Verificar as instâncias do Amazon EC2 com o Amazon Inspector - Amazon Inspector
Verificação baseada em agenteVerificação sem agenteGerenciar o modo de digitalizaçãoExcluir instâncias das verificações do Amazon InspectorSistemas operacionais compatíveis

Verificar as instâncias do Amazon EC2 com o Amazon Inspector

A verificação do Amazon EC2 do Amazon Inspector extrai metadados da instância do EC2 antes de comparar os metadados com as regras coletadas de recomendações de segurança. O Amazon Inspector verifica as instâncias em busca de vulnerabilidades em pacotes e problemas de acessibilidade de rede para gerar descobertas. O Amazon Inspector realiza verificações de acessibilidade de rede uma vez a cada 24 horas, enquanto as verificações de vulnerabilidade de pacotes são executadas em uma cadência variável, dependendo do método de verificação associado à instância do EC2.

As verificações de vulnerabilidades de pacotes podem ser executadas usando um método de verificação baseado em agente ou sem agente. Ambos os métodos de verificação determinam como e quando o Amazon Inspector coleta o inventário de software de uma instância do EC2 para verificações de vulnerabilidades em pacotes. A verificação baseada em agente coleta o inventário de software usando o agente do SSM, e a verificação sem agente coleta o inventário de software usando snapshots do Amazon EBS.

O Amazon Inspector usa os métodos de verificação que você habilita para sua conta. Ao ativar o Amazon Inspector pela primeira vez, sua conta é automaticamente inscrita na verificação híbrida, que utiliza ambos os tipos de verificação. No entanto, é possível alterar essa configuração a qualquer momento. Para ter informações sobre como ativar um tipo de verificação, consulte Activating a scan type. Esta seção fornece informações sobre a verificação do Amazon EC2.

Verificação baseada em agente

As verificações baseadas em agente são executadas continuamente usando o agente SSM em todas as instâncias qualificadas. Para verificações baseadas em agente, o Amazon Inspector usa associações SSM e plug-ins instalados por meio dessas associações para coletar inventário de software de suas instâncias. Além das verificações de vulnerabilidades de pacotes de sistemas operacionais, a verificação baseada em agente do Amazon Inspector também pode detectar vulnerabilidades de pacotes de linguagens de programação de aplicativos em instâncias baseadas em Linux por meio de Inspeção profunda do Amazon Inspector para instâncias do Amazon EC2 baseadas em Linux.

O processo a seguir explica como o Amazon Inspector usa o SSM para coletar inventário e realizar verificações baseadas em agente:

  1. O Amazon Inspector cria associações SSM na conta para coletar inventário de suas instâncias. Para alguns tipos de instância (Windows e Linux), essas associações instalam plug-ins em instâncias individuais para coletar inventário.

  2. Usando o SSM, o Amazon Inspector extrai o inventário de pacotes de uma instância.

  3. O Amazon Inspector avalia o inventário extraído e gera descobertas para as vulnerabilidades detectadas.

Instâncias qualificadas

O Amazon Inspector usará o método baseado em agente para verificar uma instância se ela atender às seguintes condições:

  • A instância tem um sistema operacional compatível. Para ver uma lista de sistemas operacionais compatíveis, consulte a coluna Suporte de verificação baseada em agente do Sistemas operacionais com suporte: ao escaneamento do Amazon EC2.

  • A instância não é excluída das verificações pelas tags de exclusão do Amazon Inspector EC2.

  • A instância é gerenciada pelo SSM. Para obter instruções sobre como verificar e configurar o agente, consulte Configurar o atendente do SSM.

Comportamentos de verificação baseados em agente

Ao usar o método de verificação baseado em agente, o Amazon Inspector inicia novas verificações de vulnerabilidades de instâncias do EC2 nas seguintes situações:

  • Ao executar uma nova instância do EC2.

  • Ao instalar um novo software em uma instância do EC2 (Linux e Mac).

  • Quando o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e essa CVE é relevante para sua instância do EC2 (Linux e Mac).

O Amazon Inspector atualiza o campo Última verificação para uma instância do EC2 quando uma verificação inicial é concluída. Depois disso, o campo Última verificação é atualizado quando o Amazon Inspector avalia o inventário do SSM (a cada 30 minutos por padrão) ou quando uma instância é verificada novamente porque um novo CVE que afeta essa instância foi adicionado ao banco de dados do Amazon Inspector.

Você pode conferir quando uma instância do EC2 foi verificada pela última vez em busca de vulnerabilidades na guia Instâncias, na página Gerenciamento de contas, ou usando o comando ListCoverage.

Configurar o atendente do SSM

Para que o Amazon Inspector detecte vulnerabilidades de software em uma instância do Amazon EC2 usando o método de verificação baseado em agente, a instância deve ser uma instância gerenciada no Amazon EC2 Systems Manager (SSM). Uma instância gerenciada do SSM tem o atendente do SSM instalado e em funcionamento, e o SSM tem permissão para gerenciar a instância. Se você já estiver usando o SSM para gerenciar suas instâncias, nenhuma outra etapa será necessária para verificações baseadas em agente.

O atendente de SSM é instalado por padrão em instâncias do EC2 criadas de algumas imagens de máquina da Amazon (AMIs). Para obter mais informações, consulte Sobre o atendente do SSM no Guia do usuário do AWS Systems Manager. No entanto, mesmo que esteja instalado, talvez seja necessário ativar o atendente do SSM manualmente e conceder permissão ao SSM para gerenciar sua instância.

O procedimento a seguir descreve como configurar uma instância do Amazon EC2 como uma instância gerenciada usando um perfil de instância do IAM. O procedimento também fornece links para informações mais detalhadas no Guia do usuário do AWS Systems Manager.

AmazonSSMManagedInstanceCore é a política recomendada a ser usada ao anexar um perfil de instância. Esta política tem todas as permissões necessárias para o escaneamento do EC2 do Amazon Inspector.

nota

Você também poderá automatizar o gerenciamento de SSM de todas as suas instâncias do EC2, sem o uso de perfis de instância do IAM usando a Configuração de gerenciamento de host padrão do SSM. Para obter mais informações, consulte Configuração de gerenciamento de host padrão.

Para configurar o SSM para uma instância do Amazon EC2

  1. Se ele ainda não tiver sido instalado pelo fornecedor do sistema operacional, instale o atendente do SSM. Para obter mais informações, consulte Trabalhar com o atendente do SSM.

  2. Use a AWS CLI para verificar se o atendente do SSM está em execução. Para obter mais informações, consulte Verificar o status do atendente do SSM e iniciar o atendente.

  3. Conceda permissão para que o SSM gerencie sua instância. Conceda permissão criando um perfil de instância do IAM e anexando-o à sua instância. Recomendamos o uso da política AmazonSSMManagedInstanceCore, porque essa política tem as permissões para SSM Distributor, SSM Inventory e SSM State Manager, que o Amazon Inspector precisa para fazer verificações. Para obter instruções sobre como criar um perfil de instância com essas permissões e anexá-lo a uma instância, consulte Configurar permissões de instância para o Gerenciador de Sistemas.

  4. (Opcional) Ative as atualizações automáticas para o atendente do SSM. Para obter mais informações, consulte Automatizar atualizações para o atendente do SSM.

  5. (Opcional) Configure o Systems Manager para usar um endpoint Amazon Virtual Private Cloud (Amazon VPC). Para obter mais informações, consulte Criar o endpoint da VPC do Amazon.

Importante

O Amazon Inspector exige uma associação do Gerenciador de Sistemas e do Gerenciador de Estado em sua conta para coletar o inventário de aplicativos de software. O Amazon Inspector cria automaticamente uma associação chamada InspectorInventoryCollection-do-not-delete, caso ainda não exista.

O Amazon Inspector também exige uma sincronização de dados de recursos e cria automaticamente uma chamada InspectorResourceDataSync-do-not-delete, caso ainda não exista. Para obter mais informações, consulte Configurar a sincronização de dados de recursos para o Inventário no Guia do usuário do AWS Systems Manager. Cada conta pode ter um número definido de sincronizações de dados de recursos por região. Para obter mais informações, consulte Número máximo de sincronizações de dados de recursos (por Conta da AWS por Região) em Endpoints e cotas do SSM.

Recursos do SSM criados para verificação

O Amazon Inspector requer vários recursos do SSM na conta para executar verificações do Amazon EC2. Os seguintes recursos são criados ao ativar o escaneamento do EC2 do Amazon Inspector pela primeira vez:

nota

Se algum desses recursos do SSM for excluído enquanto a verificação do Amazon EC2 estiver habilitada em sua conta, o Amazon Inspector tentará recriá-los no próximo intervalo de verificação.

InspectorInventoryCollection-do-not-delete

Esta é uma associação do Gerenciador de Sistemas e do Gerenciador de Estado (SSM) que o Amazon Inspector usa para coletar inventário de aplicativos de software de suas instâncias do Amazon EC2. Se a sua conta já tiver uma associação do SSM para coletar inventário de InstanceIds*, o Amazon Inspector a usará em vez de criar a sua própria.

InspectorResourceDataSync-do-not-delete

Esta é uma sincronização de dados de recursos que o Amazon Inspector usa para enviar dados de inventário coletados de suas instâncias do Amazon EC2 para um bucket do Amazon S3 de propriedade do Amazon Inspector. Para obter mais informações, consulte Configurar a sincronização de dados de recursos para o Inventário no Guia do usuário do AWS Systems Manager.

InspectorDistributor-do-not-delete

Esta é uma associação do SSM que o Amazon Inspector usa para verificar as instâncias do Windows. Essa associação instala o plug-in do SSM do Amazon Inspector em suas instâncias do Windows. Se o arquivo do plug-in for excluído inadvertidamente, essa associação o reinstalará no próximo intervalo de associação.

InvokeInspectorSsmPlugin-do-not-delete

Esta é uma associação do SSM que o Amazon Inspector usa para verificar as instâncias do Windows. Essa associação permite que o Amazon Inspector inicie as verificações usando o plug-in. Você também poderá usá-lo para definir intervalos personalizados para as verificações de instâncias do Windows. Para ter mais informações, consulte Definir horários personalizados para verificações de instâncias do Windows.

InspectorLinuxDistributor-do-not-delete

Esta é uma associação do SSM que o Amazon Inspector usa para a inspeção profunda do Amazon EC2 do Linux. Essa associação instala o plug-in do SSM do Amazon Inspector nas instâncias do Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Esta é uma associação do SSM que o Amazon Inspector usa para a inspeção profunda do Amazon EC2 do Linux. Essa associação permite que o Amazon Inspector inicie as verificações usando o plug-in.

nota

Ao desabilitar a verificação ou a inspeção detalhada do Amazon EC2 do Amazon Inspector, o recurso InvokeInspectorLinuxSsmPlugin-do-not-delete do SSM não é mais invocado.

Verificação sem agente

O Amazon Inspector usa o método de verificação sem agente em instâncias elegíveis quando sua conta está no modo de verificação híbrida. O modo de verificação híbrida inclui verificações baseadas em agente e sem agente e é habilitado automaticamente quando você ativa a verificação do Amazon EC2.

No caso de verificações sem agente, o Amazon Inspector usa snapshots do EBS para coletar um inventário de software das suas instâncias. O método sem agente verifica as instâncias em busca de vulnerabilidades em pacotes do sistema operacional e da linguagem de programação de aplicações.

nota

Ao verificar instâncias do Linux em busca de vulnerabilidades de pacotes de linguagem de programação de aplicativos, o método sem agente verifica todos os caminhos disponíveis, enquanto a verificação baseada em agente verifica apenas os caminhos padrão e caminhos adicionais especificados como parte do Inspeção profunda do Amazon Inspector para instâncias do Amazon EC2 baseadas em Linux. Isso pode fazer com que a mesma instância tenha descobertas diferentes, dependendo se ela for verificada usando o método baseado em agente ou o método sem agente.

O processo a seguir explica como o Amazon Inspector usa snapshots do EBS para coletar inventário e realizar verificações sem agente:

  1. O Amazon Inspector cria um snapshot do EBS de todos os volumes anexados à instância. Enquanto o Amazon Inspector o estiver utilizando, o snapshot será armazenado na conta e marcado com o InspectorScan como chave de tag e um ID de digitalização exclusivo como valor de tag.

  2. O Amazon Inspector recupera dados dos snapshots usando as APIs diretas do EBS e os avalia em busca de vulnerabilidades. As descobertas são geradas para todas as vulnerabilidades detectadas.

  3. O Amazon Inspector exclui os snapshots do EBS criados na conta.

Instâncias qualificadas

O Amazon Inspector usará o método sem agente para verificar uma instância se ela atender às seguintes condições:

  • A instância tem um sistema operacional compatível. Para ter mais informações, consulte a coluna “Suporte à verificação baseada em agente” em Sistemas operacionais com suporte: ao escaneamento do Amazon EC2.

  • A instância tem um status de Unmanaged EC2 instance, Stale inventory ou No inventory.

  • A instância é respaldada pelo Amazon EBS e tem um dos seguintes formatos de sistema de arquivos:

    • ext3

    • ext4

    • xfs

  • A instância não é excluída das verificações pelas etiquetas de exclusão do Amazon EC2.

  • O número de volumes anexados à instância é menor que 8 e tem um tamanho combinado menor ou igual a 1.200 GB.

Comportamentos de verificação sem agente

Quando a conta está configurada para verificação híbrida, o Amazon Inspector realiza verificações sem agente em instâncias qualificadas a cada 24 horas. O Amazon Inspector detecta e verifica instâncias recém-qualificadas a cada hora, o que inclui novas instâncias sem agentes SSM ou instâncias pré-existentes com status que foram alterados para SSM_UNMANAGED.

O Amazon Inspector atualiza o campo Última verificação de uma instância do Amazon EC2 sempre que verifica snapshots extraídos de uma instância após uma verificação sem agente.

Você pode conferir quando uma instância do EC2 foi verificada pela última vez em busca de vulnerabilidades na guia Instâncias, na página Gerenciamento de contas, ou usando o comando ListCoverage.

Gerenciar o modo de digitalização

O modo de verificação do EC2 determina quais métodos de verificação o Amazon Inspector usará ao realizar verificações do EC2 na conta. Você pode visualizar o modo de verificação da conta na página de configurações de verificação do EC2 em Configurações gerais. Contas independentes ou administradores delegados do Amazon Inspector podem alterar o modo de verificação. Quando você define o modo de verificação como administrador delegado do Amazon Inspector, esse modo de verificação é definido para todas as contas de membro da empresa. O Amazon Inspector tem os seguintes modos de verificação:

Verificação baseada em agente — Nesse modo de verificação, o Amazon Inspector usará exclusivamente o método de verificação baseado em agente ao verificar vulnerabilidades de pacotes. Este modo de verificação apenas verifica instâncias gerenciadas pelo SSM na conta, mas tem a vantagem de fornecer verificações contínuas em resposta a novos CVEs ou alterações nas instâncias. A verificação baseada em agente também fornece inspeção detalhada do Amazon Inspector para instâncias qualificadas. Este é o modo de verificação padrão para contas recém-ativadas.

Verificação híbrida — Nesse modo de verificação, o Amazon Inspector usa uma combinação de métodos baseados em agente e sem agente para verificar vulnerabilidades de pacotes. Para instâncias EC2 qualificadas que têm o agente SSM instalado e configurado, o Amazon Inspector usará o método baseado em agente. Para instâncias qualificadas que não são gerenciadas pelo SSM, o Amazon Inspector usará o método sem agente para instâncias qualificadas com suporte do EBS.

Para alterar o modo de digitalização

  1. Faça login usando suas credenciais e abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/v2/home.

  2. Ao usar o seletor de Região da AWS no canto superior direito da página, selecione a Região onde deseja alterar o modo de verificação do EC2.

  3. No painel de navegação lateral, em Configurações gerais, selecione Configurações de escaneamento do EC2.

  4. Em Modo de digitalização, selecione Editar.

  5. Selecione um modo de verificação e selecione Salvar alterações.

Excluir instâncias das verificações do Amazon Inspector

Você pode excluir as instâncias do Linux e do Windows das verificações do Amazon Inspector marcando essas instâncias com a chave InspectorEc2Exclusion. Incluir um valor de etiqueta é opcional. Para ter informações sobre como adicionar etiquetas, consulte Marcar com tag os recursos do Amazon EC2.

Quando você adiciona uma etiqueta a uma instância para exclusão das verificações do Amazon Inspector, o Amazon Inspector marca a instância como excluída e não cria descobertas para ela. No entanto, o plug-in do SSM do Amazon Inspector continuará a ser invocado. Para evitar que o plug-in seja invocado, você deve permitir o acesso a etiquetas nos metadados da instância.

nota

Você não recebe cobranças pelas instâncias excluídas.

Além disso, você pode excluir um volume EBS criptografado de verificações sem agente marcando a chave AWS KMS usada para criptografar esse volume com a tag InspectorEc2Exclusion. Para ter mais informações, consulte Tagging keys.

Sistemas operacionais compatíveis

O Amazon Inspector verifica as instâncias EC2 com suporte para Mac, Windows e Linux em busca de vulnerabilidades em pacotes do sistema operacional. Para instâncias do Linux, o Amazon Inspector pode produzir descobertas para pacotes de linguagens de programação de aplicativos usando Inspeção profunda do Amazon Inspector para instâncias do Amazon EC2 baseadas em Linux. Para instâncias do Mac e do Windows, somente pacotes do sistema operacional são verificados.

Para obter informações sobre os sistemas operacionais compatíveis, incluindo qual sistema operacional pode ser verificado sem um agente SSM, consulte Valores de status para instâncias do Amazon EC2.