Análisis de instancias de Amazon EC2 con Amazon Inspector - Amazon Inspector
Análisis basado en agentesAnálisis sin agenteCómo administrar el modo de análisisExclusión de instancias de los análisis de Amazon InspectorSistemas operativos compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis de instancias de Amazon EC2 con Amazon Inspector

El análisis sin agente de Amazon Inspector para Amazon EC2 se encuentra en una versión preliminar. El uso de la característica de análisis sin agente de Amazon EC2 está sujeto a la sección 2 de las Condiciones del servicio de AWS (“versiones beta y vistas previas”).

El análisis de Amazon Inspector EC2 extrae metadatos de su instancia de EC2 y, a continuación, los compara con las reglas recopiladas en los avisos de seguridad para generar resultados. Amazon Inspector analiza las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad de la red. Para obtener información acerca de los tipos de resultado generados para estos problemas, consulte Tipos de resultados en Amazon Inspector.

Amazon Inspector realiza análisis de accesibilidad de la red una vez cada 24 horas, mientras que los análisis de vulnerabilidades de paquetes se realizan con una cadencia variable según el método de análisis asociado a la instancia.

Métodos de análisis

Los análisis de vulnerabilidades de paquetes se pueden realizar mediante un método de análisis basado en agente o sin agente. Estos métodos de análisis determinan cómo y cuándo recopila Amazon Inspector el inventario de software de una instancia de EC2 para analizar las vulnerabilidades de los paquetes. El método basado en agentes se basa en el agente de SSM para recopilar el inventario de software, mientras que el método sin agente utiliza instantáneas de Amazon EBS en lugar de un agente.

Los métodos de análisis utilizados por Amazon Inspector dependen de la configuración del modo de análisis de su cuenta. Para obtener más información, consulte Cómo administrar el modo de análisis.

Para activar los análisis de Amazon EC2, consulte Activación de un tipo de análisis.

Análisis basado en agentes

Los análisis basados en agentes se realizan de forma continua con el agente de SSM en todas las instancias aptas. Para los análisis basados en agentes, Amazon Inspector utiliza asociaciones de SSM y complementos instalados a través de estas asociaciones para recopilar el inventario de software de sus instancias. Además de los análisis de vulnerabilidades de paquetes para paquetes de sistemas operativos, el análisis basado en agentes de Amazon Inspector también puede detectar vulnerabilidades de paquetes de lenguajes de programación de aplicaciones en instancias basadas en Linux mediante Inspección exhaustiva de Amazon Inspector para instancias de Linux de Amazon EC2.

El siguiente proceso explica cómo Amazon Inspector utiliza SSM para recopilar el inventario y realizar análisis basados en agentes:

  1. Amazon Inspector crea asociaciones de SSM en su cuenta para recopilar el inventario de sus instancias. Para algunos tipos de instancias (Windows y Linux), estas asociaciones instalan complementos en instancias individuales para recopilar el inventario.

  2. Con SSM, Amazon Inspector extrae el inventario de paquetes de una instancia.

  3. Amazon Inspector evalúa el inventario extraído y genera resultados con las vulnerabilidades detectadas.

Instancias aptas

Amazon Inspector utilizará el método basado en agentes para analizar una instancia si cumple las condiciones siguientes:

  • La instancia tiene un sistema operativo compatible. Para obtener una lista de los sistemas operativos compatibles, consulte la columna Compatibilidad con el análisis basado en agentes de Sistemas operativos admitidos: análisis de Amazon EC2.

  • Las etiquetas de exclusión de EC2 de Amazon Inspector no excluyen la instancia de los análisis.

  • La instancia está administrada por SSM. Para obtener instrucciones sobre cómo verificar y configurar el agente, consulte Configuración del agente de SSM.

Comportamientos de análisis basados en agentes

Al utilizar el método de análisis basado en agentes, Amazon Inspector inicia nuevos análisis de vulnerabilidades en instancias de EC2 administradas en las siguientes situaciones:

  • cuando lanza una nueva instancia de EC2,

  • cuando instala nuevo software en una instancia de EC2 existente (Linux y Mac),

  • cuando Amazon Inspector añade un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y ese elemento de CVE es relevante para la instancia de EC2 (Linux y Mac).

Amazon Inspector actualiza el campo Último análisis de una instancia de EC2 cuando se completa el análisis inicial. Después, el campo Último análisis se actualiza cuando Amazon Inspector evalúa el inventario de SSM (de forma predeterminada, cada 30 minutos) o cuando se vuelve a analizar una instancia porque se ha añadido a la base de datos de Amazon Inspector una nueva CVE que afecta a esa instancia.

Puede comprobar la última vez en la que se analizó una instancia de EC2 en busca de vulnerabilidades desde la pestaña Instancias de la página Administración de cuentas o con el comando ListCoverage.

Configuración del agente de SSM

Para que Amazon Inspector detecte las vulnerabilidades de software de una instancia de Amazon EC2 mediante el método de análisis basado en agentes, la instancia debe ser una instancia administrada en Amazon EC2 Systems Manager (SSM). Cuando una instancia está administrada en SSM, esto significa que tiene el agente de SSM instalado y en ejecución y que SSM tiene permiso para administrar la instancia. Si ya utiliza SSM para administrar instancias, no hará falta hacer nada más para los análisis basados en agentes.

De forma predeterminada, el agente de SSM se instala en las instancias de EC2 creadas a partir de algunas imágenes de máquina de Amazon (AMI). Para obtener más información, consulte Acerca del agente de SSM en la Guía del usuario de AWS Systems Manager . Sin embargo, aunque el agente de SSM esté instalado, es posible que deba activarlo manualmente y conceder permisos a SSM para que administre la instancia.

En el procedimiento que se describe a continuación, se indica cómo se puede configurar una instancia de Amazon EC2 como instancia administrada con un perfil de instancia de IAM. También se incluyen enlaces a información más detallada en la Guía del usuario de AWS Systems Manager .

AmazonSSMManagedInstanceCore es la política recomendada cuando se adjunta un perfil de instancia. Esta política incluye todos los permisos necesarios para analizar EC2 con Amazon Inspector.

nota

También puede automatizar la administración de SSM para todas las instancias de EC2 sin tener que utilizar perfiles de instancia de IAM con la configuración de administración de host predeterminada de SSM. Para obtener más información, consulte Configuración de administración de host predeterminada.

Configuración de SSM para una instancia de Amazon EC2

  1. Si el proveedor del sistema operativo no ha instalado el agente de SSM, instálelo. Para obtener más información, consulte Uso del agente de SSM.

  2. Utilice el AWS CLI para comprobar que el agente SSM se está ejecutando. Para obtener más información, consulte Comprobación del estado del agente de SSM e inicio del agente.

  3. Conceda permisos a SSM para que administre la instancia. Para conceder permisos, cree un perfil de instancia de IAM y adjúntelo a la instancia. Se recomienda utilizar la política AmazonSSMManagedInstanceCore, ya que esta política incluye los permisos de distribuidor, inventario y administrador del estado de SSM, los cuales Amazon Inspector necesita para llevar a cabo análisis. Para obtener instrucciones sobre cómo crear un perfil de instancia con estos permisos y adjuntarlo a una instancia, consulte Configuración de permisos de instancia para Systems Manager.

  4. (Opcional) Active las actualizaciones automáticas para el agente de SSM. Para obtener más información, consulte Automatización de actualizaciones para el agente de SSM.

  5. (Opcional) Configure Systems Manager para que utilice un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC). Para obtener más información, consulte Creación de puntos de conexión de Amazon VPC.

importante

Amazon Inspector requiere una asociación como administrador del estado de Systems Manager en la cuenta para recopilar datos del inventario de aplicaciones de software. Amazon Inspector crea automáticamente una asociación denominada InspectorInventoryCollection-do-not-delete si no existe ninguna.

Amazon Inspector también requiere una sincronización de los datos de los recursos y crea automáticamente una denominada InspectorResourceDataSync-do-not-delete si no existe ninguna. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory en la Guía del usuario de AWS Systems Manager . Cada cuenta puede tener un número definido de sincronizaciones de datos de recursos por región. Para obtener más información, consulte Número máximo de sincronizaciones de datos de recursos ( Cuenta de AWS por región) en los puntos finales y las cuotas de SSM. Si ha alcanzado el límite, deberá eliminar sincronizaciones de datos de recursos. Para ello, consulte Administración de sincronizaciones de datos de recursos.

Recursos de SSM creados para los análisis

Amazon Inspector necesita una serie de recursos de SSM en la cuenta para ejecutar análisis de Amazon EC2. La primera vez que active los análisis de Amazon Inspector EC2 se crearán los siguientes recursos:

nota

Si alguno de estos recursos de SSM se elimina mientras el escaneo de Amazon EC2 de Amazon Inspector está activado en su cuenta, Amazon Inspector intentará volver a crearlo en el siguiente intervalo de escaneo.

InspectorInventoryCollection-do-not-delete

Se trata de una asociación de Systems Manager State Manager (SSM) que Amazon Inspector utiliza para recopilar el inventario de aplicaciones de software de sus instancias de Amazon EC2. Si la cuenta ya tiene una asociación de SSM para recopilar datos de inventario de InstanceIds*, Amazon Inspector la utilizará en vez de crear otra.

InspectorResourceDataSync-do-not-delete

Se trata de una sincronización de datos de recursos que Amazon Inspector utiliza para enviar los datos de inventario recopilados de las instancias de Amazon EC2 a un bucket de Amazon S3 propiedad de Amazon Inspector. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory en la Guía del usuario de AWS Systems Manager .

InspectorDistributor-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para analizar instancias de Windows. Esta asociación instala el complemento de SSM de Amazon Inspector en las instancias de Windows. Si el archivo del complemento se elimina sin querer, esta asociación lo reinstala en el próximo intervalo de asociación.

InvokeInspectorSsmPlugin-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para analizar instancias de Windows. Esta asociación permite a Amazon Inspector iniciar análisis con el complemento. También puede utilizarla para establecer intervalos personalizados de análisis de instancias de Windows. Para obtener más información, consulte Configuración de programaciones personalizadas para análisis de instancias de Windows.

InspectorLinuxDistributor-do-not-delete

Se trata de una asociación SSM que Amazon Inspector utiliza para la inspección profunda de Amazon EC2 Linux. Esta asociación instala el complemento de SSM de Amazon Inspector en las instancias de Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para la inspección profunda de Amazon EC2 Linux. Esta asociación permite a Amazon Inspector iniciar análisis con el complemento.

nota

Al desactivar el escaneo o la inspección profunda de Amazon EC2 de Amazon Inspector, todos los recursos de SSM se desinstalarán automáticamente de los hosts Linux correspondientes.

Análisis sin agente

Amazon Inspector utiliza un método de análisis sin agente en los casos aptos cuando su cuenta está en el modo de análisis híbrido (que incluye análisis con y sin agente). Para los análisis sin agente, Amazon Inspector utiliza instantáneas de EBS para recopilar un inventario de software de sus instancias. Las instancias analizadas con el método sin agente se analizan para detectar vulnerabilidades tanto de los paquetes del sistema operativo como de los paquetes del lenguaje de programación de aplicaciones.

nota

Al analizar las instancias de Linux en busca de vulnerabilidades en los paquetes de lenguajes de programación de aplicaciones, el método sin agente analiza todas las rutas disponibles, mientras que la exploración basada en agentes solo analiza las rutas predeterminadas y las rutas adicionales que especifique como parte de Inspección exhaustiva de Amazon Inspector para instancias de Linux de Amazon EC2. Esto puede provocar que la misma instancia arroje resultados diferentes en función de si se analiza con el método basado en agentes o sin agente.

El siguiente proceso explica cómo utiliza Amazon Inspector las instantáneas de EBS para recopilar el inventario y realizar análisis sin agente:

  1. Amazon Inspector crea una instantánea de EBS de todos los volúmenes asociados a la instancia. Mientras Amazon Inspector la usa, la instantánea se guarda en su cuenta y se etiqueta con InspectorScan como clave de etiqueta y con un identificador de análisis único como valor de etiqueta.

  2. Amazon Inspector recupera los datos de las instantáneas mediante las API directas de EBS y los evalúa para detectar vulnerabilidades. Se generan resultados con las vulnerabilidades detectadas.

  3. Amazon Inspector elimina las instantáneas de EBS que creó en su cuenta.

Instancias aptas

Amazon Inspector utilizará el método basado en agentes para analizar una instancia si cumple las condiciones siguientes:

  • La instancia tiene un sistema operativo compatible. Para obtener una lista de los sistemas operativos compatibles, consulte la columna Compatibilidad con el análisis basado en agentes de Sistemas operativos admitidos: análisis de Amazon EC2.

  • Las etiquetas de exclusión de EC2 de Amazon Inspector no excluyen la instancia de los análisis.

  • El estado de la instancia es, o. Unmanaged EC2 instance Stale inventory No inventory

  • La instancia está respaldada por EBS y tiene uno de los siguientes formatos de sistema de archivos:

    • ext3

    • ext4

    • xfs

Comportamientos de análisis sin agente

Cuando su cuenta está configurada para el análisis híbrido, Amazon Inspector realiza análisis sin agente de las instancias aptas cada 24 horas. Amazon Inspector detecta y analiza las nuevas instancias aptas cada hora, lo que incluye instancias nuevas sin agentes de SSM o instancias preexistentes con estados que han cambiado a SSM_UNMANAGED.

Amazon Inspector actualiza el campo Último análisis de una instancia de Amazon EC2 cada vez que analiza las instantáneas extraídas de una instancia tras un análisis sin agente.

Puede comprobar la última vez en la que se analizó una instancia de EC2 en busca de vulnerabilidades desde la pestaña Instancias de la página Administración de cuentas o con el comando ListCoverage.

Cómo administrar el modo de análisis

El modo de análisis de EC2 determina qué métodos de análisis utilizará Amazon Inspector al realizar análisis de EC2 en su cuenta. Puede ver el modo de análisis de su cuenta en la página de configuración de análisis de EC2, en Configuración general. Las cuentas independientes o los administradores delegados de Amazon Inspector pueden cambiar el modo de análisis. Cuando se configura el modo de análisis como administrador delegado de Amazon Inspector, dicho modo se configura para las cuentas de todos los miembros de su organización. Amazon Inspector tiene los siguientes modos de análisis:

Análisis basado en agentes: en este modo, Amazon Inspector utilizará exclusivamente el método de análisis basado en agentes para buscar vulnerabilidades en los paquetes. Este modo solo analiza las instancias administradas por SSM en su cuenta, pero tiene la ventaja de ofrecer análisis continuos en respuesta a nuevas CVE o a cambios en las instancias. El análisis basado en agentes también ofrece inspección profunda de Amazon Inspector para las instancias aptas. Este es el modo de análisis predeterminado para las cuentas recién activadas.

Análisis híbrido: en este modo de análisis, Amazon Inspector utiliza una combinación de los dos métodos, el basado en agentes y el método sin agente, para buscar vulnerabilidades en los paquetes. Para las instancias de EC2 aptas que tienen el agente SSM instalado y configurado, Amazon Inspector utiliza el método basado en agentes. En el caso de las instancias aptas que no estén gestionadas por SSM, Amazon Inspector utilizará el método sin agente para las instancias compatibles respaldadas por EBS.

Cambio del modo de análisis

  1. Abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/v2/home.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee cambiar el modo de escaneo de EC2.

  3. En el panel de navegación lateral, en Configuración general, seleccione Configuración de análisis de EC2.

  4. En Modo de análisis, seleccione Editar.

  5. Elija un modo de análisis y, a continuación, seleccione Guardar cambios.

Exclusión de instancias de los análisis de Amazon Inspector

Puede etiquetar determinadas instancias para excluirlas de los análisis de Amazon Inspector. Excluir instancias de los análisis ayuda a evitar recibir alertas no procesables. No se le cobrará por las instancias excluidas.

Para excluir una instancia de EC2 de los análisis, etiquete esa instancia con la siguiente clave:

  • InspectorEc2Exclusion

El valor es opcional.

Para obtener más información sobre cómo agregar etiquetas, consulte Etiquetar los recursos de Amazon EC2.

Además, puede excluir un volumen de EBS cifrado de los escaneos sin agente etiquetando con la etiqueta la AWS KMS clave utilizada para cifrar ese volumen. InspectorEc2Exclusion Para obtener más información acerca del etiquetado, consulte Claves de etiquetado

Sistemas operativos compatibles

Amazon Inspector analiza las instancias de EC2 compatibles con Mac, Windows y Linux en busca de vulnerabilidades en los paquetes del sistema operativo. En el caso de las instancias de Linux, Amazon Inspector puede generar resultados sobre paquetes de lenguajes de programación de la aplicación mediante la Inspección exhaustiva de Amazon Inspector para instancias de Linux de Amazon EC2. En el caso de las instancias de Mac y Windows, solo se analizan los paquetes de sistemas operativos.

Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede analizar sin un agente SSM, consulte Sistemas operativos admitidos para el análisis de Amazon EC2.