Escaneo de EC2 instancias de Amazon con Amazon Inspector - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escaneo de EC2 instancias de Amazon con Amazon Inspector

Amazon Inspector El EC2 escaneo de Amazon extrae los metadatos de la EC2 instancia antes de compararlos con las reglas recopiladas en los avisos de seguridad. Amazon Inspector escanea las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad de la red para obtener conclusiones. Amazon Inspector realiza escaneos de accesibilidad de la red una vez cada 24 horas y empaqueta escaneos de vulnerabilidades con una cadencia variable que depende del método de escaneo asociado a la instancia. EC2

Los análisis de vulnerabilidades de paquetes se pueden realizar mediante un método de análisis basado en agente o sin agente. Estos dos métodos de análisis determinan cómo y cuándo Amazon Inspector recopila el inventario de software de una EC2 instancia para escanear las vulnerabilidades de los paquetes. El escaneo basado en agentes recopila el inventario de software mediante el SSM agente, y el escaneo sin agente recopila el inventario de software mediante instantáneas de Amazon. EBS

Amazon Inspector utiliza los métodos de escaneo que actives para tu cuenta. Cuando activas Amazon Inspector por primera vez, tu cuenta se inscribe automáticamente en el escaneo híbrido, que utiliza ambos métodos de escaneo. Sin embargo, puede cambiar esta configuración en cualquier momento. Para obtener información sobre cómo activar un tipo de escaneo, consulte Activación de un tipo de escaneo. En esta sección se proporciona información sobre el EC2 escaneo de Amazon.

Análisis basado en agentes

Los escaneos basados en agentes se realizan de forma continua con el SSM agente en todos los casos aptos. Para los escaneos basados en agentes, Amazon Inspector utiliza SSM asociaciones y complementos instalados a través de estas asociaciones para recopilar el inventario de software de sus instancias. Además de los análisis de vulnerabilidades de paquetes para paquetes de sistemas operativos, el análisis basado en agentes de Amazon Inspector también puede detectar vulnerabilidades de paquetes de lenguajes de programación de aplicaciones en instancias basadas en Linux mediante Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2.

El siguiente proceso explica cómo Amazon Inspector recopila SSM el inventario y realiza escaneos basados en agentes:

  1. Amazon Inspector crea SSM asociaciones en tu cuenta para recopilar el inventario de tus instancias. Para algunos tipos de instancias (Windows y Linux), estas asociaciones instalan complementos en instancias individuales para recopilar el inventario.

  2. Con Amazon InspectorSSM, extrae el inventario de paquetes de una instancia.

  3. Amazon Inspector evalúa el inventario extraído y genera resultados con las vulnerabilidades detectadas.

Instancias aptas

Amazon Inspector utilizará el método basado en agentes para analizar una instancia si cumple las condiciones siguientes:

  • La instancia tiene un sistema operativo compatible. Para obtener una lista de los sistemas operativos compatibles, consulte la columna Compatibilidad con el análisis basado en agentes de Sistemas operativos compatibles: Amazon EC2 scan.

  • Las etiquetas de EC2 exclusión de Amazon Inspector no excluyen la instancia de los escaneos.

  • La instancia está SSM gestionada. Para obtener instrucciones sobre cómo verificar y configurar el agente, consulte Configuración del SSM agente.

Comportamientos de análisis basados en agentes

Cuando se utiliza el método de análisis basado en agentes, Amazon Inspector inicia nuevos escaneos de vulnerabilidad de las EC2 instancias en las siguientes situaciones:

  • Cuando lanzas una nueva instancia. EC2

  • Cuando instalas un software nuevo en una EC2 instancia existente (Linux y Mac).

  • Cuando Amazon Inspector agrega un nuevo elemento de vulnerabilidades y exposiciones comunes (CVE) a su base de datos y que CVE es relevante para su EC2 instancia (Linux y Mac).

Amazon Inspector actualiza el campo Último escaneado de una EC2 instancia cuando se completa un escaneo inicial. Después, el campo Último escaneado se actualiza cuando Amazon Inspector evalúa el SSM inventario (de forma predeterminada, cada 30 minutos) o cuando se vuelve a escanear una instancia porque se ha añadido a la base de datos de Amazon Inspector una nueva que CVE afecta a esa instancia.

Puedes comprobar cuándo se escaneó EC2 por última vez una instancia en busca de vulnerabilidades en la pestaña Instancias de la página de administración de cuentas o mediante el ListCoveragecomando.

Configuración del SSM agente

Para que Amazon Inspector detecte las vulnerabilidades de software de una EC2 instancia de Amazon mediante el método de escaneo basado en agentes, la instancia debe ser una instancia gestionada en Amazon EC2 Systems Manager ()SSM. Una instancia SSM gestionada tiene el SSM agente instalado y en ejecución, y SSM tiene permiso para gestionarla. Si ya las utiliza SSM para administrar sus instancias, no es necesario seguir ningún otro paso para los escaneos basados en agentes.

El SSM agente se instala de forma predeterminada en EC2 las instancias creadas a partir de algunas Amazon Machine Images (AMIs). Para obtener más información, consulte Acerca del SSM agente en la Guía del AWS Systems Manager usuario. Sin embargo, aunque esté instalado, es posible que deba activar el SSM agente manualmente y conceder SSM permiso para administrar la instancia.

El siguiente procedimiento describe cómo configurar una instancia de Amazon como EC2 instancia gestionada mediante un perfil de IAM instancia. También se incluyen enlaces a información más detallada en la Guía del usuario de AWS Systems Manager .

AmazonSSMManagedInstanceCore es la política recomendada cuando se adjunta un perfil de instancia. Esta política incluye todos los permisos necesarios para EC2 escanear Amazon Inspector.

nota

También puede automatizar la SSM administración de todas sus EC2 instancias, sin el uso de perfiles de IAM instancia, mediante la configuración de administración de hosts SSM predeterminada. Para obtener más información, consulte Configuración de administración de host predeterminada.

SSMPara configurar una EC2 instancia de Amazon
  1. Si el proveedor de su sistema operativo aún no lo ha instalado, instale el SSM agente. Para obtener más información, consulte Trabajar con el SSM agente.

  2. Utilice el AWS CLI para comprobar que el SSM agente se está ejecutando. Para obtener más información, consulte Comprobar el estado del SSM agente e iniciar el agente.

  3. Conceda permiso SSM para administrar la instancia. Puedes conceder el permiso creando un perfil de IAM instancia y adjuntándolo a tu instancia. Te recomendamos que utilices el AmazonSSMManagedInstanceCorepolítica, ya que esta política tiene los permisos de SSM distribuidor, SSM inventario y administrador SSM estatal que Amazon Inspector necesita para escanear. Para obtener instrucciones sobre cómo crear un perfil de instancia con estos permisos y adjuntarlo a una instancia, consulte Configuración de permisos de instancia para Systems Manager.

  4. (Opcional) Activa las actualizaciones automáticas para el SSM agente. Para obtener más información, consulte Automatizar las actualizaciones del SSM agente.

  5. (Opcional) Configure Systems Manager para usar un punto final de Amazon Virtual Private Cloud (AmazonVPC). Para obtener más información, consulte Crear VPC puntos de enlace de Amazon.

importante

Amazon Inspector requiere una asociación como administrador del estado de Systems Manager en la cuenta para recopilar datos del inventario de aplicaciones de software. Amazon Inspector crea automáticamente una asociación denominada InspectorInventoryCollection-do-not-delete si no existe ninguna.

Amazon Inspector también requiere una sincronización de los datos de los recursos y crea automáticamente una denominada InspectorResourceDataSync-do-not-delete si no existe ninguna. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory en la Guía del usuario de AWS Systems Manager . Cada cuenta puede tener un número definido de sincronizaciones de datos de recursos por región. Para obtener más información, consulte Número máximo de sincronizaciones de datos de recursos ( Cuenta de AWS por región) en SSMpuntos finales y cuotas.

SSMrecursos creados para escanearlos

Amazon Inspector requiere una serie de SSM recursos en tu cuenta para ejecutar los EC2 escaneos de Amazon. Los siguientes recursos se crean al activar por primera vez el EC2 escaneo de Amazon Inspector:

nota

Si alguno de estos SSM recursos se elimina mientras Amazon Inspector está activado EC2 el escaneo de Amazon en su cuenta, Amazon Inspector intentará volver a crearlos en el siguiente intervalo de escaneo.

InspectorInventoryCollection-do-not-delete

Se trata de una asociación de Systems Manager State Manager (SSM) que Amazon Inspector utiliza para recopilar el inventario de aplicaciones de software de sus EC2 instancias de Amazon. Si tu cuenta ya tiene una SSM asociación para recolectar inventarioInstanceIds*, Amazon Inspector la usará en lugar de crear la suya propia.

InspectorResourceDataSync-do-not-delete

Se trata de una sincronización de datos de recursos que Amazon Inspector utiliza para enviar los datos de inventario recopilados de sus EC2 instancias de Amazon a un bucket de Amazon S3 propiedad de Amazon Inspector. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory en la Guía del usuario de AWS Systems Manager .

InspectorDistributor-do-not-delete

Se trata de una SSM asociación que Amazon Inspector utiliza para escanear instancias de Windows. Esta asociación instala el SSM complemento Amazon Inspector en las instancias de Windows. Si el archivo del complemento se elimina sin querer, esta asociación lo reinstala en el próximo intervalo de asociación.

InvokeInspectorSsmPlugin-do-not-delete

Se trata de una SSM asociación que Amazon Inspector utiliza para escanear instancias de Windows. Esta asociación permite a Amazon Inspector iniciar análisis con el complemento. También puede utilizarla para establecer intervalos personalizados de análisis de instancias de Windows. Para obtener más información, consulte Establecer horarios personalizados para Windows escaneos de instancias.

InspectorLinuxDistributor-do-not-delete

Esta es una SSM asociación que Amazon Inspector utiliza para la inspección profunda de Amazon EC2 Linux. Esta asociación instala el SSM complemento Amazon Inspector en las instancias de Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Esta es una SSM asociación que Amazon Inspector utiliza para la inspección profunda de Amazon EC2 Linux. Esta asociación permite a Amazon Inspector iniciar análisis con el complemento.

nota

Al desactivar Amazon Inspector, el EC2 escaneo o la inspección profunda de Amazon, el SSM recurso InvokeInspectorLinuxSsmPlugin-do-not-delete deja de invocarse.

Análisis sin agente

Amazon Inspector utiliza el método de escaneo sin agente en las instancias aptas cuando tu cuenta está en modo de escaneo híbrido. El modo de escaneo híbrido incluye escaneos con y sin agentes y se activa automáticamente al activar el escaneo de Amazon. EC2

En el caso de los escaneos sin agente, Amazon Inspector utiliza EBS instantáneas para recopilar un inventario de software de sus instancias. El escaneo sin agente escanea las instancias en busca de vulnerabilidades en los paquetes del sistema operativo y del lenguaje de programación de aplicaciones.

nota

Al analizar las instancias de Linux en busca de vulnerabilidades en los paquetes de lenguajes de programación de aplicaciones, el método sin agente analiza todas las rutas disponibles, mientras que la exploración basada en agentes solo analiza las rutas predeterminadas y las rutas adicionales que especifique como parte de Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2. Esto puede provocar que la misma instancia arroje resultados diferentes en función de si se analiza con el método basado en agentes o sin agente.

En el siguiente proceso se explica cómo Amazon Inspector utiliza EBS las instantáneas para recopilar el inventario y realizar escaneos sin agentes:

  1. Amazon Inspector crea una EBS instantánea de todos los volúmenes adjuntos a la instancia. Mientras Amazon Inspector la usa, la instantánea se guarda en su cuenta y se etiqueta con InspectorScan como clave de etiqueta y con un identificador de análisis único como valor de etiqueta.

  2. Amazon Inspector recupera los datos de las instantáneas mediante EBSDirect APIs y los evalúa para detectar vulnerabilidades. Se generan resultados con las vulnerabilidades detectadas.

  3. Amazon Inspector elimina las EBS instantáneas que creó en tu cuenta.

Instancias aptas

Amazon Inspector utilizará el método basado en agentes para analizar una instancia si cumple las condiciones siguientes:

  • La instancia tiene un sistema operativo compatible. Para obtener más información, consulte la columna >Soporte para escaneos basados en agentes de. Sistemas operativos compatibles: Amazon EC2 scan

  • El estado de la instancia esUnmanaged EC2 instance, Stale inventory o. No inventory

  • La instancia está respaldada por Amazon EBS y tiene uno de los siguientes formatos de sistema de archivos:

    • ext3

    • ext4

    • xfs

  • La instancia no se excluye de los escaneos a través de las etiquetas de EC2 exclusión de Amazon.

  • El número de volúmenes adjuntos a la instancia es inferior a 8 y su tamaño combinado es inferior o igual a 1200 GB.

Comportamientos de análisis sin agente

Cuando su cuenta está configurada para el análisis híbrido, Amazon Inspector realiza análisis sin agente de las instancias aptas cada 24 horas. Amazon Inspector detecta y escanea las nuevas instancias aptas cada hora, lo que incluye instancias nuevas sin SSM agentes o instancias preexistentes con estados que han cambiado a. SSM_UNMANAGED

Amazon Inspector actualiza el campo Último escaneado de una EC2 instancia de Amazon cada vez que escanea las instantáneas extraídas de una instancia tras un escaneo sin agente.

Puede comprobar cuándo se escaneó EC2 por última vez una instancia en busca de vulnerabilidades en la pestaña Instancias de la página de administración de cuentas o mediante el ListCoveragecomando.

Cómo administrar el modo de análisis

Su modo de EC2 escaneo determina qué métodos de escaneo utilizará Amazon Inspector al realizar EC2 escaneos en su cuenta. Puede ver el modo de escaneo de su cuenta en la página de configuración de EC2 escaneo, en la sección Configuración general. Las cuentas independientes o los administradores delegados de Amazon Inspector pueden cambiar el modo de análisis. Cuando se configura el modo de análisis como administrador delegado de Amazon Inspector, dicho modo se configura para las cuentas de todos los miembros de su organización. Amazon Inspector tiene los siguientes modos de análisis:

Análisis basado en agentes: en este modo, Amazon Inspector utilizará exclusivamente el método de análisis basado en agentes para buscar vulnerabilidades en los paquetes. Este modo de escaneo solo escanea las instancias SSM administradas de su cuenta, pero tiene la ventaja de proporcionar escaneos continuos en respuesta a nuevas CVE instancias o cambios en las mismas. El análisis basado en agentes también ofrece inspección profunda de Amazon Inspector para las instancias aptas. Este es el modo de análisis predeterminado para las cuentas recién activadas.

Análisis híbrido: en este modo de análisis, Amazon Inspector utiliza una combinación de los dos métodos, el basado en agentes y el método sin agente, para buscar vulnerabilidades en los paquetes. Para EC2 las instancias aptas que tienen el SSM agente instalado y configurado, Amazon Inspector utiliza el método basado en agentes. En el caso de las instancias aptas que no estén SSM gestionadas, Amazon Inspector utilizará el método sin agente para las instancias respaldadas por usuarios EBS aptas.

Cambio del modo de análisis
  1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee cambiar el modo de escaneo. EC2

  3. En el panel de navegación lateral, en Configuración general, seleccione la configuración de EC2digitalización.

  4. En Modo de análisis, seleccione Editar.

  5. Elija un modo de análisis y, a continuación, seleccione Guardar cambios.

Exclusión de instancias de los análisis de Amazon Inspector

Puede excluir Linux y Windows las instancias de Amazon Inspector escanean etiquetándolas con la InspectorEc2Exclusion clave. La inclusión de un valor de etiqueta es opcional. Para obtener información sobre cómo añadir etiquetas, consulta Cómo etiquetar tus EC2 recursos de Amazon.

Cuando etiquetas una instancia para excluirla de los escaneos de Amazon Inspector, Amazon Inspector marca la instancia como excluida y no crea resultados para ella. Sin embargo, se seguirá invocando el SSM complemento Amazon Inspector. Para evitar que se invoque el complemento, debe permitir el acceso a las etiquetas de los metadatos de la instancia.

nota

No se te cobrará por las instancias excluidas.

Además, puede excluir un EBS volumen cifrado de los escaneos sin agente etiquetando la AWS KMS clave utilizada para cifrar ese volumen con la etiqueta. InspectorEc2Exclusion Para obtener más información, consulte Etiquetado de claves.

Sistemas operativos compatibles

Amazon Inspector analiza las EC2 instancias compatibles de Mac, Windows y Linux en busca de vulnerabilidades en los paquetes del sistema operativo. En el caso de las instancias de Linux, Amazon Inspector puede generar resultados sobre paquetes de lenguajes de programación de la aplicación mediante la Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2. En el caso de las instancias de Mac y Windows, solo se analizan los paquetes de sistemas operativos.

Para obtener información sobre los sistemas operativos compatibles, incluido qué sistema operativo se puede escanear sin un SSM agente, consulteValores de estado de EC2 las instancias de Amazon.