistemas. El sistema de CVE sirve como método de referencia para las vulnerabilidades y exposiciones de seguridad de la información conocidas. Para obtener más información, visite https://www.cve.org/
Amazon Inspector puede generar resultados de vulnerabilidades de paquetes sobre instancias de EC2, imágenes de contenedores de ECR y funciones de Lambda. Los resultados de vulnerabilidades de paquetes ofrecen más detalles únicos acerca de este tipo de resultado: la puntuación de Inspector e inteligencia de vulnerabilidades.
Vulnerabilidad de código
Los resultados de vulnerabilidades de código identifican las líneas de código que pueden aprovechar posibles atacantes. Entre las vulnerabilidades de código se incluyen fallos de inyección, fugas de datos, errores de criptografía débil o una falta de cifrado en el código.
Amazon Inspector evalúa el código de la aplicación de la función de Lambda mediante razonamiento automatizado y machine learning de conformidad con los estándares generales de seguridad. Identifica las infracciones de políticas y las vulnerabilidades en función de detectores internos desarrollados en colaboración con Amazon CodeGuru. Para consultar una lista de posibles detecciones, vaya a la biblioteca de detectores de CodeGuru.
importante
El análisis de código de Amazon Inspector captura fragmentos de código para resaltar las vulnerabilidades detectadas. Estos fragmentos pueden contener credenciales codificadas u otros tipos de información confidencial en formato de texto no cifrado.
Amazon Inspector puede generar resultados de vulnerabilidad de código para las funciones de Lambda si habilita el análisis de código de Lambda de Amazon Inspector.
Los fragmentos de código que se detectan junto a un hallazgo de vulnerabilidad de código se almacenan en el servicio CodeGuru. De forma predeterminada, se utiliza una clave propiedad de AWS controlada por CodeGuru para cifrar el código. No obstante, puede utilizar su propia clave administrada por el cliente para cifrarlo a través de la API de Amazon Inspector. Para obtener más información, consulte Cifrado de código en reposo en los resultados .
Accesibilidad de red
Los resultados de accesibilidad de red indican que hay rutas de red abiertas a las instancias de Amazon EC2 de su entorno. Estos resultados aparecen cuando se puede acceder a los puertos TCP y UDP desde las periferias de VPC mediante una puerta de enlace de Internet (incluidas las instancias situadas detrás de equilibradores de carga de aplicaciones o equilibradores de carga clásicos), una conexión de emparejamiento de VPC o una VPN a través de una puerta de enlace virtual. En estos resultados se destacan las configuraciones de red que podrían ser demasiado permisivas, entre las que se incluyen grupos de seguridad mal administrados, listas de control de acceso o puertas de enlace de Internet, que podrían permitir un acceso potencialmente malicioso.
Amazon Inspector solo genera resultados de accesibilidad de red para instancias de Amazon EC2. Amazon Inspector lleva a cabo un análisis de resultados de accesibilidad de red cada 24 horas una vez que se habilita Amazon Inspector.
Amazon Inspector evalúa las siguientes configuraciones cuando se analizan las rutas de red:
