Escaneo de EC2 instancias de Amazon con Amazon Inspector - Amazon Inspector
Análisis basado en agentesAnálisis sin agenteCómo administrar el modo de análisisExclusión de instancias de los análisis de Amazon InspectorSistemas operativos compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escaneo de EC2 instancias de Amazon con Amazon Inspector

Amazon Inspector El EC2 escaneo de Amazon extrae los metadatos de la EC2 instancia antes de compararlos con las reglas recopiladas en los avisos de seguridad. Amazon Inspector analiza las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad de red para producir resultados. Amazon Inspector realiza escaneos de accesibilidad de la red una vez cada 12 horas y paquetes escaneos de vulnerabilidades con una cadencia variable que depende del método de escaneo asociado a la instancia. EC2

Los análisis de vulnerabilidades de paquetes se pueden realizar mediante un método de análisis basado en agente o sin agente. Estos dos métodos de análisis determinan cómo y cuándo Amazon Inspector recopila el inventario de software de una EC2 instancia para escanear las vulnerabilidades de los paquetes. El análisis basado en agentes recopila el inventario de software mediante el agente de SSM y el análisis sin agente recopila el inventario de software mediante instantáneas de Amazon EBS.

Amazon Inspector utiliza los métodos de análisis que active para la cuenta. Cuando activa Amazon Inspector por primera vez, la cuenta se inscribe automáticamente en el análisis híbrido, que usa ambos métodos de análisis. Sin embargo, puede cambiar esta configuración en cualquier momento. Para obtener información sobre cómo activar un tipo de análisis, consulte Activación de un tipo de análisis. En esta sección se proporciona información sobre el EC2 escaneo de Amazon.

nota

El EC2 escaneo de Amazon no escanea los directorios del sistema de archivos relacionados con el entorno virtual, incluso si se aprovisionan mediante una inspección profunda. Por ejemplo, la ruta no /var/lib/docker/ se escanea porque suele usarse para medir los tiempos de ejecución de los contenedores.

Análisis basado en agentes

Los análisis basados en agentes se realizan de forma continua con el agente de SSM en todas las instancias aptas. Para los análisis basados en agentes, Amazon Inspector utiliza asociaciones de SSM y complementos instalados a través de estas asociaciones para recopilar el inventario de software de sus instancias. Además de los análisis de vulnerabilidades de paquetes para paquetes de sistemas operativos, el análisis basado en agentes de Amazon Inspector también puede detectar vulnerabilidades de paquetes de lenguajes de programación de aplicaciones en instancias basadas en Linux mediante Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2 .

El siguiente proceso explica cómo Amazon Inspector utiliza SSM para recopilar el inventario y realizar análisis basados en agentes:

  1. Amazon Inspector crea asociaciones de SSM en su cuenta para recopilar el inventario de sus instancias. Para algunos tipos de instancias (Windows y Linux), estas asociaciones instalan complementos en instancias individuales para recopilar el inventario.

  2. Con SSM, Amazon Inspector extrae el inventario de paquetes de una instancia.

  3. Amazon Inspector evalúa el inventario extraído y genera resultados con las vulnerabilidades detectadas.

nota

Para el escaneo basado en agentes, SSM debe administrar la EC2 instancia de Amazon en la misma instancia. Cuenta de AWS

Instancias aptas

Amazon Inspector utilizará el método basado en agentes para analizar una instancia si cumple las condiciones siguientes:

  • La instancia tiene un sistema operativo compatible. Para obtener una lista de los sistemas operativos compatibles, consulte la columna Compatibilidad con el análisis basado en agentes de Sistemas operativos compatibles: Amazon EC2 scan.

  • Las etiquetas de EC2 exclusión de Amazon Inspector no excluyen la instancia de los escaneos.

  • La instancia está administrada por SSM. Para obtener instrucciones sobre cómo verificar y configurar el agente, consulte Configuración del agente de SSM.

Comportamientos de análisis basados en agentes

Cuando se utiliza el método de análisis basado en agentes, Amazon Inspector inicia nuevos escaneos de vulnerabilidad de las EC2 instancias en las siguientes situaciones:

  • Cuando lanzas una nueva instancia. EC2

  • Cuando instalas un software nuevo en una EC2 instancia existente (Linux y Mac).

  • Cuando Amazon Inspector agrega un nuevo elemento de vulnerabilidades y exposiciones comunes (CVE) a su base de datos y ese CVE es relevante para su EC2 instancia (Linux y Mac).

Amazon Inspector actualiza el campo Último escaneado de una EC2 instancia cuando se completa un escaneo inicial. Después, el campo Último análisis se actualiza cuando Amazon Inspector evalúa el inventario de SSM (de forma predeterminada, cada 30 minutos) o cuando se vuelve a analizar una instancia porque se ha añadido a la base de datos de Amazon Inspector una nueva CVE que afecta a esa instancia.

Puede comprobar cuándo se escaneó EC2 por última vez una instancia en busca de vulnerabilidades desde la pestaña Instancias de la página de administración de cuentas o mediante el ListCoveragecomando.

Configuración del agente de SSM

Para que Amazon Inspector detecte las vulnerabilidades de software de una EC2 instancia de Amazon mediante el método de escaneo basado en agentes, la instancia debe ser una instancia gestionada en Amazon EC2 Systems Manager (SSM). Cuando una instancia está administrada en SSM, esto significa que tiene el agente de SSM instalado y en ejecución y que SSM tiene permiso para administrar la instancia. Si ya utiliza SSM para administrar instancias, no hará falta hacer nada más para los análisis basados en agentes.

El agente SSM se instala de forma predeterminada en EC2 las instancias creadas a partir de algunas Amazon Machine Images (AMIs). Para obtener más información, consulte Acerca del agente de SSM en la Guía del usuario de AWS Systems Manager . Sin embargo, aunque el agente de SSM esté instalado, es posible que deba activarlo manualmente y conceder permisos a SSM para que administre la instancia.

El siguiente procedimiento describe cómo configurar una instancia de Amazon como EC2 instancia gestionada mediante un perfil de instancia de IAM. También se incluyen enlaces a información más detallada en la Guía del usuario de AWS Systems Manager .

AmazonSSMManagedInstanceCore es la política recomendada cuando se adjunta un perfil de instancia. Esta política incluye todos los permisos necesarios para EC2 escanear Amazon Inspector.

nota

También puede automatizar la administración de SSM de todas sus EC2 instancias, sin el uso de perfiles de instancia de IAM, mediante la configuración de administración de host predeterminada de SSM. Para obtener más información, consulte Configuración de administración de host predeterminada.

Para configurar SSM para una instancia de Amazon EC2

  1. Si el proveedor del sistema operativo no ha instalado el agente de SSM, instálelo. Para obtener más información, consulte Uso del agente de SSM.

  2. Úselo AWS CLI para comprobar que el agente SSM se está ejecutando. Para obtener más información, consulte Comprobación del estado del agente de SSM e inicio del agente.

  3. Conceda permisos a SSM para que administre la instancia. Para conceder permisos, cree un perfil de instancia de IAM y adjúntelo a la instancia. Se recomienda utilizar la política AmazonSSMManagedInstanceCore, ya que esta política incluye los permisos de distribuidor, inventario y administrador del estado de SSM, los cuales Amazon Inspector necesita para llevar a cabo análisis. Para obtener instrucciones sobre cómo crear un perfil de instancia con estos permisos y adjuntarlo a una instancia, consulte Configuración de permisos de instancia para Systems Manager.

  4. (Opcional) Active las actualizaciones automáticas para el agente de SSM. Para obtener más información, consulte Automatización de actualizaciones para el agente de SSM.

  5. (Opcional) Configure Systems Manager para que utilice un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC). Para obtener más información, consulte Creación de puntos de conexión de Amazon VPC.

importante

Amazon Inspector requiere una asociación como administrador del estado de Systems Manager en la cuenta para recopilar datos del inventario de aplicaciones de software. Amazon Inspector crea automáticamente una asociación denominada InspectorInventoryCollection-do-not-delete si no existe ninguna.

Amazon Inspector también requiere una sincronización de los datos de los recursos y crea automáticamente una denominada InspectorResourceDataSync-do-not-delete si no existe ninguna. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory en la Guía del usuario de AWS Systems Manager . Cada cuenta puede tener un número definido de sincronizaciones de datos de recursos por región. Para obtener más información, consulte Número máximo de sincronizaciones de datos de recursos ( Cuenta de AWS por región) en los puntos finales y las cuotas de SSM.

Recursos de SSM creados para los análisis

Amazon Inspector necesita varios recursos de SSM en su cuenta para ejecutar los EC2 escaneos de Amazon. Los siguientes recursos se crean al activar por primera vez el EC2 escaneo de Amazon Inspector:

nota

Si alguno de estos recursos de SSM se elimina mientras Amazon Inspector está activado el EC2 escaneo de Amazon en su cuenta, Amazon Inspector intentará volver a crearlo en el siguiente intervalo de escaneo.

InspectorInventoryCollection-do-not-delete

Se trata de una asociación de Systems Manager State Manager (SSM) que Amazon Inspector utiliza para recopilar el inventario de aplicaciones de software de sus EC2 instancias de Amazon. Si la cuenta ya tiene una asociación de SSM para recopilar datos de inventario de InstanceIds*, Amazon Inspector la utilizará en vez de crear otra.

InspectorResourceDataSync-do-not-delete

Se trata de una sincronización de datos de recursos que Amazon Inspector utiliza para enviar los datos de inventario recopilados de sus EC2 instancias de Amazon a un bucket de Amazon S3 propiedad de Amazon Inspector. Para obtener más información, consulte Configuración de la sincronización de datos de recursos para Inventory en la Guía del usuario de AWS Systems Manager .

InspectorDistributor-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para analizar instancias de Windows. Esta asociación instala el complemento de SSM de Amazon Inspector en las instancias de Windows. Si el archivo del complemento se elimina sin querer, esta asociación lo reinstala en el próximo intervalo de asociación.

InvokeInspectorSsmPlugin-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para analizar instancias de Windows. Esta asociación permite a Amazon Inspector iniciar análisis con el complemento. También puede utilizarla para establecer intervalos personalizados de análisis de instancias de Windows. Para obtener más información, consulte Configuración de programaciones personalizadas para análisis de instancias de Windows.

InspectorLinuxDistributor-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para la inspección profunda de Amazon EC2 Linux. Esta asociación instala el complemento de SSM de Amazon Inspector en las instancias de Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Se trata de una asociación de SSM que Amazon Inspector utiliza para la inspección profunda de Amazon EC2 Linux. Esta asociación permite a Amazon Inspector iniciar análisis con el complemento.

nota

Al desactivar el EC2 escaneo o la inspección profunda de Amazon Inspector, el recurso SSM deja de InvokeInspectorLinuxSsmPlugin-do-not-delete invocarse.

Análisis sin agente

Amazon Inspector utiliza un método de análisis sin agente en los casos elegibles cuando la cuenta está en el modo de análisis híbrido. El modo de escaneo híbrido incluye escaneos con y sin agentes y se activa automáticamente al activar el escaneo de Amazon. EC2

Para los análisis sin agente, Amazon Inspector utiliza instantáneas de EBS para recopilar un inventario de software de sus instancias. El análisis sin agente analiza las instancias para detectar vulnerabilidades de los paquetes del sistema operativo y del lenguaje de programación de las aplicaciones.

nota

Al analizar las instancias de Linux en busca de vulnerabilidades en los paquetes de lenguajes de programación de aplicaciones, el método sin agente analiza todas las rutas disponibles, mientras que la exploración basada en agentes solo analiza las rutas predeterminadas y las rutas adicionales que especifique como parte de Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2 . Esto puede provocar que la misma instancia arroje resultados diferentes en función de si se analiza con el método basado en agentes o sin agente.

El siguiente proceso explica cómo utiliza Amazon Inspector las instantáneas de EBS para recopilar el inventario y realizar análisis sin agente:

  1. Amazon Inspector crea una instantánea de EBS de todos los volúmenes asociados a la instancia. Mientras Amazon Inspector la usa, la instantánea se guarda en su cuenta y se etiqueta con InspectorScan como clave de etiqueta y con un identificador de análisis único como valor de etiqueta.

  2. Amazon Inspector recupera los datos de las instantáneas mediante EBS direct APIs y los evalúa para detectar vulnerabilidades. Se generan resultados con las vulnerabilidades detectadas.

  3. Amazon Inspector elimina las instantáneas de EBS que creó en su cuenta.

Instancias aptas

Amazon Inspector utilizará el método basado en agentes para analizar una instancia si cumple las condiciones siguientes:

  • La instancia tiene un sistema operativo compatible. Para obtener más información, consulte la columna >Soporte de análisis basado en agentes de Sistemas operativos compatibles: Amazon EC2 scan.

  • La instancia tiene el estado de Unmanaged EC2 instance, Stale inventory o No inventory.

  • La instancia está respaldada por Amazon EBS y tiene uno de los siguientes formatos de sistema de archivos:

    • ext3

    • ext4

    • xfs

  • La instancia no se excluye de los escaneos a través de las etiquetas de EC2 exclusión de Amazon.

  • El número de volúmenes adjuntos a la instancia es inferior a 8 y su tamaño combinado es inferior o igual a 1200 GB.

Comportamientos de análisis sin agente

Cuando su cuenta está configurada para el análisis híbrido, Amazon Inspector realiza análisis sin agente de las instancias aptas cada 24 horas. Amazon Inspector detecta y analiza las nuevas instancias aptas cada hora, lo que incluye instancias nuevas sin agentes de SSM o instancias preexistentes con estados que han cambiado a SSM_UNMANAGED.

Amazon Inspector actualiza el campo Último escaneado de una EC2 instancia de Amazon cada vez que escanea las instantáneas extraídas de una instancia tras un escaneo sin agente.

Puede comprobar cuándo se escaneó EC2 por última vez una instancia en busca de vulnerabilidades desde la pestaña Instancias de la página de administración de cuentas o mediante el comando. ListCoverage

Cómo administrar el modo de análisis

Su modo de EC2 escaneo determina qué métodos de escaneo utilizará Amazon Inspector al realizar EC2 escaneos en su cuenta. Puede ver el modo de escaneo de su cuenta en la página de configuración de EC2 escaneo, en la sección Configuración general. Las cuentas independientes o los administradores delegados de Amazon Inspector pueden cambiar el modo de análisis. Cuando se configura el modo de análisis como administrador delegado de Amazon Inspector, dicho modo se configura para las cuentas de todos los miembros de su organización. Amazon Inspector tiene los siguientes modos de análisis:

Análisis basado en agentes: en este modo, Amazon Inspector utilizará exclusivamente el método de análisis basado en agentes para buscar vulnerabilidades en los paquetes. Este modo solo analiza las instancias administradas por SSM en su cuenta, pero tiene la ventaja de ofrecer análisis continuos en respuesta a nuevas CVE o a cambios en las instancias. El análisis basado en agentes también ofrece inspección profunda de Amazon Inspector para las instancias aptas. Este es el modo de análisis predeterminado para las cuentas recién activadas.

Análisis híbrido: en este modo de análisis, Amazon Inspector utiliza una combinación de los dos métodos, el basado en agentes y el método sin agente, para buscar vulnerabilidades en los paquetes. Para EC2 las instancias aptas que tienen el agente SSM instalado y configurado, Amazon Inspector utiliza el método basado en agentes. En el caso de las instancias aptas que no estén gestionadas por SSM, Amazon Inspector utilizará el método sin agente para las instancias compatibles respaldadas por EBS.

Cambio del modo de análisis

  1. Inicie sesión con sus credenciales y, a continuación, abra la consola de Amazon Inspector en la https://console.aws.amazon.com/inspector/versión 2/home.

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, seleccione la región en la que desee cambiar el modo de escaneo. EC2

  3. En el panel de navegación lateral, en Configuración general, seleccione la configuración de EC2 digitalización.

  4. En Modo de análisis, seleccione Editar.

  5. Elija un modo de análisis y, a continuación, seleccione Guardar cambios.

Exclusión de instancias de los análisis de Amazon Inspector

Puede excluir instancias de Linux y Windows de los análisis de Amazon Inspector etiquetándolas con la clave InspectorEc2Exclusion. La inclusión de un valor de etiqueta es opcional. Para obtener información sobre cómo añadir etiquetas, consulta Cómo etiquetar tus EC2 recursos de Amazon.

Cuando etiqueta una instancia para excluirla de los análisis de Amazon Inspector, Amazon Inspector marca la instancia como excluida y no creará resultados para ella. Sin embargo, se seguirá invocando el complemento de SSM de Amazon Inspector. Para evitar que se invoque el complemento, debe permitir acceso a etiquetas en metadatos de instancia.

nota

No se le cobrará por las instancias excluidas.

Además, puede excluir un volumen de EBS cifrado de los escaneos sin agente etiquetando con la etiqueta la AWS KMS clave utilizada para cifrar ese volumen. InspectorEc2Exclusion Para obtener más información, consulte Claves de etiquetado.

Sistemas operativos compatibles

Amazon Inspector analiza las EC2 instancias compatibles de Mac, Windows y Linux en busca de vulnerabilidades en los paquetes del sistema operativo. En el caso de las instancias de Linux, Amazon Inspector puede generar resultados sobre paquetes de lenguajes de programación de la aplicación mediante la Inspección exhaustiva de Amazon Inspector para instancias de Amazon basadas en Linux EC2 . En el caso de las instancias de Mac y Windows, solo se analizan los paquetes de sistemas operativos.

Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede analizar sin un agente SSM, consulte Valores de estado de EC2 las instancias de Amazon.