As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Verificar as instâncias do Amazon EC2 com o Amazon Inspector
A verificação do Amazon EC2 do Amazon Inspector extrai metadados da instância do EC2 antes de comparar os metadados com as regras coletadas de recomendações de segurança. O Amazon Inspector verifica as instâncias em busca de vulnerabilidades em pacotes e problemas de acessibilidade de rede para gerar descobertas. O Amazon Inspector realiza varreduras de acessibilidade de rede uma vez a cada 12 horas e varreduras de vulnerabilidade de pacotes em uma cadência variável que depende do método de verificação associado à instância do EC2.
As verificações de vulnerabilidades de pacotes podem ser executadas usando um método de verificação baseado em agente ou sem agente. Ambos os métodos de verificação determinam como e quando o Amazon Inspector coleta o inventário de software de uma instância do EC2 para escanear a vulnerabilidade do pacote. Agent-based o escaneamento coleta o inventário de software de suas instâncias usando o agente Amazon EC2 Systems Manager (SSM), e o escaneamento sem agente coleta o inventário de software usando snapshots do Amazon EBS.
O Amazon Inspector usa os métodos de verificação que você habilita para sua conta. Ao ativar o Amazon Inspector pela primeira vez, sua conta é automaticamente inscrita na verificação híbrida, que utiliza ambos os tipos de verificação. No entanto, é possível alterar essa configuração a qualquer momento. Para ter informações sobre como ativar um tipo de verificação, consulte Activating a scan type. Esta seção fornece informações sobre a verificação do Amazon EC2.
Agent-based escaneamento
Digitalização EC2 aprimorada
O escaneamento EC2 aprimorado é executado usando o. Scanner de VM Amazon Inspector Esse scanner é instalado e atualizado usando associações SSM. Os clientes podem se inscrever acessando o console do Amazon Inspector e visitando a página Configurações > Configurações de digitalização. Escolha Iniciar atualização para iniciar a digitalização aprimorada do EC2.
-
O Amazon Inspector cria associações SSM na conta para coletar inventário de suas instâncias. Essas associações instalam plug-ins em instâncias individuais para coletar inventário.
-
Usando ferramentas de sistema como Systemd e Scheduled Tasks, o Inspector VM Scanner extrai o inventário de pacotes de uma instância e comunica essas informações ao Amazon Inspector.
-
O Amazon Inspector avalia o inventário extraído e gera descobertas para as vulnerabilidades detectadas.
Digitalização padrão
Agent-based as varreduras são realizadas continuamente usando o plug-in Amazon Inspector SSM em todas as instâncias elegíveis. Para verificações baseadas em agente, o Amazon Inspector usa associações SSM e plug-ins instalados por meio dessas associações para coletar inventário de software de suas instâncias. Além dos escaneamentos de vulnerabilidade de pacotes para pacotes do sistema operacional, o escaneamento baseado em agentes do Amazon Inspector também pode detectar vulnerabilidades de pacotes de linguagem de programação de aplicativos por meio da inspeção profunda do Amazon Inspector.
O processo a seguir explica como o Amazon Inspector usa o SSM para coletar inventário e realizar verificações baseadas em agente:
-
O Amazon Inspector cria associações SSM na conta para coletar inventário de suas instâncias. Essas associações instalam plug-ins em instâncias individuais para coletar inventário.
-
Usando o SSM, o Amazon Inspector extrai o inventário de pacotes de uma instância.
-
O Amazon Inspector avalia o inventário extraído e gera descobertas para as vulnerabilidades detectadas.
nota
Em uma verificação baseada em agente, a instância do Amazon EC2 deve ser gerenciada pelo SSM na mesma Conta da AWS.
Requisitos de endpoint do Amazon VPC para escaneamento aprimorado do EC2 em instâncias privadas do Amazon EC2
Você pode executar o Enhanced EC2 Scanning em instâncias do Amazon EC2 em uma rede Amazon. No entanto, se você quiser executar o Enhanced EC2 Scanning em instâncias privadas do Amazon EC2, você deve criar endpoints do Amazon VPC. Os seguintes endpoints são exigidos:
com.amazonaws.region.ec2messagescom.amazonaws.region.inspector2-telemetrycom.amazonaws.region.s3com.amazonaws.region.ssmcom.amazonaws.region.ssmmessages
Onde region está o código da região aplicável Região da AWS.
Para obter mais informações, consulte Melhorar a segurança das instâncias do Amazon EC2 usando endpoints do Amazon VPC para Systems Manager no Guia do usuário.AWS Systems Manager
nota
Atualmente, alguns Regiões da AWS não oferecem suporte ao com.amazonaws. endpoint. region.inspector2-telemetry
Instâncias qualificadas
O Amazon Inspector usará o método baseado em agente para verificar uma instância se ela atender às seguintes condições:
-
A instância tem um sistema operacional compatível. Para obter uma lista dos sistemas operacionais compatíveis, consulte a coluna de suporte de Agent-based escaneamento doSistemas operacionais com suporte: ao escaneamento do Amazon EC2.
-
A instância não é excluída das verificações pelas tags de exclusão do Amazon Inspector EC2.
Agent-based comportamentos de escaneamento
Ao usar o método de verificação baseado em agente, o Amazon Inspector inicia novas verificações de vulnerabilidades de instâncias do EC2 nas seguintes situações:
-
Ao executar uma nova instância do EC2.
-
Ao instalar um novo software em uma instância do EC2 (Linux e Mac).
-
Quando o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e essa CVE é relevante para sua instância do EC2 (Linux e Mac).
O Amazon Inspector atualiza o campo Última verificação para uma instância do EC2 quando uma verificação inicial é concluída. Depois disso, o campo Última verificação é atualizado quando o Amazon Inspector avalia o inventário do SSM (a cada 30 minutos por padrão) ou quando uma instância é verificada novamente porque um novo CVE que afeta essa instância foi adicionado ao banco de dados do Amazon Inspector.
Você pode conferir quando uma instância do EC2 foi verificada pela última vez em busca de vulnerabilidades na guia Instâncias, na página Gerenciamento de contas, ou usando o comando ListCoverage.
Configurar o atendente do SSM
Para que o Amazon Inspector detecte vulnerabilidades de software em uma instância do Amazon EC2 usando o método de verificação baseado em agente, a instância deve ser uma instância gerenciada no Amazon EC2 Systems Manager (SSM). Uma instância gerenciada do SSM tem o atendente do SSM instalado e em funcionamento, e o SSM tem permissão para gerenciar a instância. Se você já estiver usando o SSM para gerenciar suas instâncias, nenhuma outra etapa será necessária para verificações baseadas em agente.
O atendente de SSM é instalado por padrão em instâncias do EC2 criadas de algumas imagens de máquina da Amazon (AMIs). Para obter mais informações, consulte Sobre o atendente do SSM no Guia do usuário do AWS Systems Manager . No entanto, mesmo que esteja instalado, talvez seja necessário ativar o atendente do SSM manualmente e conceder permissão ao SSM para gerenciar sua instância.
O procedimento a seguir descreve como configurar uma instância do Amazon EC2 como uma instância gerenciada usando um perfil de instância do IAM. O procedimento também fornece links para informações mais detalhadas no Guia do usuário do AWS Systems Manager .
AmazonSSMManagedInstanceCore é a política recomendada a ser usada ao anexar um perfil de instância. Esta política tem todas as permissões necessárias para o escaneamento do EC2 do Amazon Inspector.
nota
Você também pode automatizar o gerenciamento de SSM de todas as suas instâncias do EC2, sem o uso de perfis de instância do IAM, usando a Configuração de gerenciamento de host padrão do SSM. Para obter mais informações, consulte Configuração de gerenciamento de host padrão.
Para configurar o SSM para uma instância do Amazon EC2
-
Se ele ainda não tiver sido instalado pelo fornecedor do sistema operacional, instale o atendente do SSM. Para obter mais informações, consulte Trabalhar com o atendente do SSM.
-
Use o AWS CLI para verificar se o agente SSM está em execução. Para obter mais informações, consulte Verificar o status do atendente do SSM e iniciar o atendente.
-
Conceda permissão para que o SSM gerencie sua instância. Conceda permissão criando um perfil de instância do IAM e anexando-o à sua instância. Recomendamos o uso da política AmazonSSMManagedInstanceCore, porque essa política tem as permissões para SSM Distributor, SSM Inventory e SSM State Manager, que o Amazon Inspector precisa para fazer verificações. Para obter instruções sobre como criar um perfil de instância com essas permissões e anexá-lo a uma instância, consulte Configurar permissões de instância para Systems Manager.
-
(Opcional) Ative as atualizações automáticas para o atendente do SSM. Para obter mais informações, consulte Automatizar atualizações para o atendente do SSM.
-
(Opcional) Configure o Systems Manager para usar um endpoint Amazon Virtual Private Cloud (Amazon VPC). Para obter mais informações, consulte Criar o endpoint da VPC do Amazon.
Recursos do SSM criados para verificação
O Amazon Inspector requer vários recursos do SSM na conta para executar verificações do Amazon EC2. Os seguintes recursos são criados ao ativar o escaneamento do EC2 do Amazon Inspector pela primeira vez:
nota
Se algum desses recursos do SSM for excluído enquanto a verificação do Amazon EC2 estiver habilitada em sua conta, o Amazon Inspector tentará recriá-los no próximo intervalo de verificação.
InspectorInventoryCollection-do-not-delete-
Esta é uma associação do Gerenciador de Sistemas e do Gerenciador de Estado (SSM) que o Amazon Inspector usa para coletar inventário de aplicativos de software de suas instâncias do Amazon EC2. Se a sua conta já tiver uma associação do SSM para coletar inventário de
InstanceIds*, o Amazon Inspector a usará em vez de criar a sua própria. InspectorResourceDataSync-do-not-delete-
Esta é uma sincronização de dados de recursos que o Amazon Inspector usa para enviar dados de inventário coletados de suas instâncias do Amazon EC2 para um bucket do Amazon S3 de propriedade do Amazon Inspector. Para obter mais informações, consulte Configurar a sincronização de dados de recursos para o Inventário no Guia do usuário do AWS Systems Manager .
InspectorVmScannerDistributor-do-not-delete-
Esta é uma associação SSM que o Amazon Inspector usa para instalar e atualizar em suas instâncias Scanner de VM Amazon Inspector do Amazon EC2.
InspectorDistributor-do-not-delete-
Esta é uma associação do SSM que o Amazon Inspector usa para verificar as instâncias do Windows. Essa associação instala o plug-in do SSM do Amazon Inspector em suas instâncias do Windows. Se o arquivo do plug-in for excluído inadvertidamente, essa associação o reinstalará no próximo intervalo de associação.
InvokeInspectorSsmPlugin-do-not-delete-
Esta é uma associação do SSM que o Amazon Inspector usa para verificar as instâncias do Windows. Essa associação permite que o Amazon Inspector inicie as verificações usando o plug-in. Você também poderá usá-lo para definir intervalos personalizados para as verificações de instâncias do Windows. Para obter mais informações, consulte Definindo horários personalizados para Windows escaneamentos de instâncias.
InspectorLinuxDistributor-do-not-delete-
Esta é uma associação do SSM que o Amazon Inspector usa para a inspeção profunda do Amazon EC2 do Linux. Essa associação instala o plug-in do SSM do Amazon Inspector nas instâncias do Linux.
InvokeInspectorLinuxSsmPlugin-do-not-delete-
Esta é uma associação do SSM que o Amazon Inspector usa para a inspeção profunda do Amazon EC2 do Linux. Essa associação permite que o Amazon Inspector inicie as verificações usando o plug-in.
nota
Ao desabilitar a verificação ou a inspeção detalhada do Amazon EC2 do Amazon Inspector, o recurso InvokeInspectorLinuxSsmPlugin-do-not-delete do SSM não é mais invocado.
Verificação sem agente
O Amazon Inspector usa o método de verificação sem agente em instâncias elegíveis quando sua conta está no modo de verificação híbrida. O modo de verificação híbrida inclui verificações baseadas em agente e sem agente e é habilitado automaticamente quando você ativa a verificação do Amazon EC2.
No caso de verificações sem agente, o Amazon Inspector usa snapshots do EBS para coletar um inventário de software das suas instâncias. O método sem agente verifica as instâncias em busca de vulnerabilidades em pacotes do sistema operacional e da linguagem de programação de aplicações.
nota
Ao verificar instâncias do Linux em busca de vulnerabilidades de pacotes de linguagem de programação de aplicativos, o método sem agente verifica todos os caminhos disponíveis, enquanto a verificação baseada em agente verifica apenas os caminhos padrão e caminhos adicionais especificados como parte do Inspeção profunda do Amazon Inspector para instâncias do Amazon Linux-based EC2. Isso pode fazer com que a mesma instância tenha descobertas diferentes, dependendo se ela for verificada usando o método baseado em agente ou o método sem agente.
O processo a seguir explica como o Amazon Inspector usa snapshots do EBS para coletar inventário e realizar verificações sem agente:
-
O Amazon Inspector cria um snapshot do EBS de todos os volumes anexados à instância. Enquanto o Amazon Inspector o estiver utilizando, o snapshot será armazenado na conta e marcado com o
InspectorScancomo chave de tag e um ID de digitalização exclusivo como valor de tag. -
O Amazon Inspector recupera dados dos snapshots usando as APIs diretas do EBS e os avalia em busca de vulnerabilidades. As descobertas são geradas para todas as vulnerabilidades detectadas.
-
O Amazon Inspector exclui os snapshots do EBS criados na conta.
Instâncias qualificadas
O Amazon Inspector usará o método sem agente para verificar uma instância se ela atender às seguintes condições:
-
A instância tem um sistema operacional compatível. Para obter mais informações, consulte a coluna > suporte de Agent-based escaneamento doSistemas operacionais com suporte: ao escaneamento do Amazon EC2.
-
A instância tem um status de
Unmanaged EC2 instance,Stale inventoryouNo inventory. -
A instância é respaldada pelo Amazon EBS e tem um dos seguintes formatos de sistema de arquivos:
-
ext3 -
ext4 -
xfs
-
-
A instância não é excluída das verificações pelas etiquetas de exclusão do Amazon EC2.
-
O número de volumes anexados à instância é menor que 8 e tem um tamanho combinado menor ou igual a 1.200 GB.
Comportamentos de verificação sem agente
Quando a conta está configurada para verificação híbrida, o Amazon Inspector realiza verificações sem agente em instâncias qualificadas a cada 24 horas. O Amazon Inspector detecta e verifica instâncias recém-qualificadas a cada hora, o que inclui novas instâncias sem agentes SSM ou instâncias pré-existentes com status que foram alterados para SSM_UNMANAGED.
O Amazon Inspector atualiza o campo Última verificação de uma instância do Amazon EC2 sempre que verifica snapshots extraídos de uma instância após uma verificação sem agente.
Você pode conferir quando uma instância do EC2 foi verificada pela última vez em busca de vulnerabilidades na guia Instâncias, na página Gerenciamento de contas, ou usando o comando ListCoverage.
Gerenciar o modo de digitalização
O modo de verificação do EC2 determina quais métodos de verificação o Amazon Inspector usará ao realizar verificações do EC2 na conta. Você pode visualizar o modo de verificação da conta na página de configurações de verificação do EC2 em Configurações gerais. Contas independentes ou administradores delegados do Amazon Inspector podem alterar o modo de verificação. Quando você define o modo de verificação como administrador delegado do Amazon Inspector, esse modo de verificação é definido para todas as contas de membro da empresa. O Amazon Inspector tem os seguintes modos de verificação:
Agent-based escaneamento — Neste modo de escaneamento, o Amazon Inspector usará exclusivamente o método de escaneamento baseado em agente ao verificar vulnerabilidades de pacotes. Esse modo de verificação verifica apenas as instâncias gerenciadas por SSM em sua conta, mas tem a vantagem de fornecer verificações contínuas em resposta a novos CVEs ou alterações nas instâncias. Agent-based a digitalização também fornece uma inspeção profunda do Amazon Inspector para instâncias elegíveis. Este é o modo de verificação padrão para contas recém-ativadas.
Verificação híbrida — Nesse modo de verificação, o Amazon Inspector usa uma combinação de métodos baseados em agente e sem agente para verificar vulnerabilidades de pacotes. Para instâncias EC2 qualificadas que têm o agente SSM instalado e configurado, o Amazon Inspector usará o método baseado em agente. Para instâncias elegíveis que não são gerenciadas por SSM, o Amazon Inspector usará o método sem agente para instâncias elegíveis. EBS-backed
Para alterar o modo de digitalização
-
Faça login usando suas credenciais e, em seguida, abra o console do Amazon Inspector em. https://console.aws.amazon.com/inspector/v2/home
-
Usando o Região da AWS seletor no canto superior direito da página, selecione a região em que você deseja alterar o modo de digitalização do EC2.
-
No painel de navegação lateral, em Configurações gerais, selecione Configurações de escaneamento do EC2.
-
Em Modo de digitalização, selecione Editar.
-
Selecione um modo de verificação e selecione Salvar alterações.
Excluir instâncias das verificações do Amazon Inspector
Você pode excluir as instâncias do Linux e do Windows das verificações do Amazon Inspector marcando essas instâncias com a chave InspectorEc2Exclusion. A chave da tag não diferencia maiúsculas de minúsculas. Incluir um valor de etiqueta é opcional. Para ter informações sobre como adicionar etiquetas, consulte Marcar com tag os recursos do Amazon EC2.
Quando você adiciona uma etiqueta a uma instância para exclusão das verificações do Amazon Inspector, o Amazon Inspector marca a instância como excluída e não cria descobertas para ela. No entanto, o plug-in do SSM do Amazon Inspector continuará a ser invocado. Para evitar que o plug-in seja invocado, você deve permitir o acesso a etiquetas nos metadados da instância.
nota
Você não recebe cobranças pelas instâncias excluídas.
Além disso, você pode excluir uma instância das verificações sem agente marcando a AWS KMS chave usada para criptografar esse volume com a tag. InspectorEc2Exclusion Para ter mais informações, consulte Tagging keys.
Sistemas operacionais compatíveis
O Amazon Inspector verifica as instâncias compatíveis de Mac, Windows e Linux em busca de vulnerabilidades em pacotes do sistema operacional. Para instâncias do Linux, o Amazon Inspector pode produzir descobertas para pacotes de linguagens de programação de aplicativos usando Inspeção profunda do Amazon Inspector para instâncias do Amazon Linux-based EC2. Para instâncias do Mac e do Windows, somente pacotes do sistema operacional são verificados.
Para obter informações sobre sistemas operacionais compatíveis, incluindo quais sistemas operacionais podem ser verificados sem um agente SSM, consulte. Valores de status para instâncias do Amazon EC2