- Sicurezza, identità e conformità›
- Amazon Inspector›
- Domande frequenti su Amazon Inspector
Domande frequenti su Amazon Inspector
Domande generali
Cos'è Amazon Inspector?
Amazon Inspector è un servizio automatizzato di gestione delle vulnerabilità che analizza continuamente Amazon Elastic Compute Cloud (EC2), le funzioni AWS Lambda e le immagini dei container in Amazon ECR e all'interno di strumenti di integrazione continua e distribuzione continua (CI/CD), quasi in tempo reale per individuare vulnerabilità del software ed esposizione involontaria alla rete.
Quali sono i vantaggi principali dell'utilizzo di Amazon Inspector?
Amazon Inspector rimuove il sovraccarico operativo associato all'implementazione e alla configurazione di una soluzione di gestione delle vulnerabilità consentendoti di implementare Amazon Inspector su tutti gli account con un solo passaggio. Offre anche altri vantaggi:
- Rilevamento automatizzato e scansione continua che fornisce risultati di vulnerabilità quasi in tempo reale
- Gestione centralizzata, configurazione e visualizzazione dei risultati per tutti gli account delle organizzazioni impostando un account di amministratore delegato (AD)
- Un Amazon Inspector risk score altamente contestualizzato e significativo per ogni risultato per aiutarti a impostare priorità di risposta più accurate
- Un pannello di controllo intuitivo di Amazon Inspector per i parametri di copertura, inclusi account, istanze Amazon EC2, funzioni Lambda e immagini di container in Amazon ECR e negli strumenti CI/CD, quasi in tempo reale.
- Massimizza la copertura della valutazione della vulnerabilità tramite la scansione senza interruzioni delle istanze EC2, passando dalla scansione basata su agente o agentless (anteprima).
- Gestisci centralmente le distinte base del software (SBOM) per tutte le risorse monitorate.
- Integrazione con la Centrale di sicurezza AWS e Amazon EventBridge per automatizzare i flussi di lavoro e il routing dei ticket
Come posso eseguire la migrazione da Amazon Inspector Classic al nuovo Amazon Inspector?
Puoi disattivare Amazon Inspector Classic semplicemente eliminando tutti i modelli di valutazione nel tuo account. Per accedere ai risultati delle esecuzioni di valutazione esistenti, puoi scaricarli come report o esportarli utilizzando l'API di Amazon Inspector. Per attivare il nuovo Amazon Inspector bastano poche operazioni nella Console di gestione AWS o tramite le nuove API di Amazon Inspector. Puoi trovare i passaggi dettagliati della migrazione nella Guida per l'utente di Amazon Inspector Classic.
Qual è la differenza tra Amazon Inspector e Amazon Inspector Classic?
Amazon Inspector è stato riprogettato e ricostruito per creare un nuovo servizio di gestione delle vulnerabilità. Ecco i principali miglioramenti rispetto ad Amazon Inspector Classic:
- Massima scalabilità: il nuovo Amazon Inspector è stato creato per la scalabilità e l'ambiente cloud dinamico. Non c'è limite al numero di istanze o immagini che possono essere scansionate alla volta.
- Supporto per le immagini nel container e funzioni Lambda: il nuovo Amazon Inspector esegue anche la scansione delle immagini dei container che si trovano su Amazon ECR e all'interno di strumenti CI/CD e funzioni Lambda alla ricerca di vulnerabilità del software. Anche i risultati relativi al container vengono inviati alla console Amazon ECR.
- Supporto per la gestione multi-account: il nuovo Amazon Inspector è integrato con AWS Organizations, consentendoti di delegare un account amministratore per Amazon Inspector per la tua organizzazione. Questo account di amministratore delegato (DA) è un account centralizzato che consolida tutti i risultati e può configurare tutti gli account dei membri.
- Agente AWS Systems Manager: con il nuovo Amazon Inspector, non è più necessario installare e gestire un agente Amazon Inspector autonomo su tutte le istanze Amazon EC2. Il nuovo Amazon Inspector utilizza un agente AWS Systems Manager (Agente SSM) ampiamente implementato, che elimina tale necessità.
- Scansione automatica e continua: il nuovo Amazon Inspector rileva automaticamente tutte le istanze Amazon EC2 avviate di recente, le funzioni Lambda e le immagini di container idonee inviate ad Amazon ECR e le scansiona immediatamente alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Quando si verifica un evento che può introdurre una nuova vulnerabilità, le risorse coinvolte vengono riesaminate automaticamente. Gli eventi che avviano la nuova scansione di una risorsa includono l'installazione di un nuovo pacchetto in un'istanza EC2, l'installazione di una patch e la pubblicazione delle nuove vulnerabilità ed esposizioni comune (CVE) che influiscono sulla risorsa.
- Amazon Inspector risk score: il nuovo Amazon Inspector calcola un punteggio di rischio correlando le informazioni CVE aggiornate con fattori temporali e ambientali come l'accessibilità della rete e le informazioni sulla sfruttabilità di una vulnerabilità per aggiungere contesto e dare priorità agli esiti.
- Copertura della valutazione delle vulnerabilità: il nuovo Amazon Inspector migliora la valutazione delle vulnerabilità scansionando in modo ottimizzato le istanze EC2 e passando dalla scansione basata su agente a quella senza agente (anteprima).
- Esportazione della distinta base del software (SBOM): il nuovo Amazon Inspector gestisce ed esporta centralmente la Software Bill of Materials (SBOM) per tutte le risorse monitorate.
Posso utilizzare Amazon Inspector e Amazon Inspector Classic contemporaneamente nello stesso account?
Sì, è possibile utilizzare entrambi contemporaneamente nello stesso account.
In che modo il servizio di scansione delle immagini del container Amazon Inspector per Amazon Elastic Container Registry (ECR) è diverso dalla soluzione di scansione delle immagini dei container basata su Amazon ECR?
Scansione delle immagini dei container Amazon Inspector (scansione avanzata ECR) | Scansione nativa delle immagini dei container Amazon ECR (scansione ECR di base) | |
---|---|---|
Motore di scansione |
Amazon Inspector è un servizio di gestione delle vulnerabilità sviluppato da AWS con supporto integrato per le immagini dei container che risiedono in Amazon ECR |
Amazon ECR offre una soluzione di scansione di base nativa di AWS gestita |
Copertura dei pacchetti |
Identifica le vulnerabilità sia nei pacchetti del sistema operativo (OS) che nei pacchetti del linguaggio di programmazione (come Python, Java e Ruby) |
Identifica le vulnerabilità dei software solo nei pacchetti OS |
Frequenza di scansione |
Offre sia la scansione continua che la scansione push |
Offre solo la scansione push |
Informazioni sulle vulnerabilità | Fornisce informazioni avanzate sulle vulnerabilità, ad esempio se un exploit è disponibile per un CVE, linee guida per la correzione della versione del pacchetto, punteggi EPSS e kit di malware utilizzati per sfruttare un CVE | Fornisce solo informazioni di base sulla vulnerabilità del software |
Risultati |
I risultati sono disponibili nelle console Amazon Inspector e Amazon ECR, nonché nelle API e nei Software Development Kit (SDK) di Amazon Inspector e Amazon ECR |
I risultati sono disponibili nella console Amazon ECR e nelle API e SDK di Amazon ECR |
Punteggio di vulnerabilità |
Fornisce un Inspector score contestuale e punteggi del Common Vulnerability Scoring System (CVSS) v2 e v3 sia dal National Vulnerability Database (NVD) che dai fornitori |
Solo punteggi CVSS v3 e v2 |
Integrazioni di servizi AWS |
Integrato con AWS Security Hub, AWS Organizations e AWS EventBridge |
Non sono disponibili integrazioni integrate con altri servizi AWS |
Quanto costa Amazon Inspector?
Consulta la pagina dei prezzi di Amazon Inspector per visualizzare tutti i dettagli di prezzo.
È possibile richiedere una prova gratuita di Amazon Inspector?
Tutti i nuovi account di Amazon Inspector possono beneficiare di una prova gratuita di 15 giorni per valutare il servizio e stimarne il costo. Durante il periodo di prova, tutte le istanze Amazon EC2, le funzioni AWS Lambda e le immagini di container idonee inviate ad Amazon ECR vengono continuamente scansionate gratuitamente. È possibile anche rivedere la spesa stimata nella console di Amazon Inspector.
In quali regioni è disponibile Amazon Inspector?
Amazon Inspector è disponibile a livello globale. La disponibilità specifica per regione è indicata qui.
Nozioni di base
Come inizio?
Puoi attivare Amazon Inspector per l'intera organizzazione o per un singolo account con poche operazioni nella Console di gestione AWS. Una volta attivato, Amazon Inspector rileva automaticamente le istanze Amazon EC2 in esecuzione, le funzioni Lambda e i repository Amazon ECR e avvia immediatamente la scansione continua dei carichi di lavoro alla ricerca di vulnerabilità del software ed esposizione involontaria della rete. Se non conosci Amazon Inspector, è disponibile una prova gratuita di 15 giorni.
Cosa sono gli esiti di Amazon Inspector?
Un risultato di Amazon Inspector è una potenziale vulnerabilità della sicurezza. Ad esempio, quando Amazon Inspector rileva vulnerabilità del software o apre percorsi di rete alle risorse di elaborazione, crea risultati di sicurezza.
Posso gestire Amazon Inspector utilizzando la mia struttura AWS Organizations?
Sì. Amazon Inspector è integrato con AWS Organizations. Puoi assegnare un account AD per Amazon Inspector, che funge da account amministratore principale per Amazon Inspector ed è in grado di gestirlo e configurarlo centralmente. L'account DA può visualizzare e gestire centralmente i risultati per tutti gli account che fanno parte della tua organizzazione AWS.
Come posso delegare un amministratore per il servizio Amazon Inspector?
L'account AWS Organizations Management può assegnare un account DA per Amazon Inspector nella console di Amazon Inspector o utilizzando le API di Amazon Inspector.
Devo abilitare tipi di scansione specifici (ovvero, scansione Amazon EC2, scansione di funzioni Lambda o scansione di immagini del container Amazon ECR)?
Se avvii Amazon Inspector per la prima volta, tutti i tipi di scansione, ovvero la scansione EC2, la scansione Lambda e la scansione di immagini del container ECR, sono abilitati per impostazione predefinita. Puoi tuttavia disattivare una singola scansione, o più di una, per tutti gli account dell'organizzazione. Gli utenti esistenti possono attivare le nuove funzionalità nella console di Amazon Inspector o utilizzando le API di Amazon Inspector.
Ho bisogno di un agente per utilizzare Amazon Inspector?
No, non è necessario un agente per la scansione. Per la scansione delle vulnerabilità delle istanze Amazon EC2, puoi utilizzare Agente AWS Systems Manager (Agente SSM) per una soluzione basata su agenti. Amazon Inspector offre anche la scansione agentless (anteprima) se l'agente SSM non è distribuito o configurato. Non sono necessari agenti per la valutazione della raggiungibilità della rete delle istanze Amazon EC2, la scansione delle vulnerabilità delle immagini dei container o la scansione delle vulnerabilità delle funzioni Lambda.
Come posso installare e configurare l'agente Amazon Systems Manager?
Per eseguire correttamente la scansione delle istanze Amazon EC2 alla ricerca di vulnerabilità software, Amazon Inspector richiede che queste istanze siano gestite da AWS Systems Manager e dall'agente SSM. Consulta i prerequisiti di Systems Manager nella Guida per l'utente di AWS Systems Manager per istruzioni su come attivare e configurare Systems Manager. Per informazioni sulle istanze gestite, consulta la sezione Istanze gestite nella Guida per l'utente di AWS Systems Manager.
Come faccio a sapere quali repository Amazon ECR sono configurati per la scansione? E come posso gestire i repository da configurare per la scansione?
Amazon Inspector supporta la configurazione delle regole di inclusione per selezionare quali repository ECR vengono scansionati. Le regole di inclusione possono essere create e gestite nella pagina delle impostazioni del registro all'interno della console ECR o utilizzando le API di ECR. I repository ECR che corrispondono alle regole di inclusione sono configurati per la scansione. Lo stato di scansione dettagliato dei repository è disponibile nelle console ECR e Amazon Inspector.
Lavorare con Amazon Inspector
Come faccio a sapere se le mie risorse vengono scansionate attivamente?
Il pannello Environmental Coverage (Copertura ambientale) nel dashboard di Amazon Inspector mostra i parametri per account, istanze Amazon EC2, funzioni Lambda e repository ECR sottoposti a scansione attiva da parte di Amazon Inspector. Ogni istanza e immagine ha uno stato di scansione: Scansione in corso o Non in scansione. Scansione in corso significa che la risorsa viene continuamente scansionata quasi in tempo reale. Uno stato di Non in scansione potrebbe significare che la scansione iniziale non è stata ancora eseguita, il sistema operativo non è supportato o qualcos'altro sta impedendo la scansione.
Con quale frequenza vengono eseguite le scansioni automatiche?
Tutte le scansioni vengono eseguite automaticamente in base agli eventi. Tutti i carichi di lavoro vengono inizialmente scansionati al momento del rilevamento e successivamente scansionati di nuovo.
- Per le istanze Amazon EC2: per le scansioni basate sull'agente SSM, le nuove scansioni vengono avviate quando un nuovo pacchetto software viene installato o disinstallato su un'istanza, quando viene pubblicato un nuovo CVE e dopo l'aggiornamento di un pacchetto vulnerabile (per confermare che non ci siano ulteriori vulnerabilità). Per le scansioni senza agente, vengono eseguite ogni 24 ore.
- Per le immagini dei container Amazon ECR: le nuove scansioni automatiche vengono avviate per le immagini dei container idonee quando viene pubblicato un nuovo CVE che interessa un'immagine. Le scansioni automatiche delle immagini dei container si basano sulle durate di nuova scansione configurate sia per la data di invio che per la data di estrazione dell'immagine nella console o nelle API di Amazon Inspector. Se la data di invio di un'immagine è inferiore alla «Durata di nuova scansione della data di invio» configurata e l'immagine è stata estratta entro la «Durata di nuova scansione della data di estrazione» configurata, l'immagine del container continuerà a essere monitorata e le nuove scansioni automatiche vengono avviate quando viene pubblicato un nuovo CVE che influisce su un'immagine. Le configurazioni disponibili della durata di nuova scansione per la data di invio dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni o 180 giorni.
- Per le funzioni Lambda: tutte le nuove funzioni Lambda vengono valutate inizialmente al momento dell'individuazione. In caso di aggiornamento della funzione Lambda o di pubblicazione di un nuovo CVE, le funzioni vengono valutate nuovamente in modo continuo.
Per quanto tempo le immagini dei container vengono continuamente scansionate con Amazon Inspector?
Le immagini dei container che risiedono nei repository Amazon ECR configurate per la scansione continua vengono scansionate per la durata configurata nella console Amazon Inspector o nelle API. Le configurazioni della durata di nuova scansione disponibili per la data di invio dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni o 180 giorni.
- Quando la scansione ECR di Amazon Inspector è attivata, Amazon Inspector raccoglie solo le immagini inviate o estratte negli ultimi 30 giorni per la scansione, ma le scansiona continuamente per la durata di nuova scansione configurata per la data di invio e di estrazione, ossia per 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Se la data di invio di un'immagine è inferiore alla «Durata di nuova scansione della data di invio» configurata E l'immagine è stata estratta entro la «Durata di nuova scansione della data di estrazione» configurata, l'immagine del container continuerà a essere monitorata e le nuove scansioni automatiche vengono avviate quando viene pubblicato un nuovo CVE che influisce su un'immagine. Ad esempio, quando si attiva la scansione ECR di Amazon Inspector, raccoglierà le immagini inviate o estratte negli ultimi 30 giorni per la scansione. Tuttavia, dopo l'attivazione, se selezioni la durata della nuova scansione per le configurazioni sia della data di invio che della data di estrazione di 180 giorni, Amazon Inspector continuerà a scansionare le immagini se sono state inviate negli ultimi 180 giorni o sono state estratte almeno una volta negli ultimi 180 giorni. Se un'immagine non è stata inviata o estratta negli ultimi 180 giorni, Amazon Inspector interromperà il monitoraggio.
- Tutte le immagini inviate all'ECR dopo l'attivazione della scansione ECR di Amazon Inspector vengono scansionate continuamente per la durata configurata in «Durata di nuova scansione della data di invio» e «Durata di nuova scansione della data di estrazione». Le configurazioni della durata di nuova scansione disponibili per la data di invio dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni, 180 giorni o a vita. Le configurazioni della durata di nuova scansione per la data di estrazione dell'immagine sono 90 giorni (per impostazione predefinita), 14 giorni, 30 giorni, 60 giorni o 180 giorni. La durata della nuova scansione automatica viene calcolata in base alla data dell'ultimo invio o estrazione di un'immagine del container. Ad esempio, dopo aver attivato la scansione ECR di Amazon Inspector, se selezioni la durata della nuova scansione per le configurazioni sia della data di invio che della data di estrazione di 180 giorni, Amazon Inspector continuerà a scansionare le immagini se sono state inviate negli ultimi 180 giorni o sono state estratte almeno una volta negli ultimi 180 giorni. Tuttavia, se un'immagine non è stata inviata o estratta negli ultimi 180 giorni, Amazon Inspector smetterà di monitorarla.
- Se l'immagine è nello stato "idoneità alla scansione scaduta", puoi estrarla per rieseguire il monitoraggio di Amazon Inspector. L'immagine verrà scansionata continuamente per le durate delle date di invio e di estrazione della nuova scansione configurata a partire dall'ultima data di estrazione.
Posso escludere le mie risorse dalla scansione?
- Per le istanze Amazon EC2: sì, un'istanza EC2 può essere esclusa dalla scansione aggiungendo un tag di risorsa. È possibile utilizzare la chiave 'InspectorEC2Exclusion' e il valore è <optional>.
- Per le immagini di container che risiedono in Amazon ECR: sì. Sebbene sia possibile selezionare quali archivi Amazon ECR sono configurati per la scansione, verranno scansionate tutte le immagini all'interno di un repository. Puoi creare regole di inclusione per selezionare quali repository devono essere scansionati.
- Per le funzioni Lambda: Sì, una funzione Lambda può essere esclusa dalla scansione aggiungendo un tag di risorse. Per la scansione standard, utilizzare la chiave 'InspectorExclusion' e il valore 'LambdaStandardScanning'. Per la scansione del codice, usa la chiave 'InspectorCodeExclusion' e il valore 'LambdaCodeScanning'.
Come posso utilizzare Amazon Inspector per valutare le vulnerabilità di sicurezza delle funzioni Lambda?
In caso di struttura multi-account, puoi abilitare le valutazioni delle vulnerabilità di Amazon Inspector per tutti gli account all'interno di AWS Organizations dalla console di Amazon Inspector o dalle API tramite l'account di amministratore delegato (AD). Nel caso in cui il team di sicurezza centrale non abbia già provveduto, gli altri account membri possono attivare autonomamente Amazon Inspector sul proprio account. Gli account che non fanno parte di AWS Organizations possono attivare Amazon Inspector per il proprio account individuale tramite la console di Amazon Inspector o le API.
La funzione Lambda presenta molteplici versioni. Qual è la versione valutata da Amazon Inspector?
Amazon Inspector esegue il monitoraggio e la valutazione continua solo della versione $LATEST. Le nuove scansioni automatiche verranno effettuate solo per la versione più recente, generando i relativi risultati. All'interno della console, puoi selezionare una determinata versione dal menu a discesa per visualizzarne i risultati.
Posso attivare la scansione del codice Lambda senza attivare la scansione standard Lambda?
No. Sono disponibili due opzioni: attivare la sola scansione Lambda standard o abilitare insieme la scansione Lambda standard e la scansione dei codici. La scansione standard Lambda fornisce una protezione di sicurezza fondamentale contro le dipendenze vulnerabili utilizzate nell'applicazione distribuita come funzioni Lambda e livelli di associazione. La scansione del codice Lambda fornisce un valore di sicurezza aggiuntivo scansionando il codice dell'applicazione proprietaria personalizzata all'interno di una funzione Lambda per rilevare vulnerabilità di sicurezza del codice come difetti di iniezione, fughe di dati, crittografia debole o segreti incorporati.
In che modo la modifica della frequenza di raccolta dell'inventario SSM dai 30 minuti di default a 12 ore influisce sulla scansione continua da parte di Amazon Inspector?
La modifica della frequenza di raccolta dell'inventario SSM di default può avere un impatto sulla natura continua della scansione. Amazon Inspector si affida all'agente SSM per raccogliere l'inventario delle applicazioni al fine di generare risultati. Se la durata dell'inventario dell'applicazione viene aumentata rispetto al valore predefinito di 30 minuti, ciò ritarderà il rilevamento delle modifiche all'inventario dell'applicazione e i nuovi risultati potrebbero essere a loro volta ritardati.
Cos'è il punteggio di rischio di Amazon Inspector?
L’Amazon Inspector risk score è un punteggio altamente contestualizzato che viene generato per ogni risultato correlando le informazioni sulle vulnerabilità e le esposizioni comuni (CVE) con i risultati di raggiungibilità della rete, i dati di sfruttabilità e le tendenze dei social media. In questo modo è più facile dare la priorità ai risultati e concentrarsi sui risultati più critici e sulle risorse vulnerabili. È possibile vedere come è stato calcolato un Inspector risk score e quali fattori hanno influenzato il punteggio nella scheda Punteggio Inspector nel pannello laterale Dettagli Risultati.
Ad esempio: sull'istanza Amazon EC2 è stato identificato un nuovo CVE, che può essere sfruttato solo in remoto. Se le scansioni costanti sulla raggiungibilità della rete da parte di Amazon Inspector rilevano anche che l'istanza non è raggiungibile da Internet, sa che è meno probabile che la vulnerabilità venga sfruttata. Pertanto, Amazon Inspector correla i risultati della scansione con il CVE per regolare il punteggio di rischio verso il basso, riflettendo in modo più accurato l'impatto del CVE su quella particolare istanza.
Come si determina la gravità di un risultato?
Punteggio di Amazon Inspector | Gravità |
---|---|
0 | Informativo |
0,2–3,9 | Basse |
4,0–6,9 | Medium |
7,0–8,9 | Alto |
9,0–10,0 | Critiche |
Come funzionano le regole di soppressione?
Amazon Inspector consente di sopprimere i risultati in base ai criteri personalizzati che definisci. Puoi creare regole di soppressione per i risultati considerati accettabili dall'organizzazione.
Come posso esportare i miei esiti e cosa includono?
Puoi generare report in più formati (CSV o JSON) con poche operazioni nella console di Amazon Inspector o tramite le API di Amazon Inspector. Puoi scaricare un rapporto completo con tutti i risultati oppure generare e scaricare un rapporto personalizzato basato sui filtri di visualizzazione impostati nella console.
Posso attivare la scansione del codice Lambda senza attivare la scansione standard Lambda?
No. Sono disponibili due opzioni: attivare la sola scansione Lambda standard o abilitare insieme la scansione Lambda standard e la scansione dei codici. La scansione standard Lambda fornisce una protezione di sicurezza fondamentale contro le dipendenze vulnerabili utilizzate nell'applicazione distribuita come funzioni Lambda e livelli di associazione. La scansione del codice Lambda fornisce un valore di sicurezza aggiuntivo scansionando il codice dell'applicazione proprietaria personalizzata all'interno di una funzione Lambda per rilevare vulnerabilità di sicurezza del codice come difetti di iniezione, fughe di dati, crittografia debole o segreti incorporati.
Come posso esportare SBOM per le mie risorse e cosa includono?
Puoi generare ed esportare SBOM per tutte le risorse monitorate con Amazon Inspector, in più formati (CycloneDX o SPDX), con pochi passaggi nella console Amazon Inspector o tramite le API di Amazon Inspector. Puoi scaricare un rapporto completo con SBOM per tutte le risorse o generare e scaricare selettivamente gli SBOM per alcune risorse selezionate in base ai filtri di visualizzazione impostati.
Come posso abilitare la scansione agentless per il mio account?
Per i clienti Amazon Inspector esistenti che utilizzano un solo account, puoi abilitare la scansione agentless (anteprima) visitando la pagina di gestione dell'account all'interno della console Amazon Inspector o utilizzando le API.
Per i clienti Amazon Inspector esistenti che utilizzano AWS Organizations, il tuo amministratore delegato deve migrare completamente l'intera organizzazione verso una soluzione senza agenti o continuare a utilizzare esclusivamente la soluzione basata su agenti SSM. È possibile modificare la configurazione della modalità di scansione dalla pagina delle impostazioni EC2 nella console o tramite le API.
Per i nuovi clienti di Amazon Inspector, durante il periodo di anteprima della scansione agentless, le istanze vengono scansionate in modalità di scansione basata su agente quando abiliti la scansione EC2. È possibile passare alla modalità di scansione ibrida, se necessario. Nella modalità di scansione ibrida, Amazon Inspector si affida agli agenti SSM per la raccolta dell'inventario delle applicazioni per eseguire valutazioni delle vulnerabilità e ricorre automaticamente alla scansione agentless per le istanze in cui non sono installati o configurati agenti SSM.
Qual è la frequenza delle scansioni agentless?
Amazon Inspector attiverà automaticamente una scansione ogni 24 ore per le istanze contrassegnate per la scansione agentless (anteprima). Non verrà apportata alcuna modifica al comportamento di scansione continua per le istanze contrassegnate per le scansioni basate su agenti SSM.
Dove posso vedere quali istanze vengono scansionate utilizzando agenti e agentless quando utilizzo la modalità di scansione ibrida per la scansione EC2?
Puoi visualizzare la modalità di scansione nella colonna "Monitorato utilizzando" semplicemente visitando le pagine di copertura delle risorse nella console Amazon Inspector o utilizzando le API di copertura di Amazon Inspector.
È possibile che gli account membri in una configurazione con più account modifichino la modalità di scansione per la scansione EC2 per i rispettivi account?
No, in una configurazione con più account, solo gli amministratori delegati possono configurare la configurazione della modalità di scansione per l'intera organizzazione.
Come posso integrare Amazon Inspector nei miei strumenti CI/CD per la scansione delle immagini dei container?
I team di applicazioni e piattaforme possono integrare Amazon Inspector nelle loro pipeline di compilazione utilizzando plug-in Amazon Inspector appositamente progettati per vari strumenti CI/CD, come Jenkins e TeamCity. Questi plug-in sono disponibili nel marketplace di ogni rispettivo strumento CI/CD. Una volta installato il plug-in, puoi aggiungere un passaggio nella pipeline per eseguire una valutazione dell'immagine del container e intraprendere azioni, come bloccare la pipeline in base ai risultati della valutazione. Quando nella valutazione vengono identificate delle vulnerabilità, vengono generati risultati di sicurezza utilizzabili. Questi risultati includono dettagli sulle vulnerabilità, suggerimenti per la correzione e dettagli sulla sfruttabilità. Vengono restituiti allo strumento CI/CD nei formati JSON e CSV, che possono quindi essere tradotti in un pannello di controllo leggibile dall'uomo dal plug-in Amazon Inspector o possono essere scaricati dai team.
Devo abilitare Amazon Inspector per utilizzare l'integrazione CI/CD di Amazon Inspector per la scansione delle immagini dei container?
No, non è necessario abilitare Amazon Inspector per utilizzare questa funzionalità purché si disponga di un account AWS attivo.
Posso eseguire la scansione delle mie istanze Amazon EC2 private configurando Amazon Inspector come endpoint VPC?
Sì. Amazon Inspector utilizza l'agente SSM per raccogliere l'inventario delle applicazioni. Tale agente può essere configurato come endpoint del cloud privato virtuale (VPC) di Amazon per evitare di inviare informazioni su Internet.
Quali sistemi operativi supporta Amazon Inspector?
È possibile trovare l'elenco dei sistemi operativi (SO) supportati qui.
Quali pacchetti di linguaggi di programmazione sono supportati da Amazon Inspector per la scansione delle immagini dei container?
Puoi trovare l'elenco dei pacchetti di linguaggi di programmazione supportati qui.
Amazon Inspector funzionerà con le istanze che utilizzano Network Address Translation (NAT)?
Sì. Le istanze che utilizzano NAT sono supportate automaticamente da Amazon Inspector.
Nelle istanze è in uso un proxy. Amazon Inspector funziona anche in questo tipo di istanze?
Sì. Per ulteriori informazioni, consultare la sezione come configurare Agente SSM per l'utilizzo di un proxy.
È possibile integrare Amazon Inspector con altri servizi AWS per accesso e notifiche?
Amazon Inspector si integra con Amazon EventBridge per fornire notifiche per eventi come un nuovo risultato, il cambio di stato di un risultato o la creazione di una regola di soppressione. Amazon Inspector si integra anche con AWS CloudTrail per la registrazione delle chiamate.
Amazon Inspector effettua scansioni dei “benchmark di configurazione della sicurezza del sistema operativo CIS”?
Sì. Puoi eseguire Amazon Inspector per effettuare valutazioni mirate e on-demand confrontandole ai benchmark di configurazione CIS a livello di sistema operativo per le istanze Amazon EC2 in tutta la tua organizzazione AWS.
Amazon Inspector opera con altre soluzioni di partner AWS?
Sì. Per ulteriori informazioni, consulta la sezione Partner di Amazon Inspector.
Posso disattivare Amazon Inspector?
Sì. Puoi disattivare tutti i tipi di scansione (scansione Amazon EC2, scansione di immagini del container Amazon ECR e scansione di funzioni Lambda) disabilitando il servizio Amazon Inspector oppure puoi disattivare ciascun tipo di scansione singolarmente per un account.
Posso sospendere Amazon Inspector?
No, Amazon Inspector non supporta uno stato sospeso.