Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es Amazon Inspector?

Amazon Inspector es un servicio de gestión de vulnerabilidades que analiza continuamente sus AWS cargas de trabajo en busca de vulnerabilidades de software y exposición no intencionada a la red. Amazon Inspector detecta y escanea automáticamente las instancias de Amazon EC2 en ejecución, las imágenes de contenedores del Amazon Elastic Container Registry (Amazon ECR) AWS Lambda y las funciones para detectar vulnerabilidades de software conocidas y exposiciones no intencionadas en la red.

Amazon Inspector crea un resultado cuando detecta una vulnerabilidad de software o un problema de configuración de la red. En un resultado, se describe la vulnerabilidad, se identifica el recurso afectado, se califica la gravedad de la vulnerabilidad y se proporcionan directrices para su corrección. Puede analizar los resultados con la consola de Amazon Inspector o verlos y procesarlos a través de otros Servicios de AWS. Para obtener más información, consulte Descripción de los resultados de Amazon Inspector.

Características de Amazon Inspector

Administración centralizada de varias cuentas de Amazon Inspector

Si su AWS entorno tiene varias cuentas, puede administrarlo de forma centralizada a través de una sola cuenta mediante AWS Organizations. De esta forma, puede designar una cuenta como cuenta de administrador delegado de Amazon Inspector.

Amazon Inspector se puede activar para toda la organización con un solo clic. También puede automatizar la activación del servicio para futuros miembros cuando se unan a la organización. Desde la cuenta de administrador delegado de Amazon Inspector, se administran los datos de los resultados, así como determinados parámetros para los miembros de la organización. Esto incluye ver los detalles agregados de las conclusiones de todas las cuentas de los miembros, activar o desactivar los escaneos de las cuentas de los miembros y revisar los recursos escaneados dentro de la AWS organización.

Análisis continuo del entorno en busca de vulnerabilidades y exposiciones de red

Con Amazon Inspector, no tendrá que programar o configurar manualmente análisis de evaluación. Amazon Inspector detecta automáticamente todos los recursos elegibles y empieza a analizarlos. Amazon Inspector sigue evaluando el entorno a lo largo del ciclo de vida de los recursos mediante el análisis continuo y automático de recursos en respuesta a los cambios que podrían haber introducido una nueva vulnerabilidad, como la instalación de un nuevo paquete en una instancia de EC2, la instalación de un parche y la publicación de una nueva lista de vulnerabilidades y riesgos comunes (CVE) que afectan al recurso. A diferencia de un software de análisis de seguridad tradicional, Amazon Inspector tiene un impacto mínimo en el rendimiento de la flota.

Cuando se detectan vulnerabilidades o rutas de red abiertas, Amazon Inspector genera un resultado para que lo investigue. El resultado incluye detalles exhaustivos sobre la vulnerabilidad y el recurso afectado, así como recomendaciones para corregir el problema. Siempre que se corrige un resultado correctamente, Amazon Inspector detecta automáticamente la corrección y cierra el resultado.

Evaluación de vulnerabilidades de forma precisa gracias a las puntuaciones de riesgo de Amazon Inspector

A medida que Amazon Inspector recopila información sobre el entorno mediante análisis, proporciona puntuaciones de gravedad adaptadas específicamente al entorno. Amazon Inspector examina las métricas de seguridad que componen la puntuación base de la Base de Datos Nacional de Vulnerabilidades (NVD) de los EE. UU. para una vulnerabilidad y las ajusta en función del entorno informático. Por ejemplo, el servicio puede reducir la puntuación de Amazon Inspector de un resultado para una instancia de Amazon EC2 si la vulnerabilidad se puede aprovechar a través de la red, pero no hay ninguna ruta de red abierta a la instancia que esté disponible en Internet. Esta puntuación se calcula con el formato CVSS y es una modificación de la puntuación base de Common Vulnerability Scoring System (CVSS) que proporciona la NVD.

Identificación de resultados de alto impacto con el panel de Amazon Inspector

El panel de Amazon Inspector ofrece una visualización de alto nivel de los resultados en todo el entorno. Desde el panel, puede acceder a los detalles pormenorizados de un resultado. El panel contiene información simplificada sobre la cobertura de los análisis en el entorno, los resultados más críticos y los recursos para los que se han generado más resultados. El panel de correcciones basadas en riesgos del panel de Amazon Inspector presenta los resultados que afectan al mayor número de instancias e imágenes. Este panel facilita la identificación de los resultados que afectan en mayor medida al entorno, la revisión de los detalles de los resultados y la consulta de las soluciones recomendadas.

Administración de los resultados con vistas personalizables

Además del panel, la consola de Amazon Inspector ofrece una vista de resultados. Esta página enumera todos los resultados del entorno y proporciona detalles de cada resultado. Puede ver los resultados agrupados por categoría o por tipo de vulnerabilidad. En cada vista, puede personalizar aún más los resultados mediante filtros. También puede utilizar filtros para crear reglas de supresión que oculten los resultados no deseados en las vistas.

Los filtros y las reglas de supresión le permiten generar informes sobre todos los resultados o sobre una selección personalizada de resultados. Los informes se pueden generar en formato CSV o JSON.

Supervisión y procesamiento de resultados con otros servicios y sistemas

Para facilitar la integración con otros servicios y sistemas, Amazon Inspector publica las conclusiones en Amazon EventBridge como eventos de búsqueda. EventBridge es un servicio de bus de eventos sin servidor que puede dirigir los datos de los hallazgos a objetivos, como AWS Lambda funciones y temas del Amazon Simple Notification Service (Amazon SNS). Con él EventBridge, puede monitorear y procesar los hallazgos casi en tiempo real como parte de sus flujos de trabajo actuales de seguridad y cumplimiento.

Si ha activado AWS Security Hub, Amazon Inspector también publicará los resultados en Security Hub. Security Hub es un servicio que proporciona una visión integral de su postura de seguridad en todo su AWS entorno y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad. Con Security Hub, puede supervisar y procesar los resultados de forma sencilla como parte de un análisis más completo del estado de seguridad de la organización en AWS.

Acceso a Amazon Inspector

Amazon Inspector está disponible en la mayoría Regiones de AWS. Para ver una lista de todas las regiones en las que Amazon Inspector está disponible en este momento, consulte Puntos de conexión y cuotas de Amazon Inspector en la Guía de referencia general de Amazon Web Services. Para obtener más información acerca de las Regiones de AWS, consulte Administración de Regiones de AWS en la Guía de referencia general de Amazon Web Services. En cada región, puede trabajar con Amazon Inspector de las siguientes formas.

AWS Consola de administración

AWS Management Console Se trata de una interfaz basada en un navegador que puede utilizar para crear y gestionar AWS recursos. Además, la consola de Amazon Inspector le otorga acceso a su cuenta y recursos de Amazon Inspector. Desde la consola de Amazon Inspector puede llevar a cabo tareas de Amazon Inspector.

AWS herramientas de línea de comandos

Con las herramientas de línea de AWS comandos, puede emitir comandos en la línea de comandos de su sistema para realizar tareas de Amazon Inspector. Usar la línea de comandos puede ser más rápido y práctico que usar la consola. Las herramientas de línea de comandos también son útiles si desea crear scripts que realicen tareas.

AWS proporciona dos conjuntos de herramientas de línea de comandos: el AWS Command Line Interface (AWS CLI) y el AWS Tools for PowerShell. Para obtener información sobre la instalación y el uso de AWS CLI, consulte la Guía del usuario de la interfaz de línea de AWS comandos. Para obtener información sobre la instalación y el uso de las herramientas PowerShell, consulte la Guía del AWS Tools for PowerShell usuario.

AWS SDK

AWS proporciona SDK que constan de bibliotecas y código de muestra para varios lenguajes de programación y plataformas, incluidos Java, Go, Python, C++ y.NET. Los SDK proporcionan un acceso cómodo y programático a Amazon Inspector y otros Servicios de AWS. También permiten realizar tareas como firmar solicitudes criptográficamente, administrar errores y reintentar solicitudes automáticamente. Para obtener información sobre la instalación y el uso de los AWS SDK, consulte Herramientas sobre las que basarse. AWS

API de REST de Amazon Inspector

La API de REST de Amazon Inspector le proporciona un acceso completo y programático a su cuenta y recursos de Amazon Inspector. Con esta API, puede enviar solicitudes HTTPS directamente a Amazon Inspector. Sin embargo, a diferencia de las herramientas de línea de AWS comandos y los SDK, el uso de esta API requiere que tu aplicación gestione detalles de bajo nivel, como la generación de un hash para firmar una solicitud.