Seguridad

Escaneo automatizado de vulnerabilidades con Amazon Inspector - Evaluación continua de seguridad para EC2, Lambda y ECR

Escanea automáticamente instancias EC2, imágenes de contenedores ECR y funciones Lambda en busca de vulnerabilidades y priorízalas con puntuaciones de riesgo basadas en CVE. Aprende a lograr escaneo sin agente mediante integración con Systems Manager.

約 4 分で読めます

Descripción general de Inspector

Amazon Inspector es un servicio de evaluación de seguridad que escanea automáticamente instancias EC2, imágenes de contenedores ECR y funciones Lambda en busca de vulnerabilidades. Inspector v2 fue significativamente rediseñado respecto a la versión original, proporcionando escaneo continuo y automático sin necesidad de configurar evaluaciones manualmente. Cuando se habilita, Inspector descubre automáticamente todos los recursos elegibles en tu cuenta y comienza a escanearlos. Los nuevos recursos se escanean automáticamente cuando se crean, y los re-escaneos ocurren cuando se publican nuevos CVEs o se actualizan los paquetes.

Objetivos de escaneo y métodos de detección

El escaneo de instancias EC2 se ejecuta a través del agente de Systems Manager (SSM). Las instancias con el agente SSM instalado se incluyen automáticamente como objetivos de escaneo, detectando vulnerabilidades de paquetes del SO (Amazon Linux, Ubuntu, Windows, etc.) y vulnerabilidades de paquetes de lenguajes de programación (Python, Java, Node.js, etc.). El escaneo de imágenes ECR analiza las capas de la imagen de contenedor para detectar vulnerabilidades de paquetes del SO y dependencias de aplicaciones. El escaneo de Lambda analiza el código de la función y las dependencias empaquetadas. El escaneo sin agente (basado en snapshots EBS) está disponible para instancias sin el agente SSM. Para una comprensión más profunda de Inspector, consulta libros relacionados en Amazon.

Gestión de hallazgos e integraciones

Las vulnerabilidades detectadas se muestran en el dashboard de la consola de Inspector, mostrando puntuaciones de riesgo, recursos afectados y guía de remediación. Las reglas de supresión permiten ocultar vulnerabilidades aceptadas o falsos positivos. La integración con Security Hub agrega hallazgos de Inspector con los de otros servicios de seguridad. Las reglas de EventBridge pueden activar notificaciones o acciones automatizadas cuando se detectan hallazgos de alta severidad. El SBOM (Software Bill of Materials) exporta un inventario completo de todos los paquetes de software detectados en tus recursos, útil para auditorías de cumplimiento.

Precios de Inspector

Los precios de Inspector varían según el tipo de recurso escaneado. El escaneo de instancias EC2 cuesta aproximadamente $1,2528 por instancia al mes. El escaneo inicial de imágenes de contenedores ECR cuesta aproximadamente $0,09 por imagen, y los re-escaneos cuestan aproximadamente $0,01 por imagen. El escaneo de funciones Lambda cuesta aproximadamente $0,30 por función al mes. Para optimizar costos, usa reglas de supresión para reducir el ruido y enfoca la remediación en hallazgos de alta severidad.

Resumen

Amazon Inspector es un servicio de evaluación de seguridad que detecta automáticamente vulnerabilidades en EC2, ECR y Lambda y las prioriza con puntuaciones de riesgo basadas en contexto. Soporta tanto integración con agente SSM como escaneo sin agente, proporcionando cobertura flexible. La integración con Security Hub y EventBridge permite respuesta automatizada a vulnerabilidades. Habilítalo en todas las cuentas a través de Organizations para cobertura de seguridad organizacional completa.

Servicios relacionados

Amazon InspectorServicio que escanea automáticamente instancias EC2, imágenes de contenedores y funciones Lambda en busca de vulnerabilidadesAmazon ECRUn registro completamente administrado para almacenar, gestionar y distribuir imágenes de contenedores Docker de forma seguraAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticas

Artículos relacionados

Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.Gestión de imágenes de contenedor con Amazon ECR - Políticas de ciclo de vida y escaneo de imágenesPresentamos patrones operativos para eliminar automáticamente imágenes antiguas con políticas de ciclo de vida en repositorios privados y detectar vulnerabilidades con escaneo de imágenes.Detección automática de datos confidenciales con Amazon Macie - Escaneo de PII en buckets S3 y protección de datosSe explica la detección automática de datos confidenciales (PII, información financiera, credenciales) en buckets S3 con Amazon Macie y las estrategias de protección de datos basadas en los resultados de detección.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Evaluación de vulnerabilidades y detección de amenazas - Monitoreo continuo de seguridad con Amazon Inspector y GuardDutyExplicamos el diseño y operación de la evaluación de vulnerabilidades y detección de amenazas utilizando Amazon Inspector y Amazon GuardDuty.Amazon InspectorServicio de evaluación de seguridad que escanea automática y continuamente vulnerabilidades en instancias EC2, funciones Lambda e imágenes de contenedorAmazon ECRServicio de registro de contenedores completamente administrado para almacenar, gestionar y distribuir imágenes de contenedores Docker de forma segura