Digitalizando EC2 instâncias da Amazon com o Amazon Inspector - Amazon Inspector
Verificação baseada em agenteVerificação sem agenteGerenciar o modo de digitalizaçãoExcluir instâncias das verificações do Amazon InspectorSistemas operacionais compatíveis

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Digitalizando EC2 instâncias da Amazon com o Amazon Inspector

Amazon Inspector O Amazon EC2 Scanning extrai metadados da sua EC2 instância antes de comparar os metadados com as regras coletadas de consultorias de segurança. O Amazon Inspector verifica as instâncias em busca de vulnerabilidades de pacotes e problemas de acessibilidade da rede para produzir descobertas. O Amazon Inspector realiza varreduras de acessibilidade de rede uma vez a cada 24 horas e varreduras de vulnerabilidade de pacotes em uma cadência variável que depende do método de verificação associado à instância. EC2

As verificações de vulnerabilidades de pacotes podem ser executadas usando um método de verificação baseado em agente ou sem agente. Ambos os métodos de escaneamento determinam como e quando o Amazon Inspector coleta o inventário de software de uma EC2 instância para escanear a vulnerabilidade do pacote. O escaneamento baseado em agente coleta o inventário de software usando o SSM agente, e o escaneamento sem agente coleta o inventário de software usando snapshots da Amazon. EBS

O Amazon Inspector usa os métodos de verificação que você ativa para sua conta. Quando você ativa o Amazon Inspector pela primeira vez, sua conta é automaticamente inscrita no escaneamento híbrido, que usa os dois métodos de escaneamento. No entanto, você pode alterar essa configuração a qualquer momento. Para obter informações sobre como ativar um tipo de escaneamento, consulte Ativando um tipo de escaneamento. Esta seção fornece informações sobre o EC2 escaneamento da Amazon.

Verificação baseada em agente

As verificações baseadas em agentes são realizadas continuamente usando o SSM agente em todas as instâncias elegíveis. Para escaneamentos baseados em agentes, o Amazon Inspector usa SSM associações e plug-ins instalados por meio dessas associações para coletar inventário de software de suas instâncias. Além das verificações de vulnerabilidades de pacotes de sistemas operacionais, a verificação baseada em agente do Amazon Inspector também pode detectar vulnerabilidades de pacotes de linguagens de programação de aplicativos em instâncias baseadas em Linux por meio de Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2.

O processo a seguir explica como o Amazon Inspector usa SSM para coletar inventário e realizar escaneamentos baseados em agentes:

  1. O Amazon Inspector cria SSM associações em sua conta para coletar inventário de suas instâncias. Para alguns tipos de instância (Windows e Linux), essas associações instalam plug-ins em instâncias individuais para coletar inventário.

  2. UsandoSSM, o Amazon Inspector extrai o inventário de pacotes de uma instância.

  3. O Amazon Inspector avalia o inventário extraído e gera descobertas para as vulnerabilidades detectadas.

Instâncias qualificadas

O Amazon Inspector usará o método baseado em agente para verificar uma instância se ela atender às seguintes condições:

  • A instância tem um sistema operacional compatível. Para ver uma lista de sistemas operacionais compatíveis, consulte a coluna Suporte de verificação baseada em agente do Sistemas operacionais compatíveis: Amazon EC2 Scanning.

  • A instância não é excluída dos escaneamentos pelas tags de exclusão do Amazon EC2 Inspector.

  • A instância é SSM gerenciada. Para obter instruções sobre como verificar e configurar o agente, consulte Configurando o agente SSM.

Comportamentos de verificação baseados em agente

Ao usar o método de verificação baseado em agente, o Amazon Inspector inicia novas análises de vulnerabilidade EC2 de instâncias nas seguintes situações:

  • Quando você executa uma nova EC2 instância.

  • Quando você instala um novo software em uma EC2 instância existente (Linux e Mac).

  • Quando o Amazon Inspector adiciona um novo item comum de vulnerabilidades e exposições (CVE) ao seu banco de dados, e isso CVE é relevante para sua EC2 instância (Linux e Mac).

O Amazon Inspector atualiza o campo Última digitalização para uma EC2 instância quando uma verificação inicial é concluída. Depois disso, o campo Última digitalização é atualizado quando o Amazon Inspector SSM avalia o inventário (a cada 30 minutos, por padrão) ou quando uma instância é digitalizada novamente porque uma CVE nova instância impactante foi adicionada ao banco de dados do Amazon Inspector.

Você pode verificar quando uma EC2 instância foi verificada pela última vez em busca de vulnerabilidades na guia Instâncias na página de gerenciamento de contas ou usando o ListCoveragecomando.

Configurando o agente SSM

Para que o Amazon Inspector detecte vulnerabilidades de software para uma EC2 instância da Amazon usando o método de verificação baseado em agente, a instância deve ser uma instância gerenciada no Amazon Systems Manager EC2 (). SSM Uma instância SSM gerenciada tem o SSM Agente instalado e em execução e SSM tem permissão para gerenciar a instância. Se você já está usando SSM para gerenciar suas instâncias, nenhuma outra etapa é necessária para escaneamentos baseados em agentes.

O SSM agente é instalado por padrão em EC2 instâncias criadas a partir de algumas imagens de máquina da Amazon (AMIs). Para obter mais informações, consulte Sobre o SSM agente no Guia AWS Systems Manager do usuário. No entanto, mesmo que esteja instalado, talvez seja necessário ativar o SSM Agente manualmente e conceder SSM permissão para gerenciar sua instância.

O procedimento a seguir descreve como configurar uma EC2 instância da Amazon como uma instância gerenciada usando um perfil de IAM instância. O procedimento também fornece links para informações mais detalhadas no Guia do usuário do AWS Systems Manager .

AmazonSSMManagedInstanceCore é a política recomendada a ser usada ao anexar um perfil de instância. Esta política tem todas as permissões necessárias para a digitalização do Amazon InspectorEC2.

nota

Você também pode automatizar o SSM gerenciamento de todas as suas EC2 instâncias, sem o uso de perfis de IAM instância usando a configuração SSM padrão de gerenciamento de host. Para obter mais informações, consulte Configuração de gerenciamento de host padrão.

SSMPara configurar uma EC2 instância da Amazon

  1. Se ainda não tiver sido instalado pelo fornecedor do sistema operacional, instale o SSM Agente. Para obter mais informações, consulte Trabalhando com o SSM agente.

  2. Use o AWS CLI para verificar se o SSM agente está em execução. Para obter mais informações, consulte Verificando o status do SSM agente e iniciando o agente.

  3. Conceda permissão SSM para gerenciar sua instância. Você pode conceder permissão criando um perfil de IAM instância e anexando-o à sua instância. Recomendamos usar o AmazonSSMManagedInstanceCorepolítica, porque essa política tem as permissões de SSM distribuidor, SSM inventário e gerente SSM estadual que o Amazon Inspector precisa para digitalizações. Para obter instruções sobre como criar um perfil de instância com essas permissões e anexá-lo a uma instância, consulte Configurar permissões de instância para o Gerenciador de Sistemas.

  4. (Opcional) Ative as atualizações automáticas para o SSM Agente. Para obter mais informações, consulte Automatização de atualizações para SSM o Agent.

  5. (Opcional) Configure o Systems Manager para usar um endpoint da Amazon Virtual Private Cloud (AmazonVPC). Para obter mais informações, consulte Criar VPC endpoints da Amazon.

Importante

O Amazon Inspector exige uma associação do Gerenciador de Sistemas e do Gerenciador de Estado em sua conta para coletar o inventário de aplicativos de software. O Amazon Inspector cria automaticamente uma associação chamada InspectorInventoryCollection-do-not-delete, caso ainda não exista.

O Amazon Inspector também exige uma sincronização de dados de recursos e cria automaticamente uma chamada InspectorResourceDataSync-do-not-delete, caso ainda não exista. Para obter mais informações, consulte Configurar a sincronização de dados de recursos para o Inventário no Guia do usuário do AWS Systems Manager . Cada conta pode ter um número definido de sincronizações de dados de recursos por região. Para obter mais informações, consulte Número máximo de sincronizações de dados de recursos ( Conta da AWS por região) em SSMendpoints e cotas.

SSMrecursos criados para digitalização

O Amazon Inspector requer vários SSM recursos em sua conta para executar escaneamentos da AmazonEC2. Os seguintes recursos são criados quando você ativa o escaneamento do Amazon Inspector EC2 pela primeira vez:

nota

Se algum desses SSM recursos for excluído enquanto o Amazon Inspector Amazon EC2 Scanning estiver ativado para sua conta, o Amazon Inspector tentará recriá-los no próximo intervalo de escaneamento.

InspectorInventoryCollection-do-not-delete

Esta é uma associação do Systems Manager State Manager (SSM) que o Amazon Inspector usa para coletar inventário de aplicativos de software de suas instâncias da AmazonEC2. Se sua conta já tiver uma SSM associação para coletar inventárioInstanceIds*, o Amazon Inspector a usará em vez de criar sua própria.

InspectorResourceDataSync-do-not-delete

Esta é uma sincronização de dados de recursos que o Amazon Inspector usa para enviar dados de inventário coletados de suas EC2 instâncias da Amazon para um bucket Amazon S3 de propriedade do Amazon Inspector. Para obter mais informações, consulte Configurar a sincronização de dados de recursos para o Inventário no Guia do usuário do AWS Systems Manager .

InspectorDistributor-do-not-delete

Essa é uma SSM associação que o Amazon Inspector usa para escanear instâncias do Windows. Essa associação instala o plug-in Amazon SSM Inspector em suas instâncias do Windows. Se o arquivo do plug-in for excluído inadvertidamente, essa associação o reinstalará no próximo intervalo de associação.

InvokeInspectorSsmPlugin-do-not-delete

Essa é uma SSM associação que o Amazon Inspector usa para escanear instâncias do Windows. Essa associação permite que o Amazon Inspector inicie as verificações usando o plug-in. Você também poderá usá-lo para definir intervalos personalizados para as verificações de instâncias do Windows. Para obter mais informações, consulte Definindo horários personalizados para Windows escaneamentos de instância.

InspectorLinuxDistributor-do-not-delete

Essa é uma SSM associação que o Amazon Inspector usa para a inspeção profunda do Amazon EC2 Linux. Essa associação instala o plug-in Amazon SSM Inspector em suas instâncias Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Essa é uma SSM associação que o Amazon Inspector usa para a inspeção profunda do Amazon EC2 Linux. Essa associação permite que o Amazon Inspector inicie as verificações usando o plug-in.

nota

Quando você desativa o Amazon Inspector EC2 Amazon Scanning ou Deep InspectorSSM, InvokeInspectorLinuxSsmPlugin-do-not-delete o recurso não é mais invocado.

Verificação sem agente

O Amazon Inspector usa o método de escaneamento sem agente em instâncias elegíveis quando sua conta está no modo de escaneamento híbrido. O modo de escaneamento híbrido inclui escaneamentos baseados em agentes e sem agentes e é ativado automaticamente quando você ativa o escaneamento da Amazon. EC2

Para escaneamentos sem agentes, o Amazon Inspector usa EBS snapshots para coletar um inventário de software de suas instâncias. O escaneamento sem agente verifica as instâncias em busca de vulnerabilidades no sistema operacional e no pacote de linguagens de programação de aplicativos.

nota

Ao verificar instâncias do Linux em busca de vulnerabilidades de pacotes de linguagem de programação de aplicativos, o método sem agente verifica todos os caminhos disponíveis, enquanto a verificação baseada em agente verifica apenas os caminhos padrão e caminhos adicionais especificados como parte do Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2. Isso pode fazer com que a mesma instância tenha descobertas diferentes, dependendo se ela for verificada usando o método baseado em agente ou o método sem agente.

O processo a seguir explica como o Amazon Inspector usa EBS snapshots para coletar inventário e realizar escaneamentos sem agente:

  1. O Amazon Inspector cria um EBS snapshot de todos os volumes anexados à instância. Enquanto o Amazon Inspector o estiver utilizando, o snapshot será armazenado na conta e marcado com o InspectorScan como chave de tag e um ID de digitalização exclusivo como valor de tag.

  2. O Amazon Inspector recupera dados dos snapshots usando o EBSDirect APIs e os avalia em busca de vulnerabilidades. As descobertas são geradas para todas as vulnerabilidades detectadas.

  3. O Amazon Inspector exclui os EBS snapshots criados na sua conta.

Instâncias qualificadas

O Amazon Inspector usará o método sem agente para verificar uma instância se ela atender às seguintes condições:

  • A instância tem um sistema operacional compatível. Para obter mais informações, consulte a coluna >Suporte de escaneamento baseado em agente do. Sistemas operacionais compatíveis: Amazon EC2 Scanning

  • A instância tem um status de Unmanaged EC2 instanceStale inventory, ouNo inventory.

  • A instância é apoiada pela Amazon EBS e tem um dos seguintes formatos de sistema de arquivos:

    • ext3

    • ext4

    • xfs

  • A instância não é excluída dos escaneamentos por meio das tags de EC2 exclusão da Amazon.

  • O número de volumes anexados à instância é menor que 8 e tem um tamanho combinado menor ou igual a 1200 GB.

Comportamentos de verificação sem agente

Quando a conta está configurada para verificação híbrida, o Amazon Inspector realiza verificações sem agente em instâncias qualificadas a cada 24 horas. O Amazon Inspector detecta e verifica instâncias recém-qualificadas a cada hora, o que inclui novas instâncias sem SSM agentes ou instâncias preexistentes com status que foram alterados para. SSM_UNMANAGED

O Amazon Inspector atualiza o campo Último escaneado para uma EC2 instância da Amazon sempre que escaneia instantâneos extraídos de uma instância após um escaneamento sem agente.

Você pode verificar quando uma EC2 instância foi verificada pela última vez em busca de vulnerabilidades na guia Instâncias na página de gerenciamento de contas ou usando o ListCoveragecomando.

Gerenciar o modo de digitalização

Seu modo de EC2 escaneamento determina quais métodos de escaneamento o Amazon Inspector usará ao realizar EC2 escaneamentos em sua conta. Você pode ver o modo de escaneamento da sua conta na página de configurações de EC2 escaneamento em Configurações gerais. Contas independentes ou administradores delegados do Amazon Inspector podem alterar o modo de verificação. Quando você define o modo de verificação como administrador delegado do Amazon Inspector, esse modo de verificação é definido para todas as contas de membro da empresa. O Amazon Inspector tem os seguintes modos de verificação:

Verificação baseada em agente — Nesse modo de verificação, o Amazon Inspector usará exclusivamente o método de verificação baseado em agente ao verificar vulnerabilidades de pacotes. Esse modo de verificação verifica apenas as instâncias SSM gerenciadas em sua conta, mas tem a vantagem de fornecer verificações contínuas em resposta a novas CVE instâncias ou alterações nas instâncias. A verificação baseada em agente também fornece inspeção detalhada do Amazon Inspector para instâncias qualificadas. Este é o modo de verificação padrão para contas recém-ativadas.

Verificação híbrida — Nesse modo de verificação, o Amazon Inspector usa uma combinação de métodos baseados em agente e sem agente para verificar vulnerabilidades de pacotes. Para EC2 instâncias elegíveis que têm o SSM agente instalado e configurado, o Amazon Inspector usa o método baseado em agente. Para instâncias elegíveis que não são SSM gerenciadas, o Amazon Inspector usará o método sem agente para instâncias com suporte qualificado. EBS

Para alterar o modo de digitalização

  1. Faça login usando suas credenciais e, em seguida, abra o console https://console.aws.amazon.com/inspector/ do Amazon Inspector em v2/home.

  2. Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja alterar o EC2 modo de digitalização.

  3. No painel de navegação lateral, em Configurações gerais, selecione configurações de EC2digitalização.

  4. Em Modo de digitalização, selecione Editar.

  5. Selecione um modo de verificação e selecione Salvar alterações.

Excluir instâncias das verificações do Amazon Inspector

Você pode excluir Linux e Windows instâncias do Amazon Inspector escaneiam marcando essas instâncias com a chave. InspectorEc2Exclusion Incluir um valor de tag é opcional. Para obter informações sobre como adicionar tags, consulte Marcar seus EC2 recursos da Amazon.

Quando você marca uma instância para exclusão dos escaneamentos do Amazon Inspector, o Amazon Inspector marca a instância como excluída e não cria descobertas para ela. No entanto, o SSM plugin Amazon Inspector continuará a ser invocado. Para evitar que o plug-in seja invocado, você deve permitir o acesso às tags nos metadados da instância.

nota

Você não é cobrado pelas instâncias excluídas.

Além disso, você pode excluir um EBS volume criptografado das verificações sem agente marcando a AWS KMS chave usada para criptografar esse volume com a tag. InspectorEc2Exclusion Para obter mais informações, consulte Como marcar chaves.

Sistemas operacionais compatíveis

O Amazon Inspector verifica as EC2 instâncias compatíveis de Mac, Windows e Linux em busca de vulnerabilidades em pacotes do sistema operacional. Para instâncias do Linux, o Amazon Inspector pode produzir descobertas para pacotes de linguagens de programação de aplicativos usando Inspeção profunda do Amazon Inspector para instâncias da Amazon baseadas em Linux EC2. Para instâncias do Mac e do Windows, somente pacotes do sistema operacional são verificados.

Para obter informações sobre sistemas operacionais compatíveis, incluindo qual sistema operacional pode ser verificado sem um SSM agente, consulteValores de status das EC2 instâncias da Amazon.