As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de descoberta do Amazon Inspector
Esta seção descreve os diferentes tipos de descoberta no Amazon Inspector.
Vulnerabilidade do pacote
As descobertas de vulnerabilidade de pacotes identificam pacotes de software em seu ambiente da AWS que estão expostos as CVEs (vulnerabilidades e exposições comuns). Os invasores podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. O sistema de CVE é um método de referência a informações conhecidas publicamente sobre vulnerabilidades e exposições de segurança. Para obter mais informações, consulte https://www.cve.org/
O Amazon Inspector pode gerar descobertas de vulnerabilidade de pacotes para instâncias EC2, imagens de contêineres ECR e funções do Lambda. As descobertas de vulnerabilidade do pacote têm detalhes adicionais exclusivos para esse tipo de descoberta, como a Pontuação do inspetor e inteligência de vulnerabilidade.
Vulnerabilidade de código
As descobertas da vulnerabilidade do código ajudam a identificar linhas de código que podem ser exploradas. As vulnerabilidades do código incluem criptografia ausente, vazamentos de dados, falhas de injeção e criptografia fraca. O Amazon Inspector gera descobertas de vulnerabilidade de código por meio da verificação da função do Lambda e seu recurso de Segurança de Código.
O Amazon Inspector avalia o código da aplicação de função do Lambda usando raciocínio automatizado e machine learning a fim de verificar a conformidade geral de segurança. Ele identifica violações de políticas e vulnerabilidades com base em detectores internos desenvolvidos em colaboração com o Amazon Q. Consulte uma lista de detecções possíveis na Biblioteca de Detectores do Amazon Q.
A verificação de código captura trechos de código para destacar as vulnerabilidades detectadas. Por exemplo, um trecho de código pode mostrar credenciais com codificação rígida ou outros materiais sensíveis em texto simples. O Amazon Q armazena trechos de código associados a vulnerabilidades de código. Por padrão, seu código é criptografado com uma chave pertencente à AWS. No entanto, é possível criar uma chave gerenciada pelo cliente para criptografar o código caso queira ter mais controle sobre essas informações. Para obter mais informações, consulte Criptografia em repouso para código em suas descobertas.
nota
O administrador delegado de uma organização não pode visualizar trechos de código que pertencem a contas de membros.
Acessibilidade de rede
As descobertas de acessibilidade da rede indicam que há caminhos de rede abertos para instâncias do Amazon EC2 em seu ambiente. Essas descobertas aparecem quando as portas TCP e UDP são acessíveis a partir das bordas da VPC, como um gateway de internet (inclusive instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento da VPC ou uma VPN por meio de um gateway virtual. Essas descobertas destacam configurações de rede que podem ser excessivamente permissivas, como grupos de segurança mal gerenciados, listas de controle de acesso ou gateways de internet, ou que podem permitir acesso potencialmente mal intencionados.
O Amazon Inspector gera somente descobertas de acessibilidade de rede para instâncias do Amazon EC2. O Amazon Inspector realiza verificações de descobertas de acessibilidade de rede a cada 12 horas após o Amazon Inspector ser habilitado.
O Amazon Inspector avalia as seguintes configurações ao verificar caminhos de rede:
