Embed Size (px)
Citation preview
Amazon InspectorGuía del usuario
Version Última versión de
Amazon Inspector Guía del usuario
Amazon Inspector: Guía del usuarioCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
Amazon Inspector Guía del usuario
Table of Contents¿Qué es Amazon Inspector? ................................................................................................................ 1
Ventajas de Amazon Inspector ..................................................................................................... 1Características de Amazon Inspector ............................................................................................. 1Precios de Amazon Inspector ....................................................................................................... 2Acceso a Amazon Inspector ......................................................................................................... 2
Terminología y conceptos de Amazon Inspector ...................................................................................... 3Límites de servicio de Amazon Inspector ............................................................................................... 5Sistemas operativos y regiones compatibles con Amazon Inspector ........................................................... 7
Sistemas operativos compatibles basados en Linux ......................................................................... 7Sistemas operativos compatibles basados en Windows .................................................................... 8Regiones admitidas ..................................................................................................................... 8
Configuración de Amazon Inspector ...................................................................................................... 9Crear objetivos de evaluación con etiquetas de EC2 instance ............................................................ 9Instalar el agente de Amazon Inspector ....................................................................................... 10Creación automática de un rol vinculado al servicio para conceder a Amazon Inspector acceso a sucuenta de AWS ........................................................................................................................ 10
Si es la primera vez que utiliza Amazon Inspector ................................................................. 11Si ya tiene Amazon Inspector ejecutándose en su cuenta de AWS ........................................... 11
Uso de roles vinculados a servicios ............................................................................................. 12Permisos de roles vinculados a servicios para Amazon Inspector ............................................. 12Creación de un rol vinculado a un servicio para Amazon Inspector ........................................... 13Edición de un rol vinculado a un servicio para Amazon Inspector ............................................. 14Eliminación de un rol vinculado a un servicio para Amazon Inspector ........................................ 14
Guía de inicio rápido de Amazon Inspector: Red Hat Enterprise Linux ....................................................... 15Configuración de Amazon Inspector ............................................................................................. 15Preparación del objetivo de evaluación para la ejecución de evaluación ............................................ 16Creación de un objetivo de evaluación ......................................................................................... 16Crear y ejecutar una plantilla de evaluación .................................................................................. 16Localizar y analizar los hallazgos generados ................................................................................. 17Aplicar la solución recomendada a su objetivo de evaluación ........................................................... 18
Guía de inicio rápido de Amazon Inspector: Ubuntu Server ..................................................................... 19Configuración de Amazon Inspector ............................................................................................. 19Preparación del objetivo de evaluación para la ejecución de evaluación ............................................ 20Creación de un objetivo de evaluación ......................................................................................... 20Crear y ejecutar una plantilla de evaluación .................................................................................. 20Localizar y analizar los hallazgos generados ................................................................................. 21Aplicar la solución recomendada a su objetivo de evaluación ........................................................... 22
Agentes de Amazon Inspector ............................................................................................................ 23Privilegios de agentes de Amazon Inspector ................................................................................. 23Seguridad de la red y del agente de Amazon Inspector .................................................................. 24Actualizaciones del agente de Amazon Inspector ........................................................................... 24Ciclo de vida de los datos de telemetría ....................................................................................... 25Control de acceso desde Amazon Inspector a las cuentas de AWS .................................................. 25Límites del agente de Amazon Inspector ...................................................................................... 25Licencias públicas del agente de Amazon Inspector ....................................................................... 25Instalación de los agentes de Amazon Inspector ........................................................................... 25
AMI de Amazon Linux con el agente de Amazon Inspector ..................................................... 26Para instalar el agente de Amazon Inspector en varias instancias EC2 mediante SystemsManager Run Command .................................................................................................... 26Para instalar el agente de Amazon Inspector en una instancia EC2 basada en Linux .................... 27Para instalar el agente de Amazon Inspector en una instancia EC2 basada en Windows ............... 28
Trabajar con agentes de Amazon Inspector en sistemas operativos basados en Linux ......................... 28Para verificar que el agente de Amazon Inspector se está ejecutando ....................................... 29Para detener el agente de Amazon Inspector ........................................................................ 29
Version Última versión deiii
Amazon Inspector Guía del usuario
Para iniciar el agente de Amazon Inspector .......................................................................... 29Para configurar el soporte del proxy para los agentes de Amazon Inspector ............................... 29Para desinstalar el agente de Amazon Inspector ................................................................... 30
Trabajar con agentes de Amazon Inspector en sistemas operativos basados en Windows .................... 30Para detener o iniciar el agente de Amazon Inspector o comprobar que el agente de AmazonInspector está en ejecución ................................................................................................ 31Para modificar la configuración del agente de Amazon Inspector .............................................. 31Para configurar el soporte del proxy para los agentes de Amazon Inspector ............................... 32Para desinstalar el agente de Amazon Inspector ................................................................... 32
(Opcional) Verificar la firma del script de instalación del agente de Amazon Inspector en los sistemasoperativos basados en Linux ...................................................................................................... 33
Instalación de las herramientas de GPG .............................................................................. 33Autentique e importe la clave pública ................................................................................... 34Verificar la firma del paquete .............................................................................................. 35
(Opcional) Verificar la firma del script de instalación del agente de Amazon Inspector en los sistemasoperativos basados en Windows ................................................................................................. 36
Objetivos de evaluación de Amazon Inspector ...................................................................................... 37Etiquetado de recursos para crear un objetivo de evaluación ........................................................... 37Límites de objetivos de evaluación de Amazon Inspector ................................................................ 38Crear un objetivo de evaluación (consola) .................................................................................... 38Eliminación de un objetivo de evaluación (consola) ........................................................................ 39
Plantillas de evaluación y ejecuciones de evaluación en Amazon Inspector ................................................ 40Plantillas de evaluación de Amazon Inspector ............................................................................... 40Límites de plantillas de evaluación de Amazon Inspector ................................................................ 41Creación de una plantilla de evaluación (consola) .......................................................................... 41Eliminación de una plantilla de evaluación (consola) ...................................................................... 42Ejecuciones de evaluación ......................................................................................................... 43
Eliminación de una ejecución de evaluación (consola) ............................................................ 43Límites de ejecuciones de evaluación de Amazon Inspector ............................................................ 43Configuración de ejecuciones de evaluación automáticas a través de una función de Lambda ............... 43Configurar un tema de SNS para las notificaciones de Amazon Inspector (consola) ............................. 45
Hallazgos de Amazon Inspector .......................................................................................................... 46Trabajar con hallazgos .............................................................................................................. 46
Informes de evaluación ...................................................................................................................... 48Paquetes de reglas y reglas de Amazon Inspector ................................................................................. 50
Niveles de gravedad para las reglas de Amazon Inspector .............................................................. 50Paquetes de reglas en Amazon Inspector ..................................................................................... 50Vulnerabilidades y exposiciones comunes .................................................................................... 51Referencias del Center for Internet Security (CIS, Centro para la seguridad de Internet) ....................... 51Prácticas recomendadas de seguridad ......................................................................................... 52
Disable Root Login over SSH (Desactivar el inicio de sesión raíz por SSH) ................................ 52Support SSH Version 2 Only (Permitir solo SSH Versión 2) ..................................................... 53Disable Password Authentication Over SSH (Desactivar la autenticación con contraseña conSSH) ............................................................................................................................... 53Configure Password Maximum Age (Configurar la edad máxima de la contraseña) ...................... 54Configure Password Minimum Length (Configurar la longitud mínima de la contraseña) ................ 54Configure Password Complexity (Configurar la complejidad de la contraseña) ............................. 54Enable ASLR (Activar ASLR) .............................................................................................. 55Enable DEP (Activar DEP) ................................................................................................. 55Configurar permisos para directorios del sistema (Configure Permissions for System Directories) ... 56
Análisis del comportamiento del tiempo de ejecución ..................................................................... 56Protocolos de cliente inseguros (inicio de sesión) .................................................................. 56Protocolos de cliente inseguros (general) ............................................................................. 57Puertos de escucha TCP no usados .................................................................................... 57Protocolos de servidor inseguros ......................................................................................... 58Software sin DEP ............................................................................................................. 58Proceso raíz con permisos no seguros ................................................................................ 59
Version Última versión deiv
Amazon Inspector Guía del usuario
Disponibilidad de paquetes de reglas en los sistemas operativos compatibles ............................................. 60Registro de llamadas a la API en Amazon Inspector con AWS CloudTrail .................................................. 63
Información de Amazon Inspector en CloudTrail ............................................................................ 63Comprensión de las entradas de archivos log de Amazon Inspector ................................................. 64
Monitorización de Amazon Inspector con CloudWatch ............................................................................ 67Métricas de CloudWatch en Amazon Inspector .............................................................................. 67
Configuración de Amazon Inspector mediante AWS CloudFormation ........................................................ 69Autenticación y control de acceso de Amazon Inspector ......................................................................... 70
Autenticación ............................................................................................................................ 70Control de acceso ..................................................................................................................... 71Introducción a la administración de permisos de acceso a sus recursos de Amazon Inspector ............... 71
Recursos y operaciones de Amazon Inspector ...................................................................... 72Titularidad de los recursos ................................................................................................. 72Administración del acceso a los recursos ............................................................................. 73Especificación de elementos de política: acciones, efectos, recursos y entidades principales ......... 74Especificar condiciones en una política ................................................................................ 74
Uso de políticas basadas en identidad (políticas de IAM) para Amazon Inspector ................................ 75Permisos necesarios para usar la consola de Amazon Inspector .............................................. 75Políticas administradas (predefinidas) de AWS para Amazon Inspector ...................................... 76Ejemplos de políticas administradas por el cliente .................................................................. 76
Permisos de la API de Amazon Inspector: referencia de acciones, recursos y condiciones .................... 77Apéndice: ARN de paquetes de reglas de Amazon Inspector ................................................................... 78
EE.UU. Oeste (Oregón) ............................................................................................................. 78EE.UU. Este (Norte de Virginia) .................................................................................................. 78EE.UU. Este (Ohio) ................................................................................................................... 79EE.UU. Oeste (Norte de California) ............................................................................................. 79Asia Pacífico (Mumbai) ............................................................................................................. 80Asia Pacífico (Sídney) ............................................................................................................... 80Asia Pacífico (Seúl) ................................................................................................................... 80Asia Pacífico (Tokio) ................................................................................................................. 81UE (Irlanda) ............................................................................................................................. 81UE (Fráncfort) .......................................................................................................................... 82
Version Última versión dev
Amazon Inspector Guía del usuarioVentajas de Amazon Inspector
¿Qué es Amazon Inspector?Amazon Inspector le permite analizar el comportamiento de sus recursos de AWS y le ayuda a identificarposibles problemas de seguridad. Puede usar Amazon Inspector, para definir una colección de recursosde AWS que desea incluir en un objetivo de evaluación. A continuación, puede crear una plantilla deevaluación e iniciar una ejecución de evaluación de este objetivo.
Durante la ejecución de evaluación, la red, el sistema de archivos y la actividad de procesos del objetivoespecificado se monitorizan y se recopila un amplio conjunto de actividades y datos de configuración.Estos datos incluyen información sobre la comunicación con los servicios de AWS, el uso de canalesseguros, los procesos en ejecución, el tráfico de red entre los procesos en ejecución y mucho más.Los datos recopilados se correlacionan, analizan y comparan con un conjunto de reglas de seguridadespecificadas en la plantilla de evaluación. Una ejecución de evaluación completa genera una lista dehallazgos de posibles problemas de seguridad de distintos niveles de gravedad.
Important
AWS no garantiza que al seguir las recomendaciones se resuelvan todos los problema deseguridad potenciales. Los hallazgos generados por Amazon Inspector dependerán de suelección de los paquetes de reglas incluidos en cada plantilla de evaluación, de la presencia decomponentes de AWS en su sistema y de otros factores. El cliente es responsable de la seguridadde las aplicaciones, procesos y herramientas que se ejecutan en los servicios de AWS. Paraobtener más información, consulte el Modelo de responsabilidad compartida de AWS para laseguridad.Note
AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los serviciosofrecidos en la nube de AWS. Esta infraestructura está compuesta por hardware, software,redes e instalaciones que ejecutan servicios de AWS. AWS ofrece varios informes de auditoresexternos que han verificado que cumple una gran variedad de reglas y regulaciones de seguridadinformática. Para obtener más información, consulte Conformidad en la nube de AWS.
Para obtener más información, consulte Terminología y conceptos de Amazon Inspector (p. 3).
Ventajas de Amazon Inspector• Amazon Inspector le permite evaluar rápida y fácilmente la seguridad de sus recursos de AWS a efectos
forenses, de solución de problema o de auditoría activa a su propio ritmo, tanto al progresar en eldesarrollo de sus infraestructuras o regularmente en un entorno de producción estable.
• Amazon Inspector le permite centrarse en problemas de seguridad más complejas y relegar de lastareas de evaluación de la seguridad generales de su infraestructura a este servicio automatizado.
• Al usar Amazon Inspector, obtendrá conocimientos más amplios de sus recursos de AWS, ya que loshallazgos de Amazon Inspector se producen mediante el análisis de la actividad real y los datos deconfiguración de sus recursos de AWS.
Características de Amazon Inspector• Análisis de la configuración y motor de monitorización de la actividad: Amazon Inspector proporciona
un motor que analiza la configuración de recursos y sistemas y monitoriza la actividad para determinarel aspecto de un objetivo de evaluación, su comportamiento y sus componentes dependientes. La
Version Última versión de1
Amazon Inspector Guía del usuarioPrecios de Amazon Inspector
combinación de esta telemetría ofrece una imagen completa del objetivo de evaluación y sus problemasde seguridad o conformidad potenciales.
• Biblioteca de contenidos integrada: Amazon Inspector incorpora una biblioteca integrada de informesy reglas. Se incluyen comprobaciones de prácticas recomendadas, reglas de conformidad comunesy vulnerabilidades. Estas comprobaciones incluyen pasos recomendados detallados para solucionarposibles problemas de seguridad.
• Automatizable mediante API: Amazon Inspector es totalmente automatizable mediante una API. Estopermite a las organizaciones incorporar comprobaciones de seguridad en el proceso de desarrolloy diseño, incluida la selección, la ejecución y la creación de informes sobre los resultados de dichaspruebas.
Precios de Amazon InspectorEl precio de Amazon Inspector se calcula por agente y evaluación (agente-evaluación) al mes. Paraobtener información detallada acerca de los precios de Amazon Inspector, consulte Precios de AmazonInspector.
Acceso a Amazon InspectorPuede trabajar con el servicio de Amazon Inspector de cualquiera de las siguientes formas.
Consola de Amazon Inspector
Sign in to the Consola de administración de AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
La consola es una interfaz basada en navegador para acceder al servicio de Amazon Inspector.AWS SDK
AWS ofrece kits de desarrollo de software (SDK) que se componen de bibliotecas y código de muestrapara diversos lenguajes de programación y plataformas (Java, Python, Ruby, .NET, iOS, Android,etc.). Los SDK proporcionan una forma cómoda de crear acceso mediante programación al serviciode Amazon Inspector. Para obtener información sobre los SDK de AWS, incluido cómo descargarlos einstalarlos, consulte Herramientas para Amazon Web Services.
API HTTPS de Amazon Inspector
Puede acceder a Amazon Inspector y AWS de manera programática mediante la API HTTPS deAmazon Inspector, que le permite emitir solicitudes HTTPS directamente al servicio. Para obtener másinformación, consulte la Referencia de la API de Amazon Inspector.
Herramientas de línea de comandos de AWS
Puede usar las herramientas de línea de comandos de AWS para emitir comandos en la línea decomandos del sistema para realizar tareas de Amazon Inspector. Esto puede resultar más rápido yeficaz que utilizar la consola. Las herramientas de línea de comandos también son útiles si deseacrear scripts que realicen tareas de AWS. Para obtener más información, consulte la interfaz de líneade comandos de AWS de Amazon Inspector.
Version Última versión de2
Amazon Inspector Guía del usuario
Terminología y conceptos de AmazonInspector
Puede ir aprendiendo los conceptos claves de Amazon Inspector a medida que lo usa.
Agente de Amazon Inspector
Agente de software que debe instalar en todas las instancias de Amazon Elastic Compute Cloud (EC2instances) que se incluyen en el objetivo de evaluación cuya seguridad quiera evaluar con AmazonInspector. El agente de Amazon Inspector supervisa el comportamiento de la EC2 instance en la queestá instalado, lo que incluye la actividad de red, del sistema de archivos y de procesos, recopilauna amplia gama de datos de comportamiento y configuración (telemetría) y, a continuación, losenvía al servicio de Amazon Inspector. Para obtener más información, consulte Agentes de AmazonInspector (p. 23).
Ejecución de evaluación
Proceso de descubrimiento de problemas potenciales de seguridad que utiliza paquetes de reglasespecificadas para analizar la configuración y el comportamiento del objetivo de evaluación. Duranteuna ejecución de evaluación, el agente monitoriza, recopila y analiza datos de comportamiento(telemetría) en el objetivo especificado, como el uso de canales seguros, el tráfico de red entreprocesos en ejecución y detalles de la comunicación con los servicios de AWS. A continuación,Amazon Inspector analiza los datos y los compara con un conjunto de paquetes de reglas deseguridad especificadas en la plantilla de evaluación empleada durante la ejecución de evaluación.Una ejecución de evaluación completa genera una lista de hallazgos de posibles problemas deseguridad de distintos niveles de gravedad. Para obtener más información, consulte Plantillas deevaluación y ejecuciones de evaluación en Amazon Inspector (p. 40).
Objetivo de evaluación
En el contexto de Amazon Inspector, conjunto de recursos de AWS que se combinan en una unidadpara ayudarle a alcanzar sus objetivos empresariales. Amazon Inspector evalúa el estado deseguridad de los recursos que constituyen el objetivo de evaluación.
Important
En este momento, sus objetivos de evaluación de Amazon Inspector solo pueden estarcompuestos de dos instancias EC2. Para obtener más información, consulte Límites deservicio de Amazon Inspector (p. 5)
Para crear un objetivo de evaluación en Amazon Inspector, primero debe etiquetar sus EC2 instancescon pares clave-valor de su elección y crear una vista de estas EC2 instances etiquetadas que tenganclaves o valores comunes. Para obtener más información, consulte Objetivos de evaluación deAmazon Inspector (p. 37).
Plantilla de evaluación
Configuración que se utiliza durante la ejecución de evaluación, incluido el paquete de reglas segúnel cual desea que Amazon Inspector evalúe el objetivo, la duración de la evaluación, los temasde Amazon Simple Notification Service (SNS) sobre los que desea que Amazon Inspector envíenotificaciones relacionadas con los estados y los hallazgos de la evaluación, y atributos específicos deAmazon Inspector (pares clave-valor) que puede asignar a los hallazgos generados por la evaluaciónque usa esta plantilla de evaluación.
Version Última versión de3
Amazon Inspector Guía del usuario
Hallazgo
Problema de seguridad potencial descubierto durante una ejecución de evaluación de AmazonInspector del objetivo especificado. Los hallazgos se muestran en la consola de Amazon Inspector ose recuperan mediante la API, y contienen tanto una descripción detallada del problema de seguridadcomo una recomendación sobre cómo solucionarlo. Para obtener más información, consulte Hallazgosde Amazon Inspector (p. 46).
Rule
En el contexto de Amazon Inspector, comprobación de seguridad que realiza el agente durante unaejecución de evaluación. Cuando una regla detecta un problema de seguridad potencial, AmazonInspector genera un hallazgo que lo describe.
Paquete de reglas
En el contexto de Amazon Inspector, conjunto de reglas. Un paquete de reglas corresponde a unobjetivo de seguridad que puede plantearse. Puede especificar su objetivo de seguridad si seleccionael paquete de reglas adecuado al crear una plantilla de evaluación de Amazon Inspector. Para obtenermás información, consulte Paquetes de reglas y reglas de Amazon Inspector (p. 50).
Telemetría
Datos (comportamiento, configuración, etc.) por ejemplo, registros de conexiones de red y creacionesde procesos recopilados por el agente de Amazon Inspector en sus instancias EC2 durante unaejecución de evaluación y transmitidos al servicio de Amazon Inspector para su análisis.
Version Última versión de4
Amazon Inspector Guía del usuario
Límites de servicio de AmazonInspector
Amazon Inspector evalúa el estado de seguridad de los recursos que constituyen el objetivo de evaluación.
Important
En este momento, sus objetivos de evaluación de Amazon Inspector solo pueden estarcompuestos de dos instancias EC2.
A continuación se describen los límites de Amazon Inspector por cuenta de AWS:
Recurso Límite predeterminado Comentarios
Agentes por evaluación 500 El número máximo deagentes que se puedenincluir en el objetivode evaluación de unaejecución de evaluación.
Puede solicitar unaumento del límite deagentes por evaluaciónponiéndose en contactocon el servicio desoporte al cliente deAWS.
Ejecuciones de evaluación 50000 Número máximode ejecuciones deevaluación que puedecrear por cuenta deAWS. Puede ejecutarvarias evaluacionesal mismo tiempo,siempre y cuando losobjetivos de evaluaciónempleados para lasevaluaciones nocontengan instanciasEC2 que se solapen.
Puede solicitar unaumento del límitede ejecuciones deevaluación poniéndoseen contacto con elservicio de soporte alcliente de AWS.
Version Última versión de5
Amazon Inspector Guía del usuario
Recurso Límite predeterminado Comentarios
Plantillas de evaluación 500 Número máximo deplantillas de evaluaciónque puede tener en unmomento dado en unacuenta de AWS.
Puede solicitar unaumento del límite deplantillas de evaluaciónponiéndose en contactocon el servicio desoporte al cliente deAWS.
Objetivos de evaluación 50 Número máximo deobjetivos de evaluaciónque puede tener en unmomento dado en unacuenta de AWS.
Puede solicitar unaumento del límite deobjetivos de evaluaciónponiéndose en contactocon el servicio desoporte al cliente deAWS.
Version Última versión de6
Amazon Inspector Guía del usuarioSistemas operativos compatibles basados en Linux
Sistemas operativos y regionescompatibles con Amazon Inspector
Amazon Inspector evalúa el estado de seguridad de los recursos que constituyen el objetivo de evaluación.
Important
En este momento, sus objetivos de evaluación de Amazon Inspector solo pueden estarcompuestos de dos instancias EC2.
Note
Para obtener más información sobre cómo están disponibles los paquetes de reglas de AmazonInspector en los sistemas operativos compatibles que puede ejecutar en las instancias EC2incluidas en sus objetivos de evaluación, consulte Disponibilidad de paquetes de reglas en lossistemas operativos compatibles (p. 60).
Temas• Sistemas operativos compatibles basados en Linux (p. 7)• Sistemas operativos compatibles basados en Windows (p. 8)• Regiones admitidas (p. 8)
Sistemas operativos compatibles basados en LinuxEn esta versión de Amazon Inspector, sus objetivos de evaluación podrían contener únicamente instanciasEC2 que ejecuten la versión de 64 bits de los siguientes sistemas operativos basados en Linux:
• Amazon Linux 2 (2017.12)• Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03,
2013.09, 2013.03, 2012.09, 2012.03)• Ubuntu (18.04 LTS, 16.04 LTS, 14.04 LTS)• Debian (9.0 - 9.4)• Red Hat Enterprise Linux (7.2 - 7.5, 6.2 - 6.9)• CentOS (7.2 - 7.5, 6.2 - 6.9)
Important
La siguiente lista contiene todas las versiones del kernel compatibles con el agente de AmazonInspector que se ejecuta en Linux, Ubuntu, Red Hat Enterprise Linux y CentOS: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/supported_versions.json.Puede ejecutar correctamente una evaluación de Amazon Inspector de una instancia EC2 con unsistema operativo Linux mediante los paquetes de reglas de CVE, CIS o Security Best Practicesaunque la instancia no tenga una versión del kernel incluida en esta lista.Para ejecutar correctamente una evaluación de Amazon Inspector de una instancia EC2 con unsistema operativo basado en Linux mediante el paquete de reglas Análisis del comportamientodel tiempo de ejecución (p. 56), la instancia debe tener una versión del kernel incluida enesta lista. Si la instancia tiene una versión del kernel que no es compatible con el agente deAmazon Inspector, el paquete de reglas Runtime Behavior Analysis que evalúa esa instancia EC2
Version Última versión de7
Amazon Inspector Guía del usuarioSistemas operativos compatibles basados en Windows
producirá un único resultado en el que se informa de que la versión del kernel de la instancia EC2no es compatible.
Sistemas operativos compatibles basados enWindows
En esta versión de Amazon Inspector, sus objetivos de evaluación podrían contener únicamente instanciasEC2 que ejecuten la versión de 64 bits de los siguientes sistemas operativos basados en Windows:
• Windows Server 2008 R2• Windows Server 2012• Windows Server 2012 R2• Windows Server 2016 Base
Regiones admitidas• Asia Pacífico (Mumbai)• Asia Pacífico (Seúl)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• UE (Fráncfort)• UE (Irlanda)• EE.UU. Este (Norte de Virginia)• EE.UU. Este (Ohio)• EE.UU. Oeste (Norte de California)• EE.UU. Oeste (Oregón)
Version Última versión de8
Amazon Inspector Guía del usuarioCrear objetivos de evaluación con etiquetas de EC2 instance
Configuración de Amazon InspectorCuando se registra en Amazon Web Services (AWS), la cuenta de AWS se registra automáticamente entodos los servicios de AWS, incluido Amazon Inspector. Si no dispone de una cuenta de AWS, utilice elsiguiente procedimiento para crear una.
Para registrarse en AWS
1. Abra https://aws.amazon.com/ y después elija Create an AWS Account.
Note
Esto podría no estar disponible en el navegador si ha iniciado previamente sesión en laConsola de administración de AWS. En ese caso, elija Sign in to a different account ydespués Create a new AWS account.
2. Siga las instrucciones en línea.
Parte del procedimiento de inscripción consiste en recibir una llamada telefónica e introducir unnúmero PIN con el teclado del teléfono.
Al iniciar la consola de Amazon Inspector por primera vez, seleccione Get Started y complete las siguientestareas necesarias. Debe completar estas tareas antes de poder crear, iniciar y completar una ejecución deevaluación de Amazon Inspector:
• Etiquetar todas las EC2 instances que quiera incluir en su objetivo de evaluación. (p. 9)• Instale el agente de Amazon Inspector en todas las instancias EC2 que quiera incluir en su objetivo de
evaluación. (p. 10)
Important
El acceso de Amazon Inspector a los recursos se concede a través de un rol vinculado al serviciode IAM llamado AWSServiceRoleForAmazonInspector. Para obtener más información,consulte Creación automática de un rol vinculado al servicio para conceder a Amazon Inspectoracceso a su cuenta de AWS (p. 10).
Crear objetivos de evaluación con etiquetas de EC2instance
Amazon Inspector evalúa si los objetivos de evaluación (conjuntos de recursos de AWS) presentanproblemas de seguridad potenciales.
Important
En esta versión de Amazon Inspector, sus objetivos de evaluación pueden contener únicamenteinstancias EC2 que se ejecutan en determinados sistemas operativos compatibles. Para obtenermás información sobre los sistemas operativos basados en Linux y Windows compatibles y lasregiones de AWS permitidas, consulte Sistemas operativos y regiones compatibles con AmazonInspector (p. 7).
Version Última versión de9
Amazon Inspector Guía del usuarioInstalar el agente de Amazon Inspector
Para obtener más información sobre cómo iniciar instancias EC2, consulte la Documentación deAmazon Elastic Compute Cloud.
Amazon Inspector usa las etiquetas aplicadas a sus EC2 instances para dirigirse a esos recursos comoparte de su plantilla de evaluación definida. Al configurar sus objetivos de evaluación, puede usar lasetiquetas que ya haya definido en sus EC2 instances o crear etiquetas totalmente nuevas específicamentepara sus evaluaciones. Para obtener más información acerca de las etiquetas, consulte Trabajar con eleditor de etiquetas y Etiquetar sus recursos de Amazon EC2.
Para obtener más información sobre cómo etiquetar las EC2 instances para que se incluyan enlos objetivos de evaluación de Amazon Inspector, consulte Objetivos de evaluación de AmazonInspector (p. 37).
Instalar el agente de Amazon InspectorDebe instalar el agente de Amazon Inspector en cada EC2 instance de su objetivo de evaluación. Elagente monitoriza el comportamiento de las EC2 instances en las que está instalado, incluido el de red, eldel sistema de archivos y la actividad de procesos, recopila una amplia gama de datos de configuracióny comportamiento (telemetría) y, a continuación, envía los datos al servicio de Amazon Inspector. Paraobtener más información sobre los privilegios, la seguridad, las actualizaciones, los datos de telemetría y elcontrol de accesos del agente de Amazon Inspector, consulte Agentes de Amazon Inspector (p. 23).
Para obtener más información sobre cómo instalar el agente de Amazon Inspector, consulte Instalaciónde los agentes de Amazon Inspector (p. 25). Para obtener más información sobre cómo desinstalar elagente de Amazon Inspector o cómo verificar si el agente instalado se está ejecutando, consulte Trabajarcon agentes de Amazon Inspector en sistemas operativos basados en Linux (p. 28) y Trabajar conagentes de Amazon Inspector en sistemas operativos basados en Windows (p. 30).
Important
Para omitir la instalación manual del agente de Amazon Inspector en las instancias Amazon LinuxEC2 que desea incluir en los destinos de evaluación, puede usar Amazon Linux AMI with AmazonInspector Agent. Esta AMI tiene el agente de Amazon Inspector preinstalado y no requiere pasosadicionales para instalar o configurar el agente. Para empezar a utilizar Amazon Inspector conestas instancias EC2, solo tiene que etiquetarlas de forma que coincidan con el destino de laevaluación. La configuración de Amazon Linux AMI with Amazon Inspector Agent mejora laseguridad al centrarse en dos objetivos de seguridad principales: limitar el acceso y reducir lasvulnerabilidades del software.Esta es la única AMI de instancias EC2 actualmente disponible con el agente de AmazonInspector preinstalado. En el caso de las instancias EC2 que ejecutan Ubuntu Server o WindowsServer, debe seguir los pasos de instalación manual del agente de Amazon Inspector.Amazon Linux AMI with Amazon Inspector Agent está disponible en la consola de EC2 y tambiénen AWS Marketplace.
Creación automática de un rol vinculado al serviciopara conceder a Amazon Inspector acceso a sucuenta de AWS
Amazon Inspector necesita enumerar sus instancias EC2 y las etiquetas para identificarlas instancias EC2 especificadas en los destinos de evaluación. Amazon Inspector obtieneacceso a estos recursos de su cuenta de AWS a través de un rol vinculado al servicio llamadoAWSServiceRoleForAmazonInspector. Una función vinculada a un servicio es un tipo único de funciónde IAM que está vinculada directamente a un servicio de AWS (en este caso, Amazon Inspector). Las
Version Última versión de10
Amazon Inspector Guía del usuarioSi es la primera vez que utiliza Amazon Inspector
funciones vinculadas a servicios están predefinidas por el servicio e incluyen todos los permisos que elservicio requiere para llamar a otros servicios de AWS en su nombre. El servicio vinculado (en este casoAmazon Inspector) también define cómo crear, modificar y eliminar una función vinculada a un servicio.Para obtener más información sobre los roles vinculados a servicios, consulte Uso de roles vinculados aservicios para Amazon Inspector (p. 12) y Uso de roles vinculados a servicios.
Para que el rol vinculado al servicio AWSServiceRoleForAmazonInspector se cree correctamente,la identidad de IAM (usuario, rol o grupo) con la que usa Amazon Inspector debe tener lospermisos necesarios. Para conceder los permisos necesarios, asocie la política administradaAmazonInspectorFullAccess a este usuario, grupo o rol de IAM. Para obtener más información, consultePolíticas administradas (predefinidas) de AWS para Amazon Inspector (p. 76).
El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea automáticamente. En lassiguientes secciones se describen los detalles de la generación automática y el uso del rol vinculadoal servicio AWSServiceRoleForAmazonInspector cuando empieza a utilizar Amazon Inspector porprimera vez o cuando ya tiene Amazon Inspector ejecutándose en su cuenta de AWS.
Si es la primera vez que utiliza Amazon Inspector• El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea automáticamente cuando
avanza por el asistente Get Started with Amazon Inspector en la consola o cuando ejecuta la operaciónAPI CreateAssessmentTarget.
• El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea para su cuenta de AWSsolo en la región a la que está conectado actualmente. Concede a Amazon Inspector acceso a losrecursos de su cuenta de AWS solo en esta región. Si después utiliza la misma cuenta de AWS paracompletar el asistente de la consola Get Started with Amazon Inspector o ejecutar la operación APICreateAssessmentTarget en otras regiones, el mismo rol vinculado al servicio que se ha creado en sucuenta de AWS se aplica a estas otras regiones y concede a Amazon Inspector acceso a los recursos desu cuenta de AWS en estas otras regiones.
Si ya tiene Amazon Inspector ejecutándose en sucuenta de AWS• Si ya tiene Amazon Inspector ejecutándose en su cuenta de AWS, el rol de IAM que concede a Amazon
Inspector acceso a los recursos ya existe en su cuenta de AWS. En este caso, el rol vinculado al servicioAWSServiceRoleForAmazonInspector se crea automáticamente cuando crea un nuevo destinode evaluación o una nueva plantilla de evaluación (a través de la consola de Amazon Inspector uoperaciones API). Este rol vinculado al servicio recién creado sustituye al rol de IAM creado previamenteque hasta ahora concedía a Amazon Inspector acceso a los recursos.
También puede crear el rol vinculado al servicio AWSServiceRoleForAmazonInspectormanualmente eligiendo el enlace Manage Amazon Inspector service-linked role de la sección AccountsSetting en la página Dashboard de Inspector. Este rol vinculado al servicio recién creado sustituye al rolde IAM creado previamente que hasta ahora concedía a Amazon Inspector acceso a los recursos.
Note
Este rol de IAM creado anteriormente no se elimina. Sigue intacto, pero ya no se utiliza paraconceder a Amazon Inspector acceso a los recursos. Puede utilizar la consola de IAM paraadministrar o eliminar este rol de IAM.
• El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea para su cuenta de AWSsolo en la región a la que está conectado actualmente. Concede a Amazon Inspector acceso a losrecursos de su cuenta de AWS solo en esta región. Si después utiliza la misma cuenta de AWS paracrear un nuevo destino de evaluación o una nueva plantilla de evaluación para el servicio AmazonInspector que se ejecuta en otras regiones, el mismo rol vinculado al servicio que se ha creado en su
Version Última versión de11
Amazon Inspector Guía del usuarioUso de roles vinculados a servicios
cuenta de AWS se aplica a estas otras regiones y concede a Amazon Inspector acceso a los recursos desu cuenta de AWS en estas otras regiones.
Para eliminar el rol vinculado al servicio AWSServiceRoleForAmazonInspector, primero debe eliminarlos destinos de evaluación para esta cuenta de AWS en todas las regiones donde se ejecute AmazonInspector. Puede eliminar el rol vinculado al servicio AWSServiceRoleForAmazonInspector a travésde la consola de IAM. Para obtener más información, consulte Uso de roles vinculados a servicios.
Uso de roles vinculados a servicios para AmazonInspector
Amazon Inspector usa roles vinculados al servicio de AWS Identity and Access Management (IAM). Unrol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AmazonInspector. Los roles vinculados a servicios están predefinidos por Amazon Inspector e incluyen todos lospermisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Amazon Inspector porque ya no tendráque añadir manualmente los permisos necesarios. Amazon Inspector define los permisos de sus rolesvinculados a servicios y, a menos que esté definido de otra manera, solo Amazon Inspector puede asumirsus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política depermisos no se puede asociar a ninguna otra entidad de IAM.
Puede eliminar un rol vinculado al servicio solo después de eliminar los destinos de evaluación para unacuenta de AWS en todas las regiones donde ejecuta Amazon Inspector.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Serviciosde AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado aservicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado alservicio en cuestión.
Para obtener más información, consulte Creación automática de un rol vinculado al servicio para concedera Amazon Inspector acceso a su cuenta de AWS (p. 10).
Permisos de roles vinculados a servicios para AmazonInspectorAmazon Inspector usa el rol vinculado al servicio llamado AWSServiceRoleForAmazonInspector.
La función vinculada al servicio AWSServiceRoleForAmazonInspector confía en los siguientes serviciospara asumir la función:
• Amazon Inspector
La política de permisos del rol permite que Amazon Inspector realice las siguientes acciones en losrecursos especificados:
• Acción: iam:CreateServiceLinkedRole en arn:aws:iam::*:role/aws-service-role/inspector.amazonaws.com/AWSServiceRoleForAmazonInspector
Para que el rol vinculado al servicio AWSServiceRoleForAmazonInspector se cree correctamente,la identidad de IAM (usuario, rol o grupo) con la que usa Amazon Inspector debe tener lospermisos necesarios. Para conceder los permisos necesarios, asocie la política administrada
Version Última versión de12
Amazon Inspector Guía del usuarioCreación de un rol vinculado a unservicio para Amazon Inspector
AmazonInspectorFullAccess a este usuario, grupo o rol de IAM. Para obtener más información, consultePolíticas administradas (predefinidas) de AWS para Amazon Inspector (p. 76).
Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario deIAM.
Creación de un rol vinculado a un servicio paraAmazon InspectorNo necesita crear manualmente el rol vinculado al servicio AWSServiceRoleForAmazonInspector.
El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea automáticamente. En lassiguientes secciones se describen los detalles de la generación automática y el uso del rol vinculadoal servicio AWSServiceRoleForAmazonInspector cuando empieza a utilizar Amazon Inspector porprimera vez o cuando ya tiene Amazon Inspector ejecutándose en su cuenta de AWS.
Si es la primera vez que utiliza Amazon Inspector• El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea automáticamente cuando
avanza por el asistente Get Started with Amazon Inspector en la consola o cuando ejecuta la operaciónAPI CreateAssessmentTarget.
• El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea para su cuenta de AWSsolo en la región a la que está conectado actualmente. Concede a Amazon Inspector acceso a losrecursos de su cuenta de AWS solo en esta región. Si después utiliza la misma cuenta de AWS paracompletar el asistente de la consola Get Started with Amazon Inspector o ejecutar la operación APICreateAssessmentTarget en otras regiones, el mismo rol vinculado al servicio que se ha creado en sucuenta de AWS se aplica a estas otras regiones y concede a Amazon Inspector acceso a los recursos desu cuenta de AWS en estas otras regiones.
Si ya tiene Amazon Inspector ejecutándose en su cuenta de AWS• Si ya tiene Amazon Inspector ejecutándose en su cuenta de AWS, el rol de IAM que concede a Amazon
Inspector acceso a los recursos ya existe en su cuenta de AWS. En este caso, el rol vinculado al servicioAWSServiceRoleForAmazonInspector se crea automáticamente cuando crea un nuevo destinode evaluación o una nueva plantilla de evaluación (a través de la consola de Amazon Inspector uoperaciones API). Este rol vinculado al servicio recién creado sustituye al rol de IAM creado previamenteque hasta ahora concedía a Amazon Inspector acceso a los recursos.
También puede crear el rol vinculado al servicio AWSServiceRoleForAmazonInspectormanualmente eligiendo el enlace Manage Amazon Inspector service-linked role de la sección AccountsSetting en la página Dashboard de Inspector. Este rol vinculado al servicio recién creado sustituye al rolde IAM creado previamente que hasta ahora concedía a Amazon Inspector acceso a los recursos.
Note
Este rol de IAM creado anteriormente no se elimina. Sigue intacto, pero ya no se utiliza paraconceder a Amazon Inspector acceso a los recursos. Puede utilizar la consola de IAM paraadministrar o eliminar este rol de IAM.
• El rol vinculado al servicio AWSServiceRoleForAmazonInspector se crea para su cuenta de AWSsolo en la región a la que está conectado actualmente. Concede a Amazon Inspector acceso a losrecursos de su cuenta de AWS solo en esta región. Si después utiliza la misma cuenta de AWS paracrear un nuevo destino de evaluación o una nueva plantilla de evaluación para el servicio AmazonInspector que se ejecuta en otras regiones, el mismo rol vinculado al servicio que se ha creado en sucuenta de AWS se aplica a estas otras regiones y concede a Amazon Inspector acceso a los recursos desu cuenta de AWS en estas otras regiones.
Version Última versión de13
Amazon Inspector Guía del usuarioEdición de un rol vinculado a unservicio para Amazon Inspector
También puede utilizar la consola de IAM para crear un rol vinculado al servicio con el caso de usoInspector. En la CLI de IAM o la API de IAM, cree un rol vinculado al servicio con el nombre de servicioAmazon Inspector. Para obtener más información, consulte Crear un rol vinculado a un servicio en laGuía del usuario de IAM.
Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso paravolver a crear el rol en su cuenta. Cuando Get started with Amazon Inspector again, el rol vinculado alservicio se crea nuevamente de forma automática.
Edición de un rol vinculado a un servicio para AmazonInspectorAmazon Inspector no le permite editar el rol vinculado al servicio AWSServiceRoleForAmazonInspector.Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidadespueden hacer referencia al mismo. Sin embargo, puede editar la descripción de la función utilizando IAM.Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio paraAmazon InspectorSi ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, lerecomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoriceni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes deeliminarlo manualmente.
Note
Si el servicio Amazon Inspector está utilizando el rol cuando intenta eliminar los recursos, laeliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo laoperación.
Para eliminar los recursos de Amazon Inspector utilizados porAWSServiceRoleForAmazonInspector
• Elimine los destinos de evaluación para esta cuenta de AWS en todas las regiones en las que ejecutaAmazon Inspector. Para obtener más información, consulte Objetivos de evaluación de AmazonInspector (p. 37).
Para eliminar manualmente el rol vínculo al servicio mediante IAM
Use la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al servicioAWSServiceRoleForAmazonInspector. Para obtener más información, consulte Deleting a Service-LinkedRole en la Guía del usuario de IAM.
Version Última versión de14
Amazon Inspector Guía del usuarioConfiguración de Amazon Inspector
Guía de inicio rápido de AmazonInspector: Red Hat Enterprise Linux
Antes de seguir las instrucciones de esta guía, le recomendamos que se familiarice con los Terminología yconceptos de Amazon Inspector (p. 3).
Esta guía está diseñada para principiantes en el uso del sistema, e incluye todas las tareas, también lastareas de requisitos previos, para la creación de un objetivo de evaluación, una plantilla de evaluación yuna ejecución de evaluación.
Esta guía está diseñada para demostrar cómo utilizar Amazon Inspector para analizar el comportamientode las instancias EC2 que ejecutan el sistema operativo Red Hat Enterprise Linux 7.4.
• Configuración de Amazon Inspector (p. 15). Esta es la experiencia del primer uso, incluida lafinalización de todas las tareas de requisitos previos mediante la consola de Amazon Inspector.
• Preparación del objetivo de evaluación para la ejecución de evaluación (p. 16)• Creación de un objetivo de evaluación (p. 16)• Crear y ejecutar una plantilla de evaluación (p. 16)• Localizar y analizar los hallazgos generados (p. 17)• Aplicar la solución recomendada a su objetivo de evaluación (p. 18)
Configuración de Amazon Inspector1. Sign in to the Consola de administración de AWS and open the Amazon Inspector console at https://
console.aws.amazon.com/inspector/.2. Elija Get started para lanzar el asistente de Get started y en la página Step 1: Prerequisites, haga lo
siguiente:
a. Etiquete las EC2 instances que quiera incluir en su objetivo de evaluación de Amazon Inspector.
En esta guía, cree una EC2 instance que ejecute Red Hat Enterprise Linux 7.4 y etiquétela con laclave Name (Nombre) y el valor InspectorEC2InstanceLinux.
Note
Para obtener más información sobre el etiquetado de instancias EC2, consulte Recursosy etiquetas.
b. Instale el agente de Amazon Inspector en su instancia EC2 etiquetada.
Note
Puede instalar el agente de Amazon Inspector en varias instancias (tanto en equiposbasados en Linux como en Windows con el mismo comando) a la vez mediante SystemsManager Run Command. Para instalar el agente en todas las instancias en el objetivode evaluación, puede especificar las mismas etiquetas utilizadas para crear el objetivode evaluación. También puede instalar el agente de Amazon Inspector en su instancia
Version Última versión de15
Amazon Inspector Guía del usuarioPreparación del objetivo de evaluación
para la ejecución de evaluación
EC2 manualmente. Para obtener más información, consulte Instalación de los agentesde Amazon Inspector (p. 25).
c. Seleccione Next.
Note
En este punto, se crea un rol vinculado al servicio llamadoAWSServiceRoleForAmazonInspector para conceder a Amazon Inspector acceso a losrecursos. Para obtener más información, consulte Creación automática de un rol vinculado alservicio para conceder a Amazon Inspector acceso a su cuenta de AWS (p. 10).
Preparación del objetivo de evaluación para laejecución de evaluación
En esta guía, modificará su objetivo de evaluación para exponerlo al problema potencial de seguridadCVE-2018-5732. Para obtener más información, consulte https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5732. También puede consultar Vulnerabilidades y exposiciones comunes (p. 51)para obtener más información.
Conéctese a la instancia InspectorEC2InstanceLinux que ha creado en la sección anterior y ejecuteel siguiente comando:
sudo yum install dhclient-4.2.5-58.el7.x86_64
Creación de un objetivo de evaluaciónEn la página Amazon Inspector - Assessment Targets , elija Create y a continuación, haga lo siguiente:
1. En Name, escriba el nombre para el objetivo de evaluación.
Para los objetivos de esta guía, escriba MyTargetLinux.2. Use los campos Tags Key y Value para escribir el nombre y los pares clave-valor y seleccionar así las
instancias EC2 que quiera incluir en este objetivo de evaluación.
Para usar en esta guía la instancia EC2 que ha creado en el paso anterior, escriba Name en el campoKey y InspectorEC2InstanceLinux en el campo Value. A continuación, elija Save.
Crear y ejecutar una plantilla de evaluaciónEn la página Amazon Inspector - Assessment Templates , elija Create y a continuación, haga lo siguiente:
1. En Name, escriba el nombre para la plantilla de evaluación. Para los objetivos de esta guía, escribaMyFirstTemplateLinux.
2. Para Target name, elija el objetivo de evaluación que ha creado anteriormente: MyTargetLinux.3. En Rules packages, use el menú desplegable para seleccionar los paquetes de reglas que quiera usar
en esta plantilla de evaluación.
Para los objetivos de esta guía, elija Common Vulnerabilities and Exposures-1.1.
Version Última versión de16
Amazon Inspector Guía del usuarioLocalizar y analizar los hallazgos generados
4. En Duration, especifique la duración de la plantilla de evaluación.
En este tutorial, seleccione 15 minutes.5. Elija Create and run.
Localizar y analizar los hallazgos generadosCuando se completa una ejecución de evaluación, se produce un conjunto de hallazgos o posiblesproblemas de seguridad que ha detectado Amazon Inspector en su objetivo de evaluación. Puede revisarlos resultados y seguir los pasos recomendados para resolver los posibles problemas de seguridad.
En esta guía, si completa los pasos anteriores, su ejecución de evaluación producirá un hallazgo relativo ala vulnerabilidad común CVE-2018-5732.
1. Vaya a la página Amazon Inspector - Assessment Runs en la consola de Amazon Inspector y verifiquesi el estado de ejecución de la plantilla de evaluación llamada MyFirstTemplateLinux que ha creadoen el paso anterior está configurado como Collecting data. Esto indica que la ejecución de evaluaciónestá en curso, y que los datos de la telemetría de su objetivo se están recopilando y analizando conlos paquetes de reglas seleccionados.
2. No puede ver el los datos generados por la ejecución de evaluación mientras esté en curso. Permitaque la ejecución de evaluación complete toda su duración. Sin embargo, para los objetivos de estaguía, puede detener la ejecución transcurridos varios minutos.
Tenga en cuenta que el estado de MyFirstTemplateLinux cambia primero a Stopping, después deunos minutos a Analyzing, y finalmente a Analysis complete. Para ver este cambio de estado, puedeseleccionar el icono Refresh.
3. En la consola de Amazon Inspector, vaya a la página Amazon Inspector - Findings.
Podrá ver un nuevo hallazgo de gravedad alta con esta descripción: "La instanciaInspectorEC2InstanceLinux es vulnerable a CVE-2018-5732".
Note
Si no se muestra el nuevo hallazgo, seleccione el icono Refresh.
Para ampliar la vista y ver los detalles de este hallazgo, seleccione la flecha que aparece a laizquierda del hallazgo. Los detalles del hallazgo incluyen la siguiente información:
• El ARN del hallazgo• El nombre de la ejecución de evaluación que ha ocasionado este hallazgo• El nombre del objetivo de evaluación que ha ocasionado este hallazgo• El nombre de la plantilla de evaluación que ha ocasionado este hallazgo• La hora de inicio de la ejecución de evaluación• La hora de finalización de la ejecución de evaluación• El estado de la ejecución de evaluación• El nombre del paquete de reglas que incluye la regla que produjo este hallazgo• El ID del agente de Amazon Inspector• El nombre del hallazgo• La gravedad del hallazgo• La descripción del hallazgo• Los pasos recomendados que puede seguir para solucionar el problema de seguridad potencial
descrito por el hallazgoVersion Última versión de
17
Amazon Inspector Guía del usuarioAplicar la solución recomendada a su objetivo de evaluación
Aplicar la solución recomendada a su objetivo deevaluación
En esta guía, ha modificado su objetivo de evaluación para exponerlo al problema potencial de seguridadCVE-2018-5732. En este procedimiento, puede aplicar la solución recomendada a este problema.
1. Conéctese a la instancia InspectorEC2InstanceLinux que ha creado en la sección anterior yejecute el siguiente comando:
sudo yum update dhclient
2. En la página Amazon Inspector - Assessment Templates, seleccione MyFirstTemplateLinux, y luegoelija Run para iniciar una nueva ejecución de evaluación con esta plantilla.
3. Siga los pasos en Localizar y analizar los hallazgos generados (p. 17) para ver los hallazgos deesta ejecución posterior de la plantilla MyFirstTemplateLinux.
Dado que ha resuelto el problema de seguridad detectado, CVE-2018-5732, ya no verá ningúnhallazgo en el que se destaque.
Version Última versión de18
Amazon Inspector Guía del usuarioConfiguración de Amazon Inspector
Guía de inicio rápido de AmazonInspector: Ubuntu Server
Antes de seguir las instrucciones de esta guía, le recomendamos que se familiarice con los Terminología yconceptos de Amazon Inspector (p. 3).
Esta guía está diseñada para principiantes en el uso del sistema, e incluye todas las tareas, también lastareas de requisitos previos, para la creación de un objetivo de evaluación, una plantilla de evaluación yuna ejecución de evaluación.
Esta guía está diseñada para demostrar cómo usar Amazon Inspector para analizar el comportamiento delas instancias EC2 que se ejecutan en el sistema operativo Ubuntu Server 16.04 LTS.
• Configuración de Amazon Inspector (p. 15). Esta es la experiencia del primer uso, incluida la finalizaciónde todas las tareas de requisitos previos mediante la consola de Amazon Inspector.
• Preparación del objetivo de evaluación para la ejecución de evaluación (p. 20)• Creación de un objetivo de evaluación (p. 20)• Crear y ejecutar una plantilla de evaluación (p. 20)• Localizar y analizar los hallazgos generados (p. 21)• Aplicar la solución recomendada a su objetivo de evaluación (p. 22)
Configuración de Amazon Inspector1. Sign in to the Consola de administración de AWS and open the Amazon Inspector console at https://
console.aws.amazon.com/inspector/.2. Elija Get started para lanzar el asistente de Get started y en la página Step 1: Prerequisites, haga lo
siguiente:
a. Etiquete las EC2 instances que quiera incluir en su objetivo de evaluación de Amazon Inspector.
Para esta guía es necesario crear una EC2 instance que ejecute Ubuntu Server 16.04 LTS yetiquetarla con la clave Name y el valor InspectorEC2InstanceUbuntu.
Note
Para obtener más información sobre el etiquetado de instancias EC2, consulte Recursosy etiquetas.
b. Instale el agente de Amazon Inspector en su instancia EC2 etiquetada.
Note
Puede instalar el agente de Amazon Inspector en varias instancias (tanto en equiposbasados en Linux como en Windows con el mismo comando) a la vez mediante SystemsManager Run Command. Para instalar el agente en todas las instancias en el objetivode evaluación, puede especificar las mismas etiquetas utilizadas para crear el objetivode evaluación. También puede instalar el agente de Amazon Inspector en su instancia
Version Última versión de19
Amazon Inspector Guía del usuarioPreparación del objetivo de evaluación
para la ejecución de evaluación
EC2 manualmente. Para obtener más información, consulte Instalación de los agentesde Amazon Inspector (p. 25).
c. Seleccione Next.
Note
En este punto, se crea un rol vinculado al servicio llamadoAWSServiceRoleForAmazonInspector para conceder a Amazon Inspector acceso a losrecursos. Para obtener más información, consulte Creación automática de un rol vinculado alservicio para conceder a Amazon Inspector acceso a su cuenta de AWS (p. 10).
Preparación del objetivo de evaluación para laejecución de evaluación
En esta guía, modificará su objetivo de evaluación para exponerlo al problema potencial de seguridadCVE-2017-6507. Para obtener más información, consulte https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6507. También puede consultar Vulnerabilidades y exposiciones comunes (p. 51)para obtener más información.
Conéctese a la instancia InspectorEC2InstanceUbuntu que ha creado en la sección anterior y ejecuteel siguiente comando:
sudo apt-get install apparmor=2.10.95-0ubuntu2.5
Creación de un objetivo de evaluaciónEn la página Amazon Inspector - Assessment Targets , elija Create y a continuación, haga lo siguiente:
1. En Name, escriba el nombre para el objetivo de evaluación.
Para esta guía, escriba MyTargetUbuntu.2. Use los campos Tags Key y Value para escribir el nombre y los pares clave-valor y seleccionar así las
instancias EC2 que quiera incluir en este objetivo de evaluación.
Para usar en esta guía la instancia EC2 que ha creado en el paso anterior, escriba Name en el campoKey y InspectorEC2InstanceUbuntu en el campo Value, y a continuación elija Save.
Crear y ejecutar una plantilla de evaluaciónEn la página Amazon Inspector - Assessment Templates , elija Create y a continuación, haga lo siguiente:
1. En Name, escriba el nombre para la plantilla de evaluación. Para los objetivos de esta guía, escribaMyFirstTemplateUbuntu.
2. Para Target name, elija el objetivo de evaluación que ha creado anteriormente: MyTargetUbuntu.3. En Rules packages, use el menú desplegable para seleccionar los paquetes de reglas que quiera usar
en esta plantilla de evaluación.
Para los objetivos de esta guía, elija Common Vulnerabilities and Exposures-1.1.
Version Última versión de20
Amazon Inspector Guía del usuarioLocalizar y analizar los hallazgos generados
4. En Duration, especifique la duración de la plantilla de evaluación.
En este tutorial, seleccione 15 minutes.5. Elija Create and run.
Localizar y analizar los hallazgos generadosCuando se completa una ejecución de evaluación, se produce un conjunto de hallazgos o posiblesproblemas de seguridad que ha detectado Amazon Inspector en su objetivo de evaluación. Puede revisarlos resultados y seguir los pasos recomendados para resolver los posibles problemas de seguridad.
En esta guía, si completa los pasos anteriores, su ejecución de evaluación producirá un hallazgo relativo ala vulnerabilidad común CVE-2017-6507.
1. Vaya a la página Amazon Inspector - Assessment Runs en la consola de Amazon Inspector y verifiquesi el estado de ejecución de la plantilla de evaluación llamada MyFirstTemplateUbuntu que ha creadoen el paso anterior está configurado como Collecting data. Esto indica que la ejecución de evaluaciónestá en curso, y que los datos de la telemetría de su objetivo se están recopilando y analizando conlos paquetes de reglas seleccionados.
2. No puede ver el los datos generados por la ejecución de evaluación mientras esté en curso. Permitaque la ejecución de evaluación complete toda su duración.
Tenga en cuenta que el estado de MyFirstTemplateUbuntu cambia primero a Stopping, después deunos minutos a Analyzing, y finalmente a Analysis complete. Para ver este cambio de estado, puedeseleccionar el icono Refresh.
3. En la consola de Amazon Inspector, vaya a la página Amazon Inspector - Findings.
Podrá ver un nuevo hallazgo de gravedad alta con esta descripción: "La instanciaInspectorEC2InstanceLinux es vulnerable a CVE-2017-6507".
Note
Si no se muestra el nuevo hallazgo, seleccione el icono Refresh.
Para ampliar la vista y ver los detalles de este hallazgo, seleccione la flecha que aparece a laizquierda del hallazgo. Los detalles del hallazgo incluyen la siguiente información:
• El ARN del hallazgo• El nombre de la ejecución de evaluación que ha ocasionado este hallazgo• El nombre del objetivo de evaluación que ha ocasionado este hallazgo• El nombre de la plantilla de evaluación que ha ocasionado este hallazgo• La hora de inicio de la ejecución de evaluación• La hora de finalización de la ejecución de evaluación• El estado de la ejecución de evaluación• El nombre del paquete de reglas que incluye la regla que produjo este hallazgo• El ID del agente de Amazon Inspector• El nombre del hallazgo• La gravedad del hallazgo• La descripción del hallazgo• Los pasos recomendados que puede seguir para solucionar el problema de seguridad potencial
descrito por el hallazgo Version Última versión de21
Amazon Inspector Guía del usuarioAplicar la solución recomendada a su objetivo de evaluación
Aplicar la solución recomendada a su objetivo deevaluación
En esta guía, ha modificado su objetivo de evaluación para exponerlo al problema potencial de seguridadCVE-2017-6507. En este procedimiento, puede aplicar la solución recomendada a este problema.
1. Conéctese a la instancia InspectorEC2InstanceLinux que ha creado en la sección anterior yejecute el siguiente comando:
sudo apt-get install apparmor=2.10.95-0ubuntu2.6
2. En la página Amazon Inspector - Assessment Templates, seleccione MyFirstTemplateUbuntu, y luegoelija Run para iniciar una nueva ejecución de evaluación con esta plantilla.
3. Siga los pasos en Localizar y analizar los hallazgos generados (p. 21) para ver los hallazgos deesta ejecución posterior de la plantilla MyFirstTemplateUbuntu.
Dado que ha resuelto el problema de seguridad detectado, CVE-2017-6507, ya no verá ningúnhallazgo en el que se destaque.
Version Última versión de22
Amazon Inspector Guía del usuarioPrivilegios de agentes de Amazon Inspector
Agentes de Amazon InspectorPara evaluar la seguridad de las instancias EC2 que componen sus objetivos de evaluación de AmazonInspector debe instalar el agente de Amazon Inspector en cada una de ellas. El agente monitoriza elcomportamiento de la EC2 instance (incluido el de red, el del sistema de archivos y la actividad deprocesos) en la que está instalado, recopila datos de configuración y comportamiento (telemetría) y, acontinuación, envía los datos al servicio de Amazon Inspector.
Para obtener más información sobre cómo instalar, desinstalar y volver a instalar el agente de AmazonInspector, cómo verificar si el agente instalado está en ejecución y cómo configurar el soporte del proxypara los agentes de Amazon Inspector, consulte Trabajar con agentes de Amazon Inspector en sistemasoperativos basados en Linux (p. 28) y Trabajar con agentes de Amazon Inspector en sistemasoperativos basados en Windows (p. 30).
Temas• Privilegios de agentes de Amazon Inspector (p. 23)• Seguridad de la red y del agente de Amazon Inspector (p. 24)• Actualizaciones del agente de Amazon Inspector (p. 24)• Ciclo de vida de los datos de telemetría (p. 25)• Control de acceso desde Amazon Inspector a las cuentas de AWS (p. 25)• Límites del agente de Amazon Inspector (p. 25)• Licencias públicas del agente de Amazon Inspector (p. 25)• Instalación de los agentes de Amazon Inspector (p. 25)• Trabajar con agentes de Amazon Inspector en sistemas operativos basados en Linux (p. 28)• Trabajar con agentes de Amazon Inspector en sistemas operativos basados en Windows (p. 30)• (Opcional) Verificar la firma del script de instalación del agente de Amazon Inspector en los sistemas
operativos basados en Linux (p. 33)• (Opcional) Verificar la firma del script de instalación del agente de Amazon Inspector en los sistemas
operativos basados en Windows (p. 36)
Privilegios de agentes de Amazon InspectorSe necesitan permisos administrativos o raíz para instalar el agente de Amazon Inspector. En los sistemasoperativos compatibles basados en Linux, el agente de Amazon Inspector se compone de un ejecutablepara el modo usuario que funciona con acceso raíz y de un módulo del kernel necesario para su operación.En los sistemas operativos compatibles basados en Windows, el agente se compone de un servicioactualizador y un servicio agente, cada uno de los cuales se ejecuta en modo de usuario con privilegiosLocalSystem y de un controlador del modo del kernel necesario para su operación.
Important
La siguiente lista contiene todas las versiones del kernel compatibles con el agente de AmazonInspector que se ejecuta en Linux, Ubuntu, Red Hat Enterprise Linux y CentOS: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/supported_versions.json.Puede ejecutar correctamente una evaluación de Amazon Inspector de una instancia EC2 con unsistema operativo Linux mediante los paquetes de reglas de CVE, CIS o Security Best Practicesaunque la instancia no tenga una versión del kernel incluida en esta lista.Para ejecutar correctamente una evaluación de Amazon Inspector de una instancia EC2 con unsistema operativo basado en Linux mediante el paquete de reglas Análisis del comportamientodel tiempo de ejecución (p. 56), la instancia debe tener una versión del kernel incluida en
Version Última versión de23
Amazon Inspector Guía del usuarioSeguridad de la red y del agente de Amazon Inspector
esta lista. Si la instancia tiene una versión del kernel que no es compatible con el agente deAmazon Inspector, el paquete de reglas Runtime Behavior Analysis que evalúa esa instancia EC2producirá un único resultado en el que se informa de que la versión del kernel de la instancia EC2no es compatible.
Seguridad de la red y del agente de AmazonInspector
Todas las comunicaciones entre el agente de Amazon Inspector y Amazon Inspector las inicia el agentede Amazon Inspector. Por tanto, el agente debe tener una ruta de red de salida al punto de enlace públicopara enviar datos de telemetría desde el agente de Amazon Inspector (arsenal.<region>.amazonaws.com)y servicios de Amazon S3 (s3.dualstack.aws-region.amazonaws.com). (Asegúrese de reemplazar <region> por la región de AWS real en la que se ejecuta Amazon Inspector). Para obtener más información,consulte la sección Rangos de direcciones IP de AWS. Además, como todas las conexiones del agentese establecen de salida, no es necesario abrir los puertos en los grupos de seguridad para permitir lacomunicación entrante hacia el agente desde Amazon Inspector.
El agente de Amazon Inspector se comunica periódicamente con Amazon Inspector a través de un canalprotegido por TLS que está autenticado con la AWS Identity asociada al rol de la instancia EC2, si lo hay,o con el documento de metadatos de la instancia si no hay ningún rol asignado a la instancia. Tras laautenticación, el agente de latido envía mensajes de pulsación al servicio y recibe instrucciones desdeel mismo en respuesta. Si se ha programado una evaluación, el agente recibe las instrucciones de dichaevaluación. Estas instrucciones son archivos JSON estructurados y comunican al agente si debe habilitaro deshabilitar sensores preconfiguradas específicos en el agente. Cada acción de las instrucciones estápredefinida en el propio agente y no se pueden ejecutar instrucciones arbitrarias.
Durante una evaluación, el agente recopila datos de telemetría desde el sistema para enviarlos de vuelta aAmazon Inspector a través de un canal protegido por TLS. El agente no realiza cambios en el sistema delque recopila los datos. Una vez recopilados, el agente envía los datos de telemetría a Amazon Inspectorpara su procesamiento. El agente no es capaz de recopilar ni transmitir ningún otro dato sobre el sistemao los objetivos de evaluación que está evaluando, aparte de la telemetría de datos que genera. En laactualidad, no se ha expuesto ningún método para interceptar y examinar los datos de telemetría en elagente.
Actualizaciones del agente de Amazon InspectorA medida que las actualizaciones del agente de Amazon Inspector están disponibles, se descargan yaplican automáticamente desde Amazon S3. Esto también actualizará las dependencias requeridas.La característica de actualización automática elimina la necesidad de hacer un seguimiento y unmantenimiento manual del control de las versiones de los agentes instalados en las instancias EC2.Todas las actualizaciones están sujetas a los procesos de control de cambios auditados de Amazonpara garantizar el cumplimiento con las reglas de seguridad pertinentes. Para garantizar la seguridad delagente, toda la comunicación entre el agente y el sitio de publicación de actualizaciones automáticas (S3)se realiza mediante una conexión TLS, y el servidor está autenticado. Todos los binarios implicados en elproceso de actualización automática incluyen una firma digital verificada por el actualizador antes de lainstalación. El proceso de actualización automática se ejecuta solo durante los períodos en los que no serealizan evaluaciones, y tiene la capacidad de deshacer la actualización y volver a instalarla si se detectanerrores. Por último, el proceso de actualización del agente solo sirve para actualizar las capacidades delagente, y no se envía ninguna información específica desde el agente a Amazon Inspector como partedel flujo de trabajo de la actualización. La única información comunicada como parte del proceso deactualización es la telemetría básica sobre si la instalación se completa correctamente o no y, si procede,la información de diagnóstico de errores de actualización.
Version Última versión de24
Amazon Inspector Guía del usuarioCiclo de vida de los datos de telemetría
Ciclo de vida de los datos de telemetríaLos datos de telemetría generados por el agente de Amazon Inspector durante las ejecuciones deevaluación tienen un formato de archivos JSON y se entregan casi en tiempo real a través de TLS aAmazon Inspector, donde se cifran con una clave efímera derivada de KMS en cada evaluación y sealmacenan de forma segura en un bucket de S3 específico para Amazon Inspector. El motor de reglas deAmazon Inspector obtiene acceso a los datos de telemetría cifrados en el bucket de S3, los descifra en lamemoria y los procesa con las reglas de evaluación configuradas para generar los resultados. Los datosde telemetría almacenados en S3 se conservan exclusivamente para permitir la asistencia en el caso desolicitudes de soporte y no se emplean ni acumulan por parte de Amazon para ningún otro fin. Después de30 días, los datos de telemetría se borran de forma permanente, según una política sobre el ciclo de vidade los buckets de S3 específicos de Amazon Inspector. En la actualidad, Amazon Inspector no proporcionaningún mecanismo de acceso de la API ni del bucket de S3 a la telemetría recopilada.
Control de acceso desde Amazon Inspector a lascuentas de AWS
Amazon Inspector, al ser un servicio de seguridad, accede a sus cuentas y recursos de AWS solo cuandoes necesario para encontrar las instancias EC2 que debe evaluar, consultando las etiquetas. Esta funciónse realiza mediante un acceso IAM estándar desde el rol creado durante la configuración inicial del serviciode Amazon Inspector. Durante una evaluación, las comunicaciones con su entorno las inicia el agentede Amazon Inspector instalado localmente en las instancias EC2. Los objetos de servicio de AmazonInspector que se crean, como los objetivos de evaluación, las plantillas de evaluación y los resultadosgenerados por el servicio, se almacenan en una base de datos gestionada por Amazon Inspector y a laque solo puede acceder este.
Límites del agente de Amazon InspectorPara obtener información acerca de los límites de agentes de Amazon Inspector, consulte Límites deservicio de Amazon Inspector (p. 5).
Licencias públicas del agente de Amazon InspectorEl agente de Amazon Inspector utilizado junto con Amazon Inspector emplea un módulo del kernel(amznmon64) como componente. Este módulo del kernel utiliza una licencia pública general (GPLv2). Elcódigo fuente y la información de la licencia del módulo están disponibles para el público en general y sepuede obtener acceso a ellos en:
• Código fuente: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/AwsAgentKernelModule.tar.gz
• Archivo de firma: https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/AwsAgentKernelModule.tar.gz.sig
Instalación de los agentes de Amazon InspectorEl agente de Amazon Inspector se puede instalar con Systems Manager Run Command en variasinstancias (tanto instancias basadas en Linux y como en Windows) o individualmente al iniciar sesión encada instancia EC2. Los procedimientos siguientes ofrecen instrucciones para ambos métodos.
Version Última versión de25
Amazon Inspector Guía del usuarioAMI de Amazon Linux con el agente de Amazon Inspector
Temas• AMI de Amazon Linux con el agente de Amazon Inspector (p. 26)• Para instalar el agente de Amazon Inspector en varias instancias EC2 mediante Systems Manager Run
Command (p. 26)• Para instalar el agente de Amazon Inspector en una instancia EC2 basada en Linux (p. 27)• Para instalar el agente de Amazon Inspector en una instancia EC2 basada en Windows (p. 28)
Note
Los siguientes procedimientos resultan funcionales en todas las regiones compatibles conAmazon Inspector.
AMI de Amazon Linux con el agente de AmazonInspectorPara omitir la instalación manual del agente de Amazon Inspector en las instancias Amazon Linux EC2 quedesea incluir en los destinos de evaluación, puede usar Amazon Linux AMI with Amazon Inspector Agent.Esta AMI tiene el agente de Amazon Inspector preinstalado y no requiere pasos adicionales para instalaro configurar el agente. Para empezar a utilizar Amazon Inspector con estas instancias EC2, solo tieneque etiquetarlas de forma que coincidan con el destino de la evaluación. La configuración de AmazonLinux AMI with Amazon Inspector Agent mejora la seguridad al centrarse en dos objetivos de seguridadprincipales: limitar el acceso y reducir las vulnerabilidades del software.
Esta es la única AMI de instancias EC2 actualmente disponible con el agente de Amazon Inspectorpreinstalado. En el caso de las instancias EC2 que ejecutan Ubuntu Server o Windows Server, debe seguirlos pasos de instalación manual del agente de Amazon Inspector.
Amazon Linux AMI with Amazon Inspector Agent está disponible en la consola de EC2 y también en AWSMarketplace.
Para instalar el agente de Amazon Inspector en variasinstancias EC2 mediante Systems Manager RunCommandPuede instalar el agente de Amazon Inspector en las instancias EC2 mediante Systems Manager RunCommand. Esto le permite instalar el agente de forma remota y en varias instancias (tanto instanciasbasadas en Linux como en Windows con el mismo comando) a la vez.
Important
La instalación del agente mediante Systems Manager Run Command no se admite actualmentepara el sistema operativo Debian.
Important
Para utilizar esta opción, asegúrese de que la instancia EC2 tenga instalado el agente SSMy cuente con un rol de IAM que permita Run Command. El agente SSM se instala, de formapredeterminada, en instancias de Amazon EC2 Windows y Amazon Linux. Amazon EC2Systems Manager requiere un rol de IAM para instancias EC2 que procesará comandos y un rolindependiente para que los usuarios ejecuten comandos. Para obtener más información, consulteInstalling and Configuring SSM Agent y Configuring Security Roles for System Manager.
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
Version Última versión de26
Amazon Inspector Guía del usuarioPara instalar el agente de Amazon Inspector
en una instancia EC2 basada en Linux
2. En el panel de navegación, en Systems Manager Services, seleccione Run Command.3. Elija Run a command.4. Para Command document, elija el documento denominado
AmazonInspector-ManageAWSAgent propiedad de Amazon. Este documento contiene el script parainstalar el agente de Amazon Inspector en instancias EC2.
5. Especifique las instancias EC2 eligiendo la opción Specifying a Tag o Manually Selecting Instancesy seleccionando a continuación Select instances. Para instalar el agente en todas las instancias enel objetivo de evaluación, puede especificar las mismas etiquetas utilizadas para crear el objetivo deevaluación.
6. Proporcione valores para el resto de las opciones disponibles utilizando las instrucciones de ExecutingCommands from the EC2 Console y después seleccione Run.
Note
También puede instalar el agente de Amazon Inspector en varias instancias EC2 (basadasen Linux o en Windows) al crear un nuevo objetivo de evaluación o mediante el botón InstallAgents with Run Command (Instalar agentes con Run Command) para un objetivo existente. Paraobtener más información, consulte Crear un objetivo de evaluación (consola) (p. 38).
Para instalar el agente de Amazon Inspector en unainstancia EC2 basada en Linux1. Inicie sesión en la instancia EC2 con sistema operativo basado en Linux en la que desee instalar el
agente de Amazon Inspector.
Note
Para obtener más información acerca de los sistemas operativos compatibles con AmazonInspector, consulte Sistemas operativos y regiones compatibles con Amazon Inspector (p. 7).
2. Descargue el script de instalación del agente mediante la ejecución de uno de los comandossiguientes:
• wget https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install• curl -O https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install
3. (Opcional) Compruebe que el script de instalación del agente de Amazon Inspector no esté modificadoni dañado. Para obtener más información, consulte (Opcional) Verificar la firma del script deinstalación del agente de Amazon Inspector en los sistemas operativos basados en Linux (p. 33).
4. Para instalar el agente, ejecute sudo bash install.
Note
A medida que las actualizaciones del agente de Amazon Inspector estén disponibles, sedescargan y aplican automáticamente desde Amazon S3. Para obtener más información,consulte Actualizaciones del agente de Amazon Inspector (p. 24).Si desea omitir este proceso de actualización automática, asegúrese de ejecutar el siguientecomando al instalar el agente:sudo bash install -u false
Note
(Opcional) Para eliminar el script de instalación del agente, ejecute rm install .5. Verifique que estén instalados los siguientes archivos necesarios para que el agente se instale y
funcione correctamente:Version Última versión de
27
Amazon Inspector Guía del usuarioPara instalar el agente de Amazon Inspectoren una instancia EC2 basada en Windows
• libcurl4 (necesario para instalar el agente en Ubuntu 18.04)• libcurl3• libgcc1• libc6• libstdc++6• libssl1.0.1• libssl1.0.2 (necesario para instalar el agente en Debian 9)• libpcap0.8
Para instalar el agente de Amazon Inspector en unainstancia EC2 basada en Windows1. Inicie sesión en su instancia EC2 con sistema operativo basado en Windows en la que desee instalar
el agente de Amazon Inspector.
Note
Para obtener más información acerca de los sistemas operativos compatibles con AmazonInspector, consulte Sistemas operativos y regiones compatibles con Amazon Inspector (p. 7).
2. Descargue el siguiente archivo .exe: https://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/AWSAgentInstall.exe
3. Abra una ventana de símbolo del sistema (con permisos de administrador), diríjase a la ubicación en laque haya guardado el AWSAgentInstall.exe descargado y ejecute AWSAgentInstall.exe para instalar elagente de Amazon Inspector.
Note
A medida que las actualizaciones del agente de Amazon Inspector estén disponibles, sedescargan y aplican automáticamente desde Amazon S3. Para obtener más información,consulte Actualizaciones del agente de Amazon Inspector (p. 24).Si desea omitir el proceso de actualización automática, asegúrese de ejecutar este comandopara instalar el agente de Amazon Inspector.AWSAgentInstall.exe AUTOUPDATE=No
Trabajar con agentes de Amazon Inspector ensistemas operativos basados en Linux
Inicie sesión en su instancia EC2 que ejecute un sistema operativo basado en Linux y efectúe cualquierade los siguientes procedimientos. Para obtener más información acerca de los sistemas operativoscompatibles con Amazon Inspector, consulte Sistemas operativos y regiones compatibles con AmazonInspector (p. 7).
Note
Los siguientes comandos resultan funcionales en todas las regiones compatibles con AmazonInspector.
Temas• Para verificar que el agente de Amazon Inspector se está ejecutando (p. 29)
Version Última versión de28
Amazon Inspector Guía del usuarioPara verificar que el agente de
Amazon Inspector se está ejecutando
• Para detener el agente de Amazon Inspector (p. 29)• Para iniciar el agente de Amazon Inspector (p. 29)• Para configurar el soporte del proxy para los agentes de Amazon Inspector (p. 29)• Para desinstalar el agente de Amazon Inspector (p. 30)
Para verificar que el agente de Amazon Inspector seestá ejecutando• Para verificar que el agente de Amazon Inspector esté instalado y en ejecución, inicie sesión en su
EC2 instance y ejecute el siguiente comando:
sudo /opt/aws/awsagent/bin/awsagent status
Este comando devuelve el estado del agente en ejecución actualmente o un error que comunica queno se puede contactar con el agente.
Para detener el agente de Amazon Inspector• Para detener el agente, ejecute sudo /etc/init.d/awsagent stop
Para iniciar el agente de Amazon Inspector• Para iniciar el agente, ejecute sudo /etc/init.d/awsagent start
Para configurar el soporte del proxy para los agentesde Amazon InspectorEl soporte del proxy para agentes de Amazon Inspector en sistemas operativos basados en Linux seconsigue utilizando un archivo de configuración específico de agente de Amazon Inspector con unasdeterminadas variables de entorno. Para obtener más información, consulte https://wiki.archlinux.org/index.php/proxy_settings.
Complete uno de los siguientes procedimientos:
Para instalar un agente de Amazon Inspector en una instancia EC2 que use un servidor proxy
1. Cree un archivo denominado awsagent.env y guárdelo en el directorio /etc/init.d/.2. Edite awsagent.env para incluir estas variables de entorno en el siguiente formato:
• export https_proxy=nombre de host:puerto• export _proxy=http://nombre de host:puerto• export no_proxy=169.254.169.254
Note
Sustituya los valores de ejemplo anteriores únicamente por combinaciones válidas denombre de host y número de puerto. Debe especificar la dirección IP del punto de enlace demetadatos de la instancia (169.254.169.254) para la variable no_proxy.
Version Última versión de29
Amazon Inspector Guía del usuarioPara desinstalar el agente de Amazon Inspector
3. Instale el agente de Amazon Inspector completando los pasos que se indican en el procedimientoPara instalar el agente de Amazon Inspector en una instancia EC2 basada en Linux (p. 27).
Para configurar el soporte del proxy en una instancia EC2 con un agente de Amazon Inspector enejecución
1. Para configurar el soporte del proxy, la versión del agente de Amazon Inspector que se estéejecutando en su instancia EC2 debe ser 1.0.800.1 o superior. Si ha habilitado el proceso deactualización automática para el agente de Amazon Inspector, puede comprobar si la versión de suagente de Amazon Inspector es 1.0.800.1 o superior con el procedimiento Para verificar que el agentede Amazon Inspector se está ejecutando (p. 29). Si no ha habilitado el proceso de actualizaciónautomática para el agente de Amazon Inspector, debe volver a instalar el agente en la instancia EC2mediante el procedimiento Para instalar el agente de Amazon Inspector en una instancia EC2 basadaen Linux (p. 27).
2. Cree un archivo denominado awsagent.env y guárdelo en el directorio /etc/init.d/.3. Edite awsagent.env para incluir estas variables de entorno en el siguiente formato:
• export https_proxy=nombre de host:puerto• export _proxy=http://nombre de host:puerto• export no_proxy=169.254.169.254
Note
Sustituya los valores de ejemplo anteriores únicamente por combinaciones válidas denombre de host y número de puerto. Debe especificar la dirección IP del punto de enlace demetadatos de la instancia (169.254.169.254) para la variable no_proxy.
4. Reinicie el agente de Amazon Inspector. Para ello, deténgalo en primer lugar con sudo /etc/init.d/awsagent restart.
Tanto el agente de Amazon Inspector como el proceso de actualización automática seleccionan yutilizan la configuración del proxy.
Para desinstalar el agente de Amazon Inspector1. Inicie sesión en la instancia EC2 con sistema operativo basado en Linux en la que desee desinstalar el
agente de Amazon Inspector.Note
Para obtener más información acerca de los sistemas operativos compatibles con AmazonInspector, consulte Sistemas operativos y regiones compatibles con Amazon Inspector (p. 7).
2. Para desinstalar el agente, use uno de los siguientes comandos:
• En Amazon Linux, CentOS y Red Hat, ejecute sudo yum remove 'AwsAgent*'• En Ubuntu Server, ejecute sudo apt-get purge 'awsagent*'
Trabajar con agentes de Amazon Inspector ensistemas operativos basados en Windows
Inicie sesión en su instancia EC2 que ejecute un sistema operativo basado en Windows y efectúecualquiera de los siguientes procedimientos. Para obtener más información acerca de los sistemas
Version Última versión de30
Amazon Inspector Guía del usuarioPara detener o iniciar el agente de Amazon
Inspector o comprobar que el agentede Amazon Inspector está en ejecución
operativos compatibles con Amazon Inspector, consulte Sistemas operativos y regiones compatibles conAmazon Inspector (p. 7).
Note
Los siguientes comandos resultan funcionales en todas las regiones compatibles con AmazonInspector.
Temas• Para detener o iniciar el agente de Amazon Inspector o comprobar que el agente de Amazon Inspector
está en ejecución (p. 31)• Para modificar la configuración del agente de Amazon Inspector (p. 31)• Para configurar el soporte del proxy para los agentes de Amazon Inspector (p. 32)• Para desinstalar el agente de Amazon Inspector (p. 32)
Para detener o iniciar el agente de Amazon Inspectoro comprobar que el agente de Amazon Inspector estáen ejecución1. En la instancia EC2, seleccione Inicio, a continuación, Ejecutar y escriba services.msc.2. Si el agente se ejecuta correctamente, aparecerán dos servicios con el estado Iniciado o En ejecución
en la ventana de servicios: AWS Agent Service y AWS Agent Updater Service.3. Para iniciar el agente, haga clic con el botón derecho en AWS Agent Service y, a continuación,
seleccione Iniciar. En caso de que el servicio se haya iniciado correctamente, el estado cambia aIniciado o En ejecución.
4. Para detener el agente, haga clic con el botón derecho en AWS Agent Service y seleccione Detener.En caso de que el servicio se haya detenido correctamente, el estado se borra (aparece en blanco).No recomendamos detener AWS Agent Updater Service, ya que deshabilitará la instalación de lasfuturas mejoras y correcciones en el agente de Amazon Inspector.
5. Para verificar que el agente de Amazon Inspector está instalado y en ejecución, inicie sesión en suEC2 instance, abra un símbolo del sistema con permisos de administrador, vaya a C:/Program Files/Amazon Web Services/AWS Agent y ejecute el siguiente comando:
AWSAgentStatus.exe
Este comando devuelve el estado del agente en ejecución actualmente o un error que comunica queno se puede contactar con el agente.
Para modificar la configuración del agente de AmazonInspectorUna vez el agente de Amazon Inspector esté instalado y en ejecución en su EC2 instance, puede modificarla configuración en el archivo agent.cfg para alterar el comportamiento del agente. El archivo agent.cfgestá en el directorio /opt/aws/awsagent/etc en los sistemas operativos basados en Linux y en el directorioC:\ProgramData\Amazon Web Services\AWS Agent en los sistemas operativos basados en Windows.Después de modificar y guardar el archivo agent.cfg, debe detener e iniciar el agente para que se apliquenlos cambios.
Important
Se recomienda encarecidamente modificar el archivo agent.cfg solo siguiendo las instrucciones deAWS Support.
Version Última versión de31
Amazon Inspector Guía del usuarioPara configurar el soporte del proxy
para los agentes de Amazon Inspector
Para configurar el soporte del proxy para los agentesde Amazon InspectorEl soporte del proxy para los agentes de Amazon Inspector se consigue mediante el uso delproxy WinHTTP. Para configurar el proxy WinHTTP con la utilidad netsh, consulte: https://technet.microsoft.com/en-us/library/cc731131%28v=ws.10%29.aspx.
Complete uno de los siguientes procedimientos:
Para instalar un agente de Amazon Inspector en una instancia EC2 que use un servidor proxy
1. Descargue el siguiente archivo.exe: https://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/AWSAgentInstall.exe
2. Abra una ventana de símbolo del sistema o una ventana de PowerShell (con permisos deadministrador), diríjase a la ubicación donde haya guardado el AWSAgentInstall.exe descargado yejecute el siguiente comando:
./AWSAgentInstall.exe \install USEPROXY=1
Para configurar el soporte del proxy en una instancia EC2 con un agente de Amazon Inspector enejecución
1. Para configurar el soporte del proxy, la versión del agente de Amazon Inspector que se estéejecutando en su instancia EC2 debe ser 1.0.0.59 o superior. Si ha habilitado el proceso deactualización automática para el agente de Amazon Inspector, puede comprobar si la versiónde su agente de Amazon Inspector es 1.0.0.59 o superior con el procedimiento Para detener oiniciar el agente de Amazon Inspector o comprobar que el agente de Amazon Inspector está enejecución (p. 31). Si no ha habilitado el proceso de actualización automática para el agente deAmazon Inspector, debe volver a instalar el agente en la instancia EC2 mediante el procedimientoPara instalar el agente de Amazon Inspector en una instancia EC2 basada en Windows (p. 28).
2. Abra el editor del registro (regedit.exe).3. Vaya a la siguiente clave del registro: "HKEY_LOCAL_MACHINE/SOFTWARE/Amazon Web
Services/AWS Agent Updater".4. Dentro de esta clave del registro, cree un valor DWORD del registro (32 bits) llamado "UseProxy".5. Haga doble clic en el valor y establezca el valor en 1.6. Escriba services.msc, busque AWS Agent Service y AWS Agent Updater Service en la
ventana Services, y reinicie cada proceso. Después de que ambos procesos se hayan reiniciadocorrectamente, ejecute AWSAgentStatus.exe (consulte el paso 5 de Para detener o iniciar el agentede Amazon Inspector o comprobar que el agente de Amazon Inspector está en ejecución (p. 31))para ver el estado de su agente de Amazon Inspector y para comprobar que se está utilizando el proxyconfigurado.
Para desinstalar el agente de Amazon Inspector1. Inicie sesión en la instancia EC2 con sistema operativo basado en Windows en la que desee
desinstalar el agente de Amazon Inspector.
Note
Para obtener más información acerca de los sistemas operativos compatibles con AmazonInspector, consulte Sistemas operativos y regiones compatibles con Amazon Inspector (p. 7).
2. En la instancia EC2, vaya al Panel de control, Agregar/quitar programas.
Version Última versión de32
Amazon Inspector Guía del usuario(Opcional) Verificar la firma del script de
instalación del agente de Amazon Inspectoren los sistemas operativos basados en Linux
3. En la lista de los programas instalados, seleccione el Agente de AWS y después seleccioneDesinstalar.
(Opcional) Verificar la firma del script de instalacióndel agente de Amazon Inspector en los sistemasoperativos basados en Linux
En este tema se describe el proceso recomendado que debe utilizarse para comprobar la validez del scriptde instalación del agente de Amazon Inspector en sistemas operativos basados en Linux.
Siempre que descargue una aplicación de Internet, le recomendamos que compruebe la identidad deleditor del software y verifique que la aplicación no ha sido alterada ni se ha visto corrompida desde que sepublicó. Esto le protege ante una posible instalación de una versión de la aplicación que contenga un virusu otro código malintencionado.
Si después de seguir los pasos descritos en este tema determina que el software del agente de AmazonInspector ha sido modificado o está dañado, NO ejecute el archivo de instalación. En lugar de hacerlo,póngase en contacto con Amazon Web Services.
Los archivos del agente de Amazon Inspector para los sistemas operativos basados en Linux se firman conGnuPG, una implementación de código abierto del estándar Pretty Good Privacy (OpenPGP) para firmasdigitales seguras. GnuPG (también conocido como GPG) permite autenticar y comprobar la integridadmediante una firma digital. Amazon EC2 publica una clave pública y firmas que puede usar para verificarlas herramientas dAmazon EC2. de la CLI descargadas. Para obtener más información sobre PGP yGnuPG (GPG), consulte http://www.gnupg.org.
El primer paso consiste en establecer una relación de confianza con el editor del software: descargue laclave pública del editor de software, compruebe que el propietario de la clave pública es quien afirma sery, a continuación, agregue la clave pública a su llavero. Su llavero es una colección de claves públicasconocidas. Tras establecer la autenticidad de la clave pública, puede usarla para verificar la firma de laaplicación.
Temas• Instalación de las herramientas de GPG (p. 33)• Autentique e importe la clave pública (p. 34)• Verificar la firma del paquete (p. 35)
Instalación de las herramientas de GPGSi su sistema operativo es Linux o Unix, las herramientas GPG probablemente ya estarán instaladas. Paracomprobar si las herramientas están instaladas en su sistema, escriba gpg en un símbolo del sistema. Silas herramientas de GPG están instaladas, verá un símbolo del sistema de GPG. Si las herramientas deGPG no están instaladas, verá un error que afirma que no se puede encontrar el comando. Puede instalarel paquete GnuPG desde un repositorio.
Para instalar las herramientas de GPG en Linux basado en Debian
• Desde un terminal, ejecute el siguiente comando: apt-get install gnupg.
Para instalar las herramientas GPG en Linux basado en Red Hat
• Desde un terminal, ejecute el siguiente comando: yum install gnupg.
Version Última versión de33
Amazon Inspector Guía del usuarioAutentique e importe la clave pública
Autentique e importe la clave públicaEl siguiente paso del proceso es autenticar la clave pública de Amazon Inspector y agregarla como unaclave de confianza en su llavero de GPG.
Para autenticar e importar la clave pública de Amazon Inspector
1. Obtenga una copia de la clave pública de GPG siguiendo uno de estos métodos:
• Descárguela desde https://d1wk0tztpsntt1.cloudfront.net/linux/latest/inspector.gpg.• Copie la clave desde el siguiente texto y péguela en un archivo llamado inspector.key.
Asegúrese de incluir todo lo que se indica a continuación:
-----BEGIN PGP PUBLIC KEY BLOCK-----Version: GnuPG v2.0.18 (GNU/Linux)
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iEhB-----END PGP PUBLIC KEY BLOCK-----
2. En un símbolo del sistema en el directorio donde haya guardado inspector.key, use el siguientecomando para importar la clave pública de Amazon Inspector en su llavero:
gpg --import inspector.key
El comando devuelve resultados similares a los siguientes:
gpg: key 58360418: public key "Amazon Inspector <[email protected]>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
Anote el valor de clave, lo necesitará en el siguiente paso. En el ejemplo anterior, el valor de la clavees 58360418.
3. Verifique la huella digital ejecutando el siguiente comando, sustituyendo el valor de la clave por elvalor del paso anterior:
Version Última versión de34
Amazon Inspector Guía del usuarioVerificar la firma del paquete
gpg --fingerprint key-value
Este comando devuelve resultados similares a los siguientes:
pub 4096R/58360418 2015-09-24 Key fingerprint = DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418 uid Amazon Inspector <[email protected]>
Además, la huella digital debe ser idéntica a la cadena DDA0 D4C5 10AE 3C20 6F46 6DC0 24740960 5836 0418 que se muestra más arriba. Compare la huella digital devuelta con la publicadaen esta página. Deberían coincidir. Si no coinciden, no instale el script de instalación del agente deAmazon Inspector y póngase en contacto con Amazon Web Services.
Verificar la firma del paqueteDespués de haber instalado las herramientas de GPG, haber autenticado e importado la clave pública deAmazon Inspector y comprobado que la clave pública de Amazon Inspector es de confianza, estará listopara verificar la firma del script de instalación de Amazon Inspector.
Para verificar la firma del script de instalación Amazon Inspector
1. En el símbolo del sistema, ejecute el siguiente comando para descargar el archivo de firma para elscript de instalación:
curl -O https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install.sig
2. Verifique la firma ejecutando el siguiente comando en un símbolo del sistema en el directorio dondehaya guardado install.sig y el archivo de instalación de Amazon Inspector. Ambos archivosdeben estar presentes.
gpg --verify ./install.sig
El resultado debería tener un aspecto similar al siguiente:
gpg: Signature made Thu 24 Sep 2015 03:19:09 PM UTC using RSA key ID 58360418gpg: Good signature from "Amazon Inspector <[email protected]>" [unknown]gpg: WARNING: This key is not certified with a trusted signature!gpg: There is no indication that the signature belongs to the owner.Primary key fingerprint: DDA0 D4C5 10AE 3C20 6F46 6DC0 2474 0960 5836 0418
Si el resultado contiene la expresión Good signature from "Amazon Inspector<[email protected]>", significa que la firma ha sido verificada correctamente y que puedeproceder a ejecutar el script de instalación de Amazon Inspector.
Si el resultado incluye la expresión BAD signature, compruebe si ha realizado el procedimientocorrectamente. Si sigue recibiendo esta respuesta, póngase en contacto con Amazon Web Services yno ejecute el archivo de instalación descargado anteriormente.
A continuación se describen en detalle las advertencias que podría recibir:
• ADVERTENCIA: ¡esta clave no está certificada con una firma de confianza! Nada indica que la firmapertenezca al propietario. Esto afecta a su nivel personal de confianza en que tenga una clave públicaauténtica para Amazon Inspector. En un mundo ideal, visitaría una oficina de Amazon Web Services y
Version Última versión de35
Amazon Inspector Guía del usuario(Opcional) Verificar la firma del script de
instalación del agente de Amazon Inspector enlos sistemas operativos basados en Windows
recibiría la clave en persona. Sin embargo, lo habitual es que la descargue desde un sitio web. En estecaso, el sitio web es un sitio web de Amazon Web Services.
• gpg: no se han encontrado claves en las que se pueda confiar de forma definitiva. Esto significa quela clave específica no es "definitivamente fiable" para usted (o para otras personas en las que ustedconfía).
Para obtener más información, consulte http://www.gnupg.org.
(Opcional) Verificar la firma del script de instalacióndel agente de Amazon Inspector en los sistemasoperativos basados en Windows
En este tema se describe el proceso recomendado que debe utilizarse para comprobar la validez del scriptde instalación del agente de Amazon Inspector en sistemas operativos basados en Windows.
Siempre que descargue una aplicación de Internet, le recomendamos que compruebe la identidad deleditor del software y verifique que la aplicación no ha sido alterada ni se ha visto corrompida desde que sepublicó. Esto le protege ante una posible instalación de una versión de la aplicación que contenga un virusu otro código malintencionado.
Si después de seguir los pasos descritos en este tema determina que el software del agente de AmazonInspector ha sido modificado o está dañado, NO ejecute el archivo de instalación. En lugar de hacerlo,póngase en contacto con Amazon Web Services.
Para verificar la validez del script de instalación del agente de Amazon Inspector descargado en sistemasoperativos basados en Windows, debe asegurarse de que la huella digital de su certificado de firma deAmazon Services LLC sea igual a este valor:
5C 2C B5 5A 9A B9 B1 D6 3F F4 1B 0D A2 76 F2 A9 2B 09 A8 6A
Para verificar este valor, siga este procedimiento:
1. Haga clic derecho en el archivo AWSAgentInstall.exe descargado y abra la ventana Properties.2. Elija la pestaña Digital Signatures.3. En Signature List, elija Amazon Services LLC y, a continuación, Details.4. Elija la pestaña General si aún no lo ha hecho, y luego elija View Certificate.5. Elija la pestaña Details y luego elija All en la lista desplegable Show:, si aún no está seleccionada.6. Desplácese hacia abajo hasta que vea el campo Thumbprint y, a continuación, seleccione Thumbprint.
Así se mostrará el valor completo de la huella digital en la ventana inferior.
• Si el valor de la huella digital en la ventana inferior es idéntico a este valor:
5C 2C B5 5A 9A B9 B1 D6 3F F4 1B 0D A2 76 F2 A9 2B 09 A8 6A
el script de instalación del agente de Amazon Inspector descargado es auténtico y puede instalarsede forma segura.
• Si el valor de la huella digital en la ventana de detalles inferior NO coincide con ese valor, NOejecute AWSAgentInstall.exe.
Version Última versión de36
Amazon Inspector Guía del usuarioEtiquetado de recursos para crear un objetivo de evaluación
Objetivos de evaluación de AmazonInspector
Puede usar Amazon Inspector para evaluar si los objetivos de evaluación de AWS (sus colecciones derecursos de AWS) tienen problemas potenciales de seguridad que deba solucionar.
Important
En esta versión de Amazon Inspector, sus objetivos de evaluación pueden contener únicamenteinstancias EC2 que se ejecutan en determinados sistemas operativos compatibles. Para obtenermás información sobre los sistemas operativos basados en Linux y Windows compatibles y lasregiones de AWS permitidas, consulte Límites de servicio de Amazon Inspector (p. 5).
Note
Para obtener más información sobre cómo iniciar instancias EC2, consulte la Documentación deAmazon Elastic Compute Cloud.
Temas• Etiquetado de recursos para crear un objetivo de evaluación (p. 37)• Límites de objetivos de evaluación de Amazon Inspector (p. 38)• Crear un objetivo de evaluación (consola) (p. 38)• Eliminación de un objetivo de evaluación (consola) (p. 39)
Etiquetado de recursos para crear un objetivo deevaluación
Para crear un objetivo de evaluación para Amazon Inspector, empiece por el etiquetado de las EC2instances que quiera incluir en el objetivo. Las etiquetas son palabras o frases que funcionan comometadatos para identificar y organizar las instancias y otros recursos de AWS. Amazon Inspector usa lasetiquetas para identificar las instancias que pertenecen a su objetivo.
Cada etiqueta de AWS consta de un par clave-valor de su elección. Por ejemplo, puede elegir llamarsu clave "Name" y al valor "MyFirstInstance". Una vez que etiquete las instancias, utilice la consola deAmazon Inspector para agregar las instancias a su objetivo de evaluación. No es necesario que unainstancia coincida con más de un par clave-valor etiquetado.
Al etiquetar las EC2 instances para crear objetivos de evaluación para Amazon Inspector, puede crearsus propias claves de etiquetas personalizadas o utilizar claves de etiquetas creadas por otros en lamisma cuenta de AWS. También puede usar las claves de etiquetas que crea AWS automáticamente, porejemplo, la clave de etiqueta Name que se crea automáticamente para las EC2 instances que inicie.
Puede agregar etiquetas a EC2 instances al crearlas o agregar, modificar o eliminar estas etiquetas unapor una en la página de la consola de cada EC2 instance. También puede agregar etiquetas a varias EC2instances a la vez usando el Editor de etiquetas.
Para obtener más información, consulte Editor de etiquetas. Para obtener más información sobre eletiquetado de instancias EC2, consulte Recursos y etiquetas.
Version Última versión de37
Amazon Inspector Guía del usuarioLímites de objetivos de evaluación de Amazon Inspector
Límites de objetivos de evaluación de AmazonInspector
Puede crear hasta 50 objetivos de evaluación por cada cuenta de AWS. Para obtener más información,consulte Límites de servicio de Amazon Inspector (p. 5).
Crear un objetivo de evaluación (consola)Puede usar la consola de Amazon Inspector para crear objetivos de evaluación.
Para crear un objetivo de evaluación
1. Sign in to the Consola de administración de AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
2. En el panel de navegación, elija Assessment Targets y, a continuación Create.3. En Name, escriba un nombre para el objetivo de evaluación.4. Aplique alguna de las siguientes acciones:
• Marque la casilla de verificación All instances (Todas las instancias) para incluir todas las instanciasEC2 en esta cuenta y región de AWS en este objetivo de evaluación.
Note
El límite en el número máximo de agentes que se pueden incluir en una ejecución deevaluación se aplica cuando se utiliza esta opción. Para obtener más información, consulteLímites de servicio de Amazon Inspector (p. 5).
• Use los campos Tags, Key y Value para escribir el nombre y los pares clave-valor y seleccionar asílas instancias EC2 que quiera incluir en este objetivo de evaluación.
5. (Opcional) Al crear un objetivo nuevo, puede marcar la casilla para instalar el agente de AmazonInspector en todas las instancias EC2 de dicho objetivo. Para utilizar esta opción, las instanciasEC2 deben tener instalado el agente de SSM y un rol de IAM que permita Run Command. El agenteSSM se instala, de forma predeterminada, en instancias de Amazon EC2 Windows y Amazon Linux.Amazon EC2 Systems Manager requiere un rol de IAM para instancias EC2 que procesará comandosy un rol independiente para que los usuarios ejecuten comandos. Para obtener más información,consulte Installing and Configuring SSM Agent y Configuring Security Roles for System Manager.
Important
Si ya hay un agente ejecutándose en una instancia EC2, con esta opción se sustituye elagente que se está ejecutando actualmente en la instancia por la última versión del agente.
Note
Para sus objetivos de evaluación existentes, puede seleccionar el botón Install Agents withRun Command button (Instalar agentes con Run Command) para instalar el agente deAmazon Inspector en todas las instancias EC2 de este objetivo.
Note
También puede instalar el agente de Amazon Inspector en varias instancias EC2 (tantoinstancias basadas en Linux como en Windows con el mismo comando) de forma remotamediante Systems Manager Run Command. Para obtener más información, consulte Parainstalar el agente de Amazon Inspector en varias instancias EC2 mediante Systems ManagerRun Command (p. 26).
Version Última versión de38
Amazon Inspector Guía del usuarioEliminación de un objetivo de evaluación (consola)
6. Seleccione Save.
Note
Para sus destinos de evaluación, puede utilizar el botón Preview Target de la página AssessmentTargets para revisar todas las instancias EC2 que están incluidas actualmente en los destinosde evaluación. Para cada instancia EC2 de la lista, puede revisar el nombre de host, el ID deinstancia, la dirección IP y el estado del agente de Amazon Inspector que se ejecuta en lainstancia EC2. El estado del agente puede tener los siguientes valores: HEALTHY, UNHEALTHY(mostrado cuando el agente informa de que su estado no es correcto) y UNKNOWN (mostradocuando Amazon Inspector no puede determinar si hay un agente de Amazon Inspectorejecutándose en la instancia EC2).
Eliminación de un objetivo de evaluación (consola)Para eliminar un objetivo de evaluación, realice el procedimiento siguiente:
• En la página Assessment targets (Objetivos de evaluación), elija el objetivo que desea eliminar y, acontinuación, haga clic en Delete (Eliminar). Cuando se le pida que confirme, elija Yes.
Important
Cuando se elimina un objetivo de evaluación, también se eliminan todas las plantillas deevaluación, las ejecuciones de evaluación, los resultados y las versiones de los informesrelacionados con el objetivo.
También se puede eliminar un objetivo de evaluación utilizando la API DeleteAssessmentTarget.
Version Última versión de39
Amazon Inspector Guía del usuarioPlantillas de evaluación de Amazon Inspector
Plantillas de evaluación y ejecucionesde evaluación en Amazon Inspector
Amazon Inspector le ayuda a descubrir posibles problemas de seguridad mediante reglas de seguridadpara analizar sus recursos de AWS. Amazon Inspector monitoriza y recopila datos de comportamiento(telemetría) sobre los recursos, como el uso de canales seguros, el tráfico de red entre procesos enejecución y detalles de la comunicación con los servicios de AWS. A continuación, Amazon Inspectoranaliza y compara los datos con un conjunto de paquetes de reglas de seguridad. Por último, AmazonInspector produce una serie de hallazgos que identifican posibles problemas de seguridad de distintosniveles de gravedad.
Para comenzar, debe crear un objetivo de evaluación (una colección de recursos de AWS que quieraque Amazon Inspector analice) y una plantilla de evaluación (un proyecto que podrá usar para configurarsu evaluación). Puede usar la plantilla para iniciar una ejecución de evaluación, el proceso de análisis ymonitorización que produce un conjunto de hallazgos.
Temas• Plantillas de evaluación de Amazon Inspector (p. 40)• Límites de plantillas de evaluación de Amazon Inspector (p. 41)• Creación de una plantilla de evaluación (consola) (p. 41)• Eliminación de una plantilla de evaluación (consola) (p. 42)• Ejecuciones de evaluación (p. 43)• Límites de ejecuciones de evaluación de Amazon Inspector (p. 43)• Configuración de ejecuciones de evaluación automáticas a través de una función de Lambda (p. 43)• Configurar un tema de SNS para las notificaciones de Amazon Inspector (consola) (p. 45)
Plantillas de evaluación de Amazon InspectorUna plantilla de evaluación le permite especificar una configuración para sus ejecuciones de evaluación,entre las que se incluyen las siguientes:
• Paquetes de reglas que usa Amazon Inspector para evaluar su objetivo de evaluación• Duración de la ejecución de evaluación
Note
Puede definir la duración con cualquiera de los siguientes valores disponibles:• 15 minutos• 1 hora (recomendado)• 8 horas• 12 horas• 24 horasCuanto más dure la ejecución de su plantilla de evaluación, más exhaustivo y completo será elconjunto de telemetría que puede recopilar y analizar Amazon Inspector. En otras palabras, losanálisis más largos permiten a Amazon Inspector observar el comportamiento de su objetivo
Version Última versión de40
Amazon Inspector Guía del usuarioLímites de plantillas de evaluación de Amazon Inspector
de evaluación de forma más detallada y producir conjuntos de hallazgos más completos.Del mismo modo, cuanto más exhaustivo sea el uso de los recursos de AWS incluidos en suobjetivo durante la ejecución de evaluación, más exhaustivo y completo será el conjunto detelemetría que recopila y analiza Amazon Inspector.
• Temas de Amazon Simple Notification Service (SNS) a los que quiera que Amazon Inspector envíenotificaciones sobre los estados y los hallazgos de las ejecuciones de evaluación
• Atributos específicos de Amazon Inspector (pares clave-valor) que puede asignar a los hallazgosgenerados por la ejecución de evaluación que utiliza esta plantilla de evaluación
Después de que Amazon Inspector cree la plantilla de evaluación, puede etiquetarla como cualquier otrorecurso de AWS. Para obtener más información, consulte Editor de etiquetas. El etiquetado de las plantillasde evaluación le permite organizarlas y obtener una mejor vista general de su estrategia de seguridad. Porejemplo, Amazon Inspector ofrece una gran cantidad de reglas con las que puede evaluar sus objetivosde evaluación, pero es posible que quiera incluir varios subconjuntos de las reglas disponibles en susplantillas de evaluación para dirigirlas a áreas específicas de interés o para descubrir problemas deseguridad determinados. El etiquetado de las plantillas de evaluación le permite localizarlas y ejecutarlasrápidamente y en cualquier momento, de acuerdo con su estrategia y sus objetivos de seguridad.
Important
Después de crear una plantilla de evaluación, no podrá modificarla.
Límites de plantillas de evaluación de AmazonInspector
Puede crear hasta 500 plantillas de evaluación por cada cuenta de AWS.
Para obtener más información, consulte Límites de servicio de Amazon Inspector (p. 5).
Creación de una plantilla de evaluación (consola)1. Sign in to the Consola de administración de AWS and open the Amazon Inspector console at https://
console.aws.amazon.com/inspector/.2. En el panel de navegación de la izquierda, seleccione Assessment Templates y después elija Create.3. En Name, escriba un nombre para la plantilla de evaluación.4. En Target name, seleccione un objetivo de evaluación para analizar.
Note
Durante el proceso de creación de una nueva plantilla de evaluación, puede utilizar elbotón Preview Target de la página Assessment Templates para revisar todas las instanciasEC2 que están incluidas actualmente en el destino de evaluación que desea incluir enesta plantilla. Para cada instancia EC2 de la lista, puede revisar el nombre de host, el IDde instancia, la dirección IP y el estado del agente de Amazon Inspector que se ejecutaen la instancia EC2. El estado del agente puede tener los siguientes valores: HEALTHY,UNHEALTHY (mostrado cuando el agente informa de que su estado no es correcto) yUNKNOWN (mostrado cuando Amazon Inspector no puede determinar si hay un agente deAmazon Inspector ejecutándose en la instancia EC2).También puede usar el botón Preview Target de la página Assessment Templates pararevisar las instancias EC2 que conforman los destinos de evaluación incluidos en lasplantillas creadas previamente.
Version Última versión de41
Amazon Inspector Guía del usuarioEliminación de una plantilla de evaluación (consola)
5. En Rules packages, seleccione uno o varios paquetes de reglas para incluir en su plantilla deevaluación.
6. En Duration, especifique la duración de la plantilla de evaluación.7. En SNS topics, especifique un tema de SNS al que desee que Amazon Inspector envíe notificaciones
sobre los estados y los hallazgos de las ejecuciones de evaluación. Amazon Inspector puede enviarnotificaciones de SNS sobre los siguientes eventos:
• Ha comenzado una ejecución de evaluación• Ha finalizado una ejecución de evaluación• Ha cambiado el estado de una ejecución de evaluación• Se ha generado un hallazgo
Para obtener más información sobre la configuración de un tema de SNS para que Amazon Inspectorenvíe notificaciones, consulte Configurar un tema de SNS para las notificaciones de Amazon Inspector(consola) (p. 45).
8. (Opcional) En Tag, escriba los valores de Key y Value. Puede agregar varias etiquetas a la plantilla deevaluación.
9. (Opcional) En Attributes added to findings, escriba los valores de Key y Value. Amazon Inspectoraplica los atributos a todos los hallazgos generados por la plantilla de evaluación. Puede agregarvarios atributos a la plantilla de evaluación. Para obtener más información sobre los hallazgos y eletiquetado de hallazgos, consulte Hallazgos de Amazon Inspector (p. 46).
10. (Opcional) Para configurar una programación para las ejecuciones de evaluación con esta plantilla,puede marcar la casilla Set up recurring assessment runs once every <number_of_days >, startingnow (Configurar las ejecuciones de evaluación recurrentes una vez cada «número_de_días», a partirde ahora) y especificar el patrón de recurrencia (número de días) mediante las flechas arriba y abajo.
Note
Cuando se utiliza esta casilla, Amazon Inspector crea automáticamente una regla deCloudWatch Events para la programación de ejecuciones de evaluación que se estáconfigurando. Amazon Inspector también crea automáticamente un rol de IAM denominadoAWS_InspectorEvents_Invoke_Assessment_Template. Este rol permite que CloudWatchEvents realice llamadas a la API con los recursos de Amazon Inspector. Para obtener másinformación, consulte ¿Qué es Amazon CloudWatch Events? y Uso de políticas basadas enrecursos para CloudWatch Events.
Note
También puede configurar ejecuciones de evaluación automáticas a través de una función deLambda. Para obtener más información, consulte Configuración de ejecuciones de evaluaciónautomáticas a través de una función de Lambda (p. 43).
11. Elija Create and run o Create.
Eliminación de una plantilla de evaluación (consola)Para eliminar una plantilla de evaluación, realice el procedimiento siguiente:
• En la página Assessment Templates (Plantillas de evaluación), elija la plantilla que desea eliminar y, acontinuación, haga clic en Delete (Eliminar). Cuando se le pida que confirme, elija Yes.
Important
Cuando se elimina una plantilla de evaluación, también se eliminan todas las ejecuciones deevaluación, los resultados y las versiones de los informes relacionados la plantilla.
Version Última versión de42
Amazon Inspector Guía del usuarioEjecuciones de evaluación
También se puede eliminar una plantilla de evaluación utilizando la API DeleteAssessmentTemplate.
Ejecuciones de evaluaciónDespués de crear una plantilla de evaluación, puede utilizarla para iniciar ejecuciones de evaluación.Puede iniciar varias ejecuciones de evaluación usando la misma plantilla, siempre y cuando no supereel límite de ejecuciones de evaluación por cada cuenta de AWS. Para obtener más información, consulteLímites de ejecuciones de evaluación de Amazon Inspector (p. 43).
Si utiliza la consola de Amazon Inspector, deberá iniciar la primera ejecución de su nueva plantilla deevaluación desde la página Assessment templates. Después de iniciar la ejecución, puede usar la páginaAssessment runs para monitorizar el progreso de la ejecución. Utilice los botones Run, Cancel y Deletepara iniciar, cancelar o eliminar una ejecución. Use el widget XYZ que aparece junto a Start time en laejecución para consultar los detalles de la misma, incluido el ARN, los paquetes de reglas seleccionados,las etiquetas y los atributos aplicados y mucho más.
Para las posteriores ejecuciones de la plantilla de evaluación, puede usar los botones Run, Cancel yDelete que se encuentran en la página Assessment templates o en la página Assessment runs.
Eliminación de una ejecución de evaluación (consola)Para eliminar una ejecución de evaluación, realice el procedimiento siguiente:
• En la página Assessment runs (Ejecuciones de evaluación), elija la ejecución que desea eliminar y, acontinuación, haga clic en Delete (Eliminar). Cuando se le pida que confirme, elija Yes.
Important
Cuando se elimina una ejecución de evaluación, también se eliminan todos los resultados ytodas las versiones del informe para esa ejecución.
También se puede eliminar una ejecución de evaluación utilizando la API DeleteAssessmentRun.
Límites de ejecuciones de evaluación de AmazonInspector
Puede crear hasta 50 000 ejecuciones de evaluación por cada cuenta de AWS.
Puede ejecutar varias evaluaciones al mismo tiempo, siempre y cuando los objetivos de evaluaciónempleados para las evaluaciones no contengan instancias EC2 que se solapen.
Para obtener más información, consulte Límites de servicio de Amazon Inspector (p. 5).
Configuración de ejecuciones de evaluaciónautomáticas a través de una función de Lambda
Si desea configurar una programación recurrente para su evaluación, puede configurar la plantilla deevaluación para que se ejecute automáticamente mediante la creación de una función Lambda en laconsola de AWS Lambda. Para obtener más información, consulte Funciones Lambda.
Version Última versión de43
Amazon Inspector Guía del usuarioConfiguración de ejecuciones de evaluación
automáticas a través de una función de Lambda
Para configurar ejecuciones de evaluación automáticas mediante la consola de AWS Lambda, siga esteprocedimiento:
1. Inicie sesión en la consola de administración de AWS y abra la consola de AWS Lambda.2. En el panel de navegación que se encuentra a la izquierda, elija Dashboard o Functions y luego,
Create a Lambda Function.3. En la página Select blueprint, elija el proyecto inspector-scheduled-run. Puede encontrar este proyecto
escribiendo inspector en el campo Filter.4. En la página Configure triggers, configure una programación recurrente de ejecuciones de evaluación
automatizadas especificando un evento de CloudWatch que desencadene la función. Para ello,escriba un nombre y una descripción para la regla y seleccione una expresión para la programación.La expresión de la programación determina la frecuencia con la que se efectuará la ejecución, porejemplo, cada 15 minutos o una vez al día. Para obtener más información acerca de los conceptos yeventos de CloudWatch, consulte ¿Qué son los Amazon CloudWatch Events?
Si activa la casilla de verificación Enable trigger, comenzará la ejecución de evaluacióninmediatamente después de finalizar la creación de su función. Las ejecuciones automatizadassubsiguiente seguirán el patrón de recurrencia que especifique en el campo Schedule expression.Si no activa la casilla de verificación Enable trigger al crear la función, podrá editar la función másadelante para habilitar este activador.
5. En la página Configure function, especifique lo siguiente:
• En Name, escriba un nombre para su función.• (Opcional) En Description, escriba una descripción que le ayude a identificar su función
posteriormente.• En runtime, conserve el valor predeterminado, Node.js 4.3. AWS Lambda es compatible con el
proyecto inspector-scheduled-run únicamente durante el tiempo de ejecución de Node.js 4.3.• La plantilla de evaluación que quiera ejecutar automáticamente con esta función. Para ello,
introduzca el valor de la variable de entorno denominada assessmentTemplateArn.• Deje el controlador en el valor por defecto, index.handler.• Los permisos para su función se configuran con el campo Role. Para obtener más información,
consulte Modelo de permisos de AWS Lambda.
Para ejecutar esta función, necesita un rol de IAM que permita a AWS Lambda iniciar ejecucionesde evaluación y escribir mensajes de registro relativos a ejecuciones de evaluación, incluidos loserrores, en los registros de Amazon CloudWatch. AWS Lambda asume este rol en cada ejecuciónde evaluación automatizada recurrente. Por ejemplo, puede adjuntar la siguiente muestra de políticaa este rol de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:StartAssessmentRun", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ]}
6. Revise la selección y, a continuación, elija Create function.Version Última versión de
44
Amazon Inspector Guía del usuarioConfigurar un tema de SNS para las
notificaciones de Amazon Inspector (consola)
Configurar un tema de SNS para las notificacionesde Amazon Inspector (consola)
Amazon Simple Notification Service (Amazon SNS) es un servicio web que envía mensajes a los puntos deenlace o clientes suscritos. Puede usar Amazon SNS para configurar notificaciones de Amazon Inspector.Para obtener más información, consulte ¿Qué es Amazon Simple Notification Service?.
Para configurar un tema de SNS con relación a las notificaciones
1. Crear un tema de SNS. Para obtener más información, consulte la sección Crear un tema.2. Suscríbase al tema de SNS que ha creado. Para obtener más información, consulte Suscribirse a un
tema.3. Publique en el tema de SNS. Para obtener más información, consulte Publicar en un tema.4. Habilitar Amazon Inspector para publicar mensajes en el tema:
a. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/.b. Seleccione el tema de SNS, y en Acciones, seleccione Editar política del tema.c. En Permitir a estos usuarios publicar mensajes en este tema, seleccione Solo estos usuarios de
AWS y escriba uno de los siguientes ARN, en función de la región:
• para Asia Pacífico (Mumbai): arn:aws:iam::162588757376:root• para Asia Pacífico (Seúl): arn:aws:iam::526946625049:root• para Asia Pacífico (Sídney): arn:aws:iam::454640832652:root• para Asia Pacífico (Tokio): arn:aws:iam::406045910587:root• para UE (Fráncfort): arn:aws:iam:: 537503971621:root• para UE (Irlanda): arn:aws:iam::357557129151:root• para EE.UU. Este (Norte de Virginia): arn:aws:iam::316112463485:root• para EE.UU. Este (Ohio): arn:aws:iam::646659390643:root• para EE.UU. Oeste (Norte de California): arn:aws:iam::166987590008:root• para EE. UU. Oeste (Oregón): arn:aws:iam::758058086616:root
Version Última versión de45
Amazon Inspector Guía del usuarioTrabajar con hallazgos
Hallazgos de Amazon InspectorLos hallazgos son problemas de seguridad potenciales descubiertos durante la evaluación del objetivoseleccionado por parte de Amazon Inspector. Los hallazgos se muestran en la consola de AmazonInspector o a través de la API y contienen una descripción detallada de los problemas de seguridad yrecomendaciones para resolverlos.
Cuando Amazon Inspector genera los hallazgos, puede realizar un seguimiento de los mismos mediantela asignación de atributos específicos a Amazon Inspector. Estos atributos se componen de pares clave-valor.
El seguimiento de resultados con atributos puede resultar bastante útil para dirigir el flujo de trabajo de suestrategia de seguridad. Por ejemplo, una vez que cree y ejecute una evaluación, se generará una lista dehallazgos de distintos niveles de gravedad, urgencia e interés, en función de los objetivos y el enfoque deseguridad. Es posible que le interese seguir los pasos recomendados para un hallazgo inmediatamentepara resolver un problema de seguridad potencialmente urgente, o puede que quiera aplazar la resoluciónde otro hallazgo hasta la próxima actualización de servicio. Por ejemplo, para realizar un seguimiento deun hallazgo para resolverlo de forma inmediata, puede crear y asignar a una búsqueda un atributo conun par clave-valor de Status/Urgente. También puede usar atributos para distribuir la carga de trabajode resolver problemas de seguridad potenciales. Por ejemplo, para encargar a Bob (que es ingeniero deseguridad en su equipo) la tarea de resolver un hallazgo, puede asignar a un hallazgo un atributo con unpar clave-valor de Ingeniero asignado/Bob.
Trabajar con hallazgosComplete el siguiente procedimiento en cualquiera de los hallazgos de Amazon Inspector generados:
Para localizar, analizar y asignar atributos a los hallazgos
1. Sign in to the Consola de administración de AWS and open the Amazon Inspector console at https://console.aws.amazon.com/inspector/.
2. Después de ejecutar una evaluación, vaya a la página Findings en la consola de Amazon Inspectorpara ver los hallazgos.
También puede ver los hallazgos en la sección Notable Findings de la página Dashboard de laconsola de Amazon Inspector.
Note
No puede ver el los datos generados por una ejecución de evaluación mientras esté en curso.Sin embargo, puede ver un subconjunto de hallazgos si interrumpe la evaluación antes deque finalice. En un entorno de producción, le recomendamos que deje que cada ejecución deevaluación finalice para que pueda producir un conjunto completo de hallazgos.
3. Para ver los detalles de un hallazgo específico, seleccione el widget Expandir que aparece al lado. Losdetalles del hallazgo incluyen la siguiente información:
• Nombre del objetivo de evaluación que incluye la EC2 instance donde se ha registrado estehallazgo
• Nombre de la plantilla de evaluación que se usó para producir este hallazgo• Hora de inicio de la ejecución de evaluación• Tiempo de finalización de la ejecución de evaluación• Estado de la ejecución de evaluación
Version Última versión de46
Amazon Inspector Guía del usuarioTrabajar con hallazgos
• Nombre del paquete de reglas que incluye la regla que produjo este hallazgo• Nombre del hallazgo• Gravedad del hallazgo• Los detalles de gravedad nativa del sistema de clasificación de vulnerabilidad común (CVSS), que
incluyen el vector CVSS y las métricas de puntuación CVSS (incluidas las versiones 2.0 y 3.0) paralos hallazgos activados por las reglas del paquete de vulnerabilidades y exposiciones comunes.Para obtener más detalles sobre CVSS, consulte https://www.first.org/cvss/.
• os detalles de gravedad nativa del Centro de seguridad de Internet (CIS), que incluyencon la métrica de peso del CIS para los hallazgos activados por las reglas del paquete dereferencias del CIS. Para obtener más detalles sobre la métrica de peso del CIS, consulte https://www.cisecurity.org/.
• Descripción del hallazgo• Pasos recomendados que puede seguir para solucionar el problema de seguridad potencial descrito
por el hallazgo4. Para asignar atributos a un hallazgo, seleccione un hallazgo y después Add/Edit Attributes.
También puede asignar atributos a los hallazgos al crear una nueva plantilla de evaluación mediantela configuración de la nueva plantilla para que asigne automáticamente atributos a todos los hallazgosgenerados por la ejecución de evaluación. Para ello, puede usar los campos Key y Value delcampo Tags for findings from this assessment. Para obtener más información, consulte Plantillas deevaluación y ejecuciones de evaluación en Amazon Inspector (p. 40).
5. Para exportar los hallazgos a una hoja de cálculo, haga clic en la flecha hacia abajo situada en laesquina superior derecha de la página Amazon Inspector - Findings. A continuación, en la ventanaemergente, elija Export all columns o Export visible columns.
6. Para mostrar u ocultar columnas para los hallazgos generados y filtrar por los hallazgos generados,haga clic en el icono de la rueda de configuración situado en la esquina superior derecha de la páginaAmazon Inspector - Findings.
7. Para eliminar los resultados, vaya a la página Assessment runs (Ejecuciones de evaluación) yseleccione la ejecución que ha generado los resultados que desea eliminar. A continuación, elijaDelete. Cuando se le solicite confirmación, haga clic en Yes.
Important
No se pueden eliminar resultados específicos en Amazon Inspector. Cuando se elimina unaejecución de evaluación, también se eliminan todos los resultados y todas las versiones delinforme para esa ejecución.
También se puede eliminar una ejecución de evaluación utilizando la API DeleteAssessmentRun.
Version Última versión de47
Amazon Inspector Guía del usuario
Informes de evaluaciónUn informe de evaluación es un documento que detalla lo que se prueba en la ejecución de evaluacióny los resultados de esta. Los resultados de la evaluación se organizan en informes estándar, los quese pueden generar para compartir los resultados dentro de su equipo para corregir errores, enriquecerlos datos de auditorías de cumplimiento o almacenar referencias futuras. Se puede generar un informede evaluación de Amazon Inspector para una ejecución de evaluación una vez que se ha completadocorrectamente.
Note
Solo puede generar informes para las ejecuciones de evaluación que se realizaron o que serealizarán después del 25/04/2017, fecha en la que los informes de evaluación de AmazonInspector estarán disponibles.
Puede ver los siguientes tipos de informes de evaluación:
• Informe de hallazgos: este informe incluye la siguiente información:• Resumen ejecutivo de la evaluación• Instancias EC2 evaluadas durante la ejecución de evaluación• Paquetes de reglas incluidos en la ejecución de evaluación• Información detallada acerca de cada hallazgo, la que incluye todas las instancias EC2 detectadas en
el hallazgo• Informe completo: este informe incluye toda la información que contiene un informe de hallazgos,
además de la lista de reglas que aprobaron todas las instancias en el objetivo de evaluación.
Para generar un informe de evaluación
1. En la página Assessment runs, ubique la ejecución de evaluación para la que desea generar uninforme y asegúrese de que su estado sea Analysis complete.
2. Elija el icono de informes en la columna Reports para esta ejecución de evaluación.
Important
El icono de informes se encuentra en la columna Reports únicamente para las ejecuciones deevaluación que se realizaron o que se realizarán después del 25/04/2017, fecha en la que losinformes de evaluación de Amazon Inspector estarán disponibles.
3. En la ventana emergente Assessment report, seleccione el tipo de informe que desea ver (puedeelegir entre un informe de Hallazgos o Completo) y el formato del informe (HTML o PDF), y luegoelegir Generate report.
También puede generar informes de evaluación a través de la API de GetAssessmentReport.
Para eliminar un informe de evaluación, realice el procedimiento siguiente:
Para eliminar un informe de evaluación
• En la página Assessment runs (Ejecuciones de evaluación), elija la ejecución en que se basa elinforme que desea eliminar y, a continuación, elija Delete (Eliminar). Cuando se le pida que confirme,elija Yes.
Version Última versión de48
Amazon Inspector Guía del usuario
Important
En Amazon Inspector, no puede eliminar informes específicos. Cuando se elimina unaejecución de evaluación, también se eliminan todas las versiones del informe de esaejecución y todos los resultados.
También se puede eliminar una ejecución de evaluación utilizando la API DeleteAssessmentRun.
Version Última versión de49
Amazon Inspector Guía del usuarioNiveles de gravedad para las reglas de Amazon Inspector
Paquetes de reglas y reglas deAmazon Inspector
Puede usar Amazon Inspector para evaluar sus objetivos de evaluación (conjuntos de recursos deAWS) y detectar posibles problemas de seguridad y vulnerabilidades. Amazon Inspector comparael comportamiento y la configuración de seguridad de los objetivos de evaluación con relación a lospaquetes de reglas de seguridad seleccionados. En el contexto de Amazon Inspector, una regla es unacomprobación de seguridad que realiza Amazon Inspector durante la ejecución de evaluación.
En Amazon Inspector, las reglas se agrupan en diferentes paquetes de reglas por categoría, gravedado precio. Esto le ofrece opciones para elegir el tipo de análisis que puede realizar. Por ejemplo, AmazonInspector ofrece una gran cantidad de reglas que puede usar para evaluar sus aplicaciones. Sin embargo,es posible que desee incluir un subconjunto menor de las reglas disponibles para acotar un ámbitoespecialmente preocupante o para descubrir problemas de seguridad específicos. Puede que lasempresas con departamentos de TI grandes deseen determinar si su aplicación está expuesta a amenazasde seguridad, mientras que otras prefieran concentrarse solo en problemas con un nivel de gravedad Alto.
• Niveles de gravedad para las reglas de Amazon Inspector (p. 50)• Paquetes de reglas en Amazon Inspector (p. 50)
Niveles de gravedad para las reglas de AmazonInspector
Cada regla de Amazon Inspector tiene un nivel de gravedad asignado. Así se reduce la necesidad de darprioridad a una regla sobre otra durante su análisis. También puede ayudarle a determinar su respuestacuando una regla destaca un posible problema. Los niveles High, Medium y Low indican un problema deseguridad que puede poner en riesgo la confidencialidad, integridad y disponibilidad de la información ensu objetivo de evaluación. El nivel Informational destaca simplemente un detalle de la configuración deseguridad de su objetivo de evaluación. A continuación se recomiendan diferentes formas de responder acada uno de ellos:
• Alto: describe un problema de seguridad que puede poner en riesgo la confidencialidad, integridad ydisponibilidad de la información en su objetivo de evaluación. Le recomendamos que trate este problemade seguridad como una emergencia y que implemente una solución inmediatamente.
• Medio: describe un problema de seguridad que puede poner en riesgo la confidencialidad, integridady disponibilidad de la información en su objetivo de evaluación. Le recomendamos que solucione esteproblema en la próxima ocasión posible, por ejemplo, durante la siguiente actualización de servicio.
• Bajo: describe un problema de seguridad que puede poner en riesgo la confidencialidad, integridad ydisponibilidad de la información en su objetivo de evaluación. Le recomendamos que solucione esteproblema como parte de una de sus futuras actualizaciones de servicio.
• informativo: describe un detalle de una configuración de seguridad determinada en su objetivo deevaluación. En función de sus objetivos empresariales y organizativos, puede limitarse a tener en cuentaesta información o usarla para mejorar la seguridad de su objetivo de evaluación.
Paquetes de reglas en Amazon InspectorA continuación figuran los paquetes de reglas disponibles en Amazon Inspector:
Version Última versión de50
Amazon Inspector Guía del usuarioVulnerabilidades y exposiciones comunes
• Vulnerabilidades y exposiciones comunes (p. 51)• Referencias del Center for Internet Security (CIS, Centro para la seguridad de Internet) (p. 51)• Prácticas recomendadas de seguridad (p. 52)• Análisis del comportamiento del tiempo de ejecución (p. 56)
Vulnerabilidades y exposiciones comunesLas reglas de este paquete ayudar a verificar si las EC2 instances de sus objetivos de evaluación estánexpuestas a vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés). Los ataquespueden aprovecharse de las vulnerabilidades no parcheadas y poner en riesgo la confidencialidad,integridad o disponibilidad de su servicio o sus datos. El sistema de CVE proporciona un método dereferencia para las vulnerabilidades y exposiciones de seguridad de la información conocidas. Paraobtener más información, consulte https://cve.mitre.org/.
Si una determinada CVE aparece en un hallazgo creado por una evaluación de Amazon Inspector, puedebuscar en https://cve.mitre.org/ el identificador de la CVE (por ejemplo, CVE-2009-0021). Los resultadosde la búsqueda pueden proporcionar información detallada sobre esta CVE, su gravedad y cómo mitigarla.
Las reglas incluidas en este paquete le ayudarán a evaluar si sus EC2 instances están expuestas a lasCVE en la siguiente lista: https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt. El paquete dereglas de las CVE se actualiza periódicamente; esta lista incluye las CVE incluidas en las evaluaciones quese producen al mismo tiempo que se recupera la lista.
Para obtener más información, consulte Disponibilidad de paquetes de reglas en los sistemas operativoscompatibles (p. 60).
Referencias del Center for Internet Security (CIS,Centro para la seguridad de Internet)
El programa CIS Security Benchmarks (referencias de seguridad del CIS) ofrece prácticas recomendadasde la industria bien definidas, no sesgadas y basadas en consensos para ayudar a las organizacionesa evaluar y mejorar su seguridad. Amazon Web Services es una empresa miembro del CIS SecurityBenchmarks, y la lista de certificados de Amazon Inspector se puede consultar aquí.
En la actualidad, Amazon Inspector ofrece los siguientes paquetes de reglas certificados por el CIS paraayudar a establecer configuraciones seguras para los siguientes sistemas operativos:
• Amazon Linux 2015.03 (referencia del CIS para Amazon Linux 2014.09-2015.03, v1.1.0, perfil de nivel 1)• Windows Server 2008 R2 (referencia del CIS para Microsoft Windows 2008 R2, v3.0.0, controlador de
dominio de nivel 1)• Windows 2008 R2 (referencia del CIS para Microsoft Windows Server 2008 R2, v3.0.0, perfil de servidor
miembro de nivel 1)• Windows Server 2012 R2 (referencia del CIS para Microsoft Windows Server 2012 R2, v2.2.0, perfil de
servidor miembro de nivel 1)• Windows Server 2012 R2 (referencia del CIS para Microsoft Windows Server 2012 R2, v2.2.0, perfil de
controlador de dominio de nivel 1)• Windows Server 2012 (referencia del CIS para Microsoft Windows Server 2012 sin R2, v2.0.0, perfil de
servidor miembro de nivel 1)• Windows Server 2012 (referencia del CIS para Microsoft Windows Server 2012 sin R2, v2.0.0, perfil de
controlador de dominio de nivel 1)
Version Última versión de51
Amazon Inspector Guía del usuarioPrácticas recomendadas de seguridad
Si una determinada referencia del CIS aparece en un hallazgo creado por una ejecución de evaluaciónde Amazon Inspector, puede descargar una descripción detallada de la referencia en PDF desde https://benchmarks.cisecurity.org/ (es necesario un registro gratuito). El documento de referencia proporcionainformación detallada acerca de esta referencia del CIS, su gravedad y cómo mitigarla.
Para obtener más información, consulte Disponibilidad de paquetes de reglas en los sistemas operativoscompatibles (p. 60).
Prácticas recomendadas de seguridadLas reglas de este paquete ayudar a determinar si sus sistemas están configurados de forma segura.
Important
En esta versión de Amazon Inspector, puede incluir en sus objetivos de evaluación instancias EC2que ejecuten sistemas operativos basados en Linux o Windows.Durante una ejecución de evaluación, las reglas de todos los paquetes que se describen en estetema generan hallazgos únicamente para las instancias EC2 que ejecutan sistemas operativosbasados en Linux. Las reglas de estos paquetes NO generan resultados para las instancias EC2que ejecuten sistemas operativos basados en Windows.Para obtener más información, consulte Disponibilidad de paquetes de reglas en los sistemasoperativos compatibles (p. 60).
Temas• Disable Root Login over SSH (Desactivar el inicio de sesión raíz por SSH) (p. 52)• Support SSH Version 2 Only (Permitir solo SSH Versión 2) (p. 53)• Disable Password Authentication Over SSH (Desactivar la autenticación con contraseña con
SSH) (p. 53)• Configure Password Maximum Age (Configurar la edad máxima de la contraseña) (p. 54)• Configure Password Minimum Length (Configurar la longitud mínima de la contraseña) (p. 54)• Configure Password Complexity (Configurar la complejidad de la contraseña) (p. 54)• Enable ASLR (Activar ASLR) (p. 55)• Enable DEP (Activar DEP) (p. 55)• Configurar permisos para directorios del sistema (Configure Permissions for System
Directories) (p. 56)
Disable Root Login over SSH (Desactivar el inicio desesión raíz por SSH)Esta regla ayuda a determinar si el daemon SSH está configurado para permitir iniciar sesión en lainstancia EC2 como usuario raíz (root).
Gravedad: media (p. 50)
HallazgoEn el objetivo de evaluación hay una instancia configurada para permitir a los usuarios iniciar sesión concredenciales raíz por SSH. Esto aumenta la probabilidad de que se produzca un ataque de fuerza efectivo.
Version Última versión de52
Amazon Inspector Guía del usuarioSupport SSH Version 2 Only (Permitir solo SSH Versión 2)
ResoluciónLe recomendamos que configure la instancia EC2 para evitar que se inicie sesión con cuentas raíz porSSH. En su lugar, inicie sesión como usuario no raíz (non-root) y use sudo para escalar privilegios cuandosea necesario. Para desactivar el inicio de sesión con cuentas raíz SSH, configure PermitRootLogin comono en /etc/ssh/sshd_config y reinicie sshd.
Support SSH Version 2 Only (Permitir solo SSHVersión 2)Esta regla ayuda a determinar si sus EC2 instances están configuradas para permitir el protocolo SSHversión 1.
Gravedad: media (p. 50)
HallazgoUna EC2 instance de su objetivo de evaluación está configurada para permitir SSH 1, un protocolo quecontiene defectos de diseño inherentes que reducen en gran medida su seguridad.
ResoluciónLe recomendamos que configure EC2 instances en su objetivo de evaluación para permitir solo SSH 2 yversiones superiores. Para OpenSSH, puede hacerlo estableciendo Protocol 2 en /etc/ssh/sshd_config.Para obtener más información, consulte man sshd_config.
Disable Password Authentication Over SSH(Desactivar la autenticación con contraseña con SSH)Esta regla ayuda a determinar si sus EC2 instances se configuran para permitir la autenticación concontraseña mediante el protocolo SSH.
Gravedad: media (p. 50)
HallazgoUna EC2 instance de su objetivo de evaluación está configurada para permitir la autenticación concontraseña mediante SSH. La autenticación con contraseña es susceptible de recibir ataques de fuerzabruta y debe ser desactivada, siempre que sea posible, y reemplazada por la autenticación con clave.
ResoluciónLe recomendamos que deshabilite la autenticación con contraseña mediante SSH en sus instancias EC2y que habilite la autenticación con clave en su lugar. Esto reduce significativamente la probabilidad deque se produzcan ataques de fuerza bruta efectivos. Para obtener más información, consulte https://aws.amazon.com/articles/1233/. Si se permite la autenticación con contraseña, es importante restringir elacceso al servidor SSH solo a direcciones IP de confianza.
Version Última versión de53
Amazon Inspector Guía del usuarioConfigure Password Maximum Age
(Configurar la edad máxima de la contraseña)
Configure Password Maximum Age (Configurar laedad máxima de la contraseña)Esta regla ayuda a determinar si ha configurado una edad máxima para las contraseñas en sus EC2instances.
Gravedad: media (p. 50)
HallazgoUna EC2 instance de su objetivo de evaluación no tiene configurada una edad máxima para lascontraseñas.
ResoluciónSi está usando contraseñas, le recomendamos que configure una edad máxima para las contraseñasen todas las EC2 instances en su objetivo de evaluación. Esto requiere que los usuarios cambienhabitualmente sus contraseñas y reduce las posibilidades de que se produzca un ataque de averiguaciónde contraseña. Para solucionar este problema para los usuarios existentes, use el comando chage.Para configurar una edad máxima para las contraseñas para todos los usuarios futuros, edite el campoPASS_MAX_DAYS en el archivo /etc/login.defs.
Configure Password Minimum Length (Configurar lalongitud mínima de la contraseña)Esta regla ayuda a determinar si ha configurado una longitud mínima para las contraseñas en sus EC2instances.
Gravedad: media (p. 50)
HallazgoUna EC2 instance de su objetivo de evaluación no tiene configurada una longitud mínima para lascontraseñas.
ResoluciónSi está usando contraseñas, le recomendamos que configure una longitud mínima para las contraseñasen todas las EC2 instances en su objetivo de evaluación. Al establecer una longitud mínima para lascontraseñas, se reduce el riesgo de un ataque efectivo por averiguación de contraseñas. Para aplicar unalongitud mínima para las contraseñas, defina el parámetro minlen de pam_cracklib.so en su configuraciónPAM. Para obtener más información, consulte man pam_cracklib.
Configure Password Complexity (Configurar lacomplejidad de la contraseña)Esta regla ayuda a determinar si se ha configurado un mecanismo de complejidad de contraseñas en susEC2 instances.
Version Última versión de54
Amazon Inspector Guía del usuarioEnable ASLR (Activar ASLR)
Gravedad: media (p. 50)
HallazgoNo hay ningún mecanismo ni restricciones de complejidad de las contraseñas en las EC2 instances desu objetivo de evaluación. Esto permite a los usuarios establecer contraseñas sencillas, por lo que seaumentan las oportunidades de que los usuarios no autorizados accedan a cuentas y las usen de formairregular.
ResoluciónSi está usando contraseñas, le recomendamos que configure todas las instancias EC2 de su objetivode evaluación para exigir un nivel de complejidad en las contraseñas. Puede hacerlo usando los ajustesde pwquality.conf "lcredit", "ucredit", "dcredit" y "ocredit". Para obtener más información, consulte https://linux.die.net/man/5/pwquality.conf. Si pwquality.conf no está disponible en la instancia, puede establecerlos ajustes "lcredit", "ucredit", "dcredit" y "ocredit" a través de pam_cracklib.so. Para obtener másinformación, consulte man pam_cracklib.
Enable ASLR (Activar ASLR)Esta regla ayuda a determinar si la aleatorización de diseño de espacio de dirección (ASLR) está habilitadaen los sistemas operativos de las EC2 instances en su objetivo de evaluación.
Gravedad: media (p. 50)
HallazgoUna de las EC2 instances de su objetivo de evaluación no tiene activada la ASLR.
ResoluciónPara mejorar la seguridad de su objetivo de evaluación, le recomendamos que habilite la ASLR en lossistemas operativos de todas las EC2 instances en su objetivo de evaluación mediante la ejecución deecho 2 | sudo tee /proc/sys/kernel/randomize_va_space.
Enable DEP (Activar DEP)Esta regla ayuda a determinar si la prevención de ejecución de datos (DEP) está habilitada en los sistemasoperativos de las EC2 instances en su objetivo de evaluación.
Gravedad: media (p. 50)
HallazgoUna de las EC2 instances de su objetivo de evaluación no tiene activada la DEP.
ResoluciónLe recomendamos que habilite la DEP en los sistemas operativos de todas las EC2 instances en suobjetivo de evaluación. Si habilita la DEP protegerá sus instancias ante los riesgos de seguridad mediantetécnicas de desbordamiento del búfer.
Version Última versión de55
Amazon Inspector Guía del usuarioConfigurar permisos para directorios del sistema(Configure Permissions for System Directories)
Configurar permisos para directorios del sistema(Configure Permissions for System Directories)Esta regla comprueba los permisos de los directorios del sistema que contienen binarios e informaciónde configuración del sistema para garantizar que solo el usuario raíz (un usuario que inicia sesión concredenciales de una cuenta raíz) tenga permisos de escritura en estos directorios.
Gravedad: alta (p. 50)
HallazgoUna instancia EC2 en su objetivo de evaluación contiene un directorio del sistema en el que puedenescribir usuarios no raíz.
ResoluciónPara mejorar la seguridad de su objetivo de evaluación y para evitar el escalado de privilegios por parte deusuarios locales malintencionados, configure todos los directorios del sistema en todas las instancias EC2para que solo puedan escribir en ellos los usuarios que inicien sesión con credenciales de cuenta raíz.
Análisis del comportamiento del tiempo deejecución
Estas reglas analizan el comportamiento de sus instancias durante una ejecución de evaluación y ofrecenorientación sobre cómo aumentar la seguridad de sus instancias EC2.
Para obtener más información, consulte Disponibilidad de paquetes de reglas en los sistemas operativoscompatibles (p. 60).
Temas• Protocolos de cliente inseguros (inicio de sesión) (p. 56)• Protocolos de cliente inseguros (general) (p. 57)• Puertos de escucha TCP no usados (p. 57)• Protocolos de servidor inseguros (p. 58)• Software sin DEP (p. 58)• Proceso raíz con permisos no seguros (p. 59)
Protocolos de cliente inseguros (inicio de sesión)Esta regla detecta el uso de protocolos inseguros en un cliente para iniciar sesión en equipos remotos.
Important
En esta versión de Amazon Inspector puede incluir instancias EC2 que ejecuten sistemasoperativos basados en Linux o Windows en sus objetivos de evaluación.Esta regla genera hallazgos para las instancias EC2 que ejecuten sistemas operativos basadosen Linux o Windows.
Version Última versión de56
Amazon Inspector Guía del usuarioProtocolos de cliente inseguros (general)
Gravedad: media (p. 50)
HallazgoUna instancia EC2 de su objetivo de evaluación usa protocolos inseguros para conectarse a un hostremoto e iniciar sesión. Estos protocolos transmiten las credenciales sin encriptar, por lo que el riesgo derobo de credenciales es más alto.
ResoluciónSe recomienda sustituir estos protocolos inseguros por protocolos seguros, como, por ejemplo, SSH.
Protocolos de cliente inseguros (general)Esta regla detecta el uso protocolos inseguros en un cliente.
Important
En esta versión de Amazon Inspector puede incluir instancias EC2 que ejecuten sistemasoperativos basados en Linux o Windows en sus objetivos de evaluación.Esta regla genera hallazgos para las instancias EC2 que ejecuten sistemas operativos basadosen Linux o Windows.
Gravedad: Baja (p. 50)
HallazgoUna instancia EC2 de su objetivo de evaluación usa protocolos inseguros para conectarse a un hostremoto. Estos protocolos transmiten el tráfico de datos sin cifrar, por lo que aumenta el riesgo de que seproduzca un ataque de interceptación de tráfico.
ResoluciónSe recomienda sustituir estos protocolos inseguros por las versiones cifradas.
Puertos de escucha TCP no usadosEsta regla detecta puertos de escucha TCP que podrían no ser necesarios para el objetivo de evaluación.
Important
En esta versión de Amazon Inspector puede incluir instancias EC2 que ejecuten sistemasoperativos basados en Linux o Windows en sus objetivos de evaluación.Esta regla genera hallazgos para las instancias EC2 que ejecuten sistemas operativos basadosen Linux o Windows.
Gravedad: Informativo (p. 50)
HallazgoUna instancia EC2 en su objetivo de evaluación escucha en puertos TCP, pero no se ha detectado tráfico aestos puertos durante la ejecución de evaluación.
Version Última versión de57
Amazon Inspector Guía del usuarioProtocolos de servidor inseguros
ResoluciónPara reducir la superficie de ataque de sus implementaciones, le recomendamos que desactive losservicios de red que no utilice. En los casos en los que se necesiten servicios de red, le recomendamosque emplee mecanismos de control de red como VPC ACL, grupos de seguridad EC2 y cortafuegos paralimitar la exposición de dicho servicio.
Protocolos de servidor insegurosEsta regla ayuda a determinar si sus EC2 instances admiten el uso de puertos/servicios inseguros y sincifrar como FTP, Telnet, HTTP, IMAP, POP versión 3 SMTP, SNMP versiones 1 y 2, rsh y rlogin.
Important
En esta versión de Amazon Inspector puede incluir instancias EC2 que ejecuten sistemasoperativos basados en Linux o Windows en sus objetivos de evaluación.Esta regla genera hallazgos para las instancias EC2 que ejecuten sistemas operativos basadosen Linux o Windows.
Gravedad: Informativo (p. 50)
HallazgoUna EC2 instance en su objetivo de evaluación está configurado para admitir protocolos inseguros.
ResoluciónLe recomendamos que deshabilite los protocolos inseguros compatibles en una EC2 instance en suobjetivo de evaluación y que los sustituya por alternativas seguras como se indica a continuación:
• Desactive Telnet, rsh, y rlogin y sustitúyalos por SSH. En caso de que no sea posible, debe asegurarsede que el servicio inseguro esté protegido por controles de acceso a la red adecuados, como ACL de redde VPC y grupos de seguridad EC2.
• Sustituya el protocolo FTP por SCP o SFTP siempre que sea posible. En caso de que no sea posible,debe asegurarse de que el servidor FTP esté protegido por controles de acceso a la red apropiados,como ACL de red de VPC y grupos de seguridad EC2.
• Sustituya el protocolo HTTP por HTTPS siempre que sea posible. Para obtener información específicasobre el servidor web en cuestión, consulte http://nginx.org/en/docs/http/configuring_https_servers.html yhttp://httpd.apache.org/docs/2.4/ssl/ssl_howto.html.
• Desactive los servicios IMAP, POP3 y SMTP si no son necesarios. Si fuera necesario, le recomendamosque estos protocolos de correo electrónico se utilicen con protocolos cifrados como, por ejemplo, TLS.
• Desactive el servicio SNMP si no es necesario. Si fuera necesario, sustituya el SNMP v1 y v2 por laversión más segura, SNMP v3, que emplea comunicación cifrada.
Software sin DEPEsta regla detecta la presencia de software de terceros compilado no compatible con la Prevención deEjecución de Datos (Data Execution Prevention, DEP). La DEP aumenta la seguridad del sistema mediantela defensa frente al desbordamiento del búfer basado en pila y otros ataques por corrupción de la memoria.
Important
En esta versión de Amazon Inspector puede incluir instancias EC2 que ejecuten sistemasoperativos basados en Linux o Windows en sus objetivos de evaluación.
Version Última versión de58
Amazon Inspector Guía del usuarioProceso raíz con permisos no seguros
Durante la ejecución de evaluación, esta regla genera hallazgos exclusivamente para lasinstancias EC2 que ejecuten sistemas operativos basados en Linux o Windows. Esta regla NOgenera hallazgos para las instancias EC2 que ejecutan sistemas operativos basados en Windows.
Gravedad: media (p. 50)
HallazgoExisten archivos ejecutables que no admiten DEP en una instancia EC2 de su objetivo de evaluación.
ResoluciónSi no lo está utilizando, se recomienda desinstalar este software del objetivo de evaluacióno ponerse encontacto con el proveedor para obtener una versión actualizada de este software con DEP activada.
Proceso raíz con permisos no segurosEsta regla ayuda a detectar procesos raíz que cargan módulos que pueden ser modificados por usuariosno autorizados.
Important
En esta versión de Amazon Inspector puede incluir instancias EC2 que ejecuten sistemasoperativos basados en Linux o Windows en sus objetivos de evaluación.Durante la ejecución de evaluación, esta regla genera hallazgos exclusivamente para lasinstancias EC2 que ejecuten sistemas operativos basados en Linux o Windows. Esta regla NOgenera hallazgos para las instancias EC2 que ejecutan sistemas operativos basados en Windows.
Gravedad: alta (p. 50)
HallazgoExiste una instancia en su objetivo de evaluación que tiene uno o varios procesos de la raíz que usanobjetos compartidos vulnerables a modificaciones no autorizados. Estos objetos compartidos tienen unospermisos o una propiedad inadecuada y, por tanto, son vulnerables a la manipulación.
ResoluciónPara mejorar la seguridad de su objetivo de evaluación, se recomienda que corrija los permisos adecuadosen los módulos pertinentes para garantizar que solo se pueda escribir en ellos desde la raíz.
Version Última versión de59
Amazon Inspector Guía del usuario
Disponibilidad de paquetes dereglas en los sistemas operativoscompatibles
En la siguiente tabla se describe la disponibilidad de los paquetes de reglas de Amazon Inspector en lossistemas operativos que puede ejecutar en las instancias EC2 incluidas en sus objetivos de evaluación.
Note
Para obtener más información acerca de los sistemas operativos compatibles, consulte Sistemasoperativos y regiones compatibles con Amazon Inspector (p. 7).
Sistemasoperativoscompatibles
Vulnerabilidadesy exposicionescomunes
Referencias del CIS Prácticasrecomendadas deseguridad
Análisis delcomportamiento deltiempo de ejecución
AmazonLinux22017.12
Soportado Soportado Soportado
AmazonLinux2018.03
Soportado Soportado Soportado
AmazonLinux2017.09
Soportado Soportado Soportado
AmazonLinux2017.03
Soportado Soportado Soportado
AmazonLinux2016.09
Soportado Soportado Soportado
AmazonLinux2016.03
Soportado Soportado Soportado
AmazonLinux2015.09
Soportado Soportado Soportado
AmazonLinux2015.03
Soportado Soportado Soportado Soportado
AmazonLinux2014.09
Soportado Soportado
Version Última versión de60
Amazon Inspector Guía del usuario
Sistemasoperativoscompatibles
Vulnerabilidadesy exposicionescomunes
Referencias del CIS Prácticasrecomendadas deseguridad
Análisis delcomportamiento deltiempo de ejecución
AmazonLinux2014.03
Soportado Soportado
AmazonLinux2013.09
Soportado Soportado
AmazonLinux2013.03
Soportado Soportado
AmazonLinux2012.09
Soportado Soportado
AmazonLinux2012.03
Soportado Soportado
Ubuntu18.04LTS
Soportado Soportado Soportado
Ubuntu16.04LTS
Soportado Soportado Soportado
Ubuntu14.04LTS
Soportado Soportado Soportado
Debian9.0 -9.4
Soportado Soportado
RHEL6.2 -6.9 y7.2 -7.5
Soportado Soportado Soportado
CentOS6.2 -6.9 y7.2 -7.5
Soportado Soportado Soportado
WindowsServer2012R2
Soportado Soportado Soportado
Version Última versión de61
Amazon Inspector Guía del usuario
Sistemasoperativoscompatibles
Vulnerabilidadesy exposicionescomunes
Referencias del CIS Prácticasrecomendadas deseguridad
Análisis delcomportamiento deltiempo de ejecución
WindowsServer2012
Soportado Soportado Soportado
WindowsServer2008R2
Soportado Soportado Soportado
WindowsServer2016Base
Soportado Soportado
Version Última versión de62
Amazon Inspector Guía del usuarioInformación de Amazon Inspector en CloudTrail
Registro de llamadas a la APIen Amazon Inspector con AWSCloudTrail
Amazon Inspector está integrado con CloudTrail, un servicio que captura todas las llamadas a la API deAmazon Inspector y envía los archivos log a un bucket de Amazon S3 de su elección. CloudTrail capturalas llamadas a las API desde la consola de Amazon Inspector o desde su código a las API de AmazonInspector. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizóa Amazon Inspector, la dirección IP de origen desde la que se realizó la solicitud, quién realizó la solicitud,cuándo realizó, etcétera.
Para obtener más información sobre CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la AWSCloudTrail User Guide.
Información de Amazon Inspector en CloudTrailCuando el registro de CloudTrail está habilitado en su cuenta de AWS, las llamadas a la API realizadas alas acciones de Amazon Inspector se rastrean en los archivos log de CloudTrail, donde se escriben juntocon otros registros del servicio de AWS. CloudTrail determina cuándo crear y escribir en un nuevo archivoen función del período de tiempo y del tamaño del archivo.
Todas las acciones de Amazon Inspector se registran por parte de CloudTrail y se documentan en laReferencia de la API de Amazon Inspector.
Por ejemplo, las llamadas a las secciones CreateAssessmentTarget, CreateAssessmentTemplate yStartAssessmentRun generan entradas en los archivos de registro de CloudTrail.
Note
Para la integración de Amazon Inspector con CloudTrail, para las API de List* y Describe*,por ejemplo ListAssessmentTargets o DescribeAssessmentTargets, solo se registrala información de solicitud; para Create*, Start*, Stop* y el resto de API, por ejemploCreateResourceGroup, se registra tanto la información de solicitud como la de respuesta.
Cada entrada de log contiene información sobre quién generó la solicitud. La información de identidad delusuario en la entrada de log le ayuda a determinar lo siguiente:
• Si la solicitud se realizó con las credenciales del nodo raíz o del usuario de IAM.• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado• Si la solicitud la realizó otro servicio de AWS
Para obtener más información, consulte el elemento userIdentity de CloudTrail.
Puede almacenar los archivos log en su bucket de Amazon S3 durante todo el tiempo que desee,pero también puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos log
Version Última versión de63
Amazon Inspector Guía del usuarioComprensión de las entradas de
archivos log de Amazon Inspector
automáticamente. De forma predeterminada, los archivos log se cifran con cifrado de servidor de AmazonS3 (SSE).
Si desea recibir notificaciones sobre la entrega de archivos de log, puede configurar CloudTrail para quepublique las notificaciones de Amazon SNS cuando se envíen nuevos archivos de log. Para obtener másinformación, consulte Configuring Amazon SNS Notifications for CloudTrail.
También puede agregar archivos log de Amazon Inspector de varias regiones de AWS y de varias cuentasde AWS en un solo bucket de Amazon S3.
Para obtener más información, consulte Receiving CloudTrail Log Files from Multiple Regions y ReceivingCloudTrail Log Files from Multiple Accounts.
Comprensión de las entradas de archivos log deAmazon Inspector
Los archivos log de CloudTrail puede contener una o varias entradas de log. Cada entrada muestra varioseventos con formato JSON. Una entrada de log representa una única solicitud de cualquier origen eincluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud,etcétera. Las entradas de log no son un rastro de la pila ordenada de las llamadas API públicas, por lo queno aparecen en ningún orden específico.
En el ejemplo siguiente se muestra una entrada de log de CloudTrail que demuestra la acciónCreateResourceGroup de Amazon Inspector:
{ "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-04-14T17:05:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "userName": "Alice" } } }, "eventTime": "2016-04-14T17:12:34Z", "eventSource": "inspector.amazonaws.com", "eventName": "CreateResourceGroup", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "console.amazonaws.com", "requestParameters": { "resourceGroupTags": [ { "key": "Name", "value": "ExampleEC2Instance"
Version Última versión de64
Amazon Inspector Guía del usuarioComprensión de las entradas de
archivos log de Amazon Inspector
} ] }, "responseElements": { "resourceGroupArn": "arn:aws:inspector:us-west-2:444455556666:resourcegroup/0-oclRMp8B" }, "requestID": "148256d2-0264-11e6-a9b5-b98a7d3b840f", "eventID": "e5ea533e-eede-46cc-94f6-0d08e6306ff0", "eventType": "AwsApiCall", "apiVersion": "v20160216", "recipientAccountId": "444455556666"}
A partir de la información de este evento, puede determinar que la solicitud se realizó para crear un nuevogrupo de recursos (utilizando la API CreateResourceGroup de Amazon Inspector) con el par clave-valorde Name y ExampleEC2Instance para identificar la instancia EC2 que se ha de incluir en el nuevo grupode recursos. También puede ver que la solicitud fue realizada por un usuario de IAM llamado Alice el 14de abril de 2016.
En el ejemplo siguiente se muestra una entrada de log de CloudTrail que demuestra la acciónDescribeAssessmentTargets de Amazon Inspector:
{ "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-04-14T17:05:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "userName": "Alice" } } }, "eventTime": "2016-04-14T17:30:49Z", "eventSource": "inspector.amazonaws.com", "eventName": "DescribeAssessmentTargets", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "console.amazonaws.com", "requestParameters": { "assessmentTargetArns": [ "arn:aws:inspector:us-west-2:444455556666:target/0-ABcQzlXc", "arn:aws:inspector:us-west-2:444455556666:target/0-nvgVhaxX" ] }, "responseElements": null, "requestID": "a103f654-0266-11e6-93e6-890abdd45f56", "eventID": "bd7de684-2b2f-4d45-8cef-d22bf17bcb13", "eventType": "AwsApiCall", "apiVersion": "v20160216", "recipientAccountId": "444455556666"
Version Última versión de65
Amazon Inspector Guía del usuarioComprensión de las entradas de
archivos log de Amazon Inspector
},
A partir de esta información de evento, puede determinar que la solicitud se realizó paradescribir dos objetivos de evaluación con las ARN correspondientes, arn:aws:inspector:us-west-2:444455556666:target/0-ABcQzlXc y arn:aws:inspector:us-west-2:444455556666:target/0-nvgVhaxX(usando la API DescribeAssessmentTargets de Amazon Inspector). También puede ver que lasolicitud fue realizada por un usuario de IAM llamado Alice el 14 de abril de 2016. Tenga en cuenta que,según la implementación de la integración de Amazon Inspector con CloudTrail y dado que es una APIList*, solo se registra la información de la solicitud (los ARN especifican los objetivos de evaluación que sedeben describir). La lista de elementos de respuesta no se registra y se deja en nulo.
Version Última versión de66
Amazon Inspector Guía del usuarioMétricas de CloudWatch en Amazon Inspector
Monitorización de Amazon Inspectorcon CloudWatch
Puede monitorizar Amazon Inspector con Amazon CloudWatch, que recopila y procesa los datos sinprocesar y los convierte en métricas legibles casi en tiempo real. Estas estadísticas se registran enCloudWatch para que pueda acceder a la información histórica y obtener una mejor perspectiva sobrecómo está funcionando Amazon Inspector.
De forma predeterminada, Amazon Inspector envía los datos de las métricas a CloudWatch en periodos de5 minutos. Puede usar la consola de administración de AWS, la CLI de AWS o una API para obtener unalista de las métricas que envía Amazon Inspector a CloudWatch.
Para obtener más información sobre Amazon CloudWatch, consulte la Guía del usuario de AmazonCloudWatch.
Métricas de CloudWatch en Amazon InspectorEl espacio de nombres de Amazon Inspector incluye las siguientes métricas:
Métricas AssessmentTargetARN:
Métrica Descripción
TotalMatchingAgentsNúmero de agentes quecoinciden con este objetivo
TotalHealthyAgentsNúmero de agentes quecoinciden con este objetivo yestán en buen estado
TotalAssessmentRunsNúmero de ejecuciones deevaluación para este objetivo
TotalAssessmentRunFindingsNúmero de hallazgos para esteobjetivo
Métricas AssessmentTemplateARN:
Métrica Descripción
TotalMatchingAgentsNúmero de agentes quecoinciden con esta plantilla
TotalHealthyAgentsNúmero de agentes quecoinciden con esta plantilla yestán en buen estado
TotalAssessmentRunsNúmero de ejecuciones deevaluación para esta plantilla
Version Última versión de67
Amazon Inspector Guía del usuarioMétricas de CloudWatch en Amazon Inspector
Métrica Descripción
TotalAssessmentRunFindingsNúmero de hallazgos para estaplantilla
Métricas agrupadas
Métrica Descripción
TotalAssessmentRunsNúmero de ejecuciones deevaluación en esta cuenta deAWS
Version Última versión de68
Amazon Inspector Guía del usuario
Configuración de Amazon Inspectormediante AWS CloudFormation
Los siguientes temas contienen información de referencia para todos los recursos de Amazon Inspectorcompatibles con AWS CloudFormation:
• AWS::Inspector::AssessmentTarget• AWS::Inspector::AssessmentTemplate• AWS::Inspector::ResourceGroup
Important
Si desea obtener información de referencia sobre todos los ARN de paquetes de reglas deAmazon Inspector en todas las regiones admitidas, consulte Apéndice: ARN de paquetes dereglas de Amazon Inspector (p. 78).
Version Última versión de69
Amazon Inspector Guía del usuarioAutenticación
Autenticación y control de acceso deAmazon Inspector
El acceso a Amazon Inspector requiere credenciales que AWS puede utilizar para autenticar lassolicitudes. Estas credenciales deben tener permisos para obtener acceso a los recursos de AWS, comoobjetivos de evaluación, plantillas de evaluación o hallazgos de Amazon Inspector. En las seccionessiguientes, se incluye información detallada acerca de cómo utilizar AWS Identity and Access Management(IAM) y Amazon Inspector para ayudar a proteger sus recursos al controlar quién puede obtener acceso aellos:
• Autenticación (p. 70)• Control de acceso (p. 71)
AutenticaciónPuede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:
• Usuario de la cuenta raíz de AWS – Cuando crea por primera vez una cuenta de AWS, comienzaúnicamente por una identidad de inicio de sesión único que tiene acceso completo a todos los serviciosy recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWSy se obtiene acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña queutilizó para crear la cuenta. Le recomendamos que no utilice el usuario raíz en sus tareas cotidianas,ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendadade utilizar el usuario raíz exclusivamente para crear el primer usuario de IAM. A continuación, guardelas credenciales del usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas deadministración de cuentas y servicios.
• Usuario de IAM: un usuario de IAM es una identidad dentro de su cuenta de AWS que tiene permisospersonalizados específicos (por ejemplo, permisos para crear a directory in AWS Directory Service).Puede utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas webseguras de AWS, como la de Consola de administración de AWS, los foros de discusión de AWS o elAWS Support Center.
Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves cuando obtenga acceso a los servicios de AWS medianteprogramación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface(CLI). El SDK y las herramientas de CLI usan claves de acceso para firmar criptográficamente susolicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. AWS DirectoryService supports Signature Version 4, un protocolo para autenticar solicitudes de API de entrada. Paraobtener más información sobre las solicitudes de autenticación, consulte Signature Version 4 SigningProcess en la AWS General Reference.
• Rol de IAM: Un rol de IAM es una identidad de IAM que se puede crear en la cuenta y que tiene
permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una determinada persona.
Version Última versión de70
Amazon Inspector Guía del usuarioControl de acceso
Un rol de IAM le permite obtener claves de acceso temporal que se pueden utilizar para tener accesoa los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en lassiguientes situaciones:
• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades de
usuario existentes de AWS Directory Service, del directorio de usuarios de su compañía o de unproveedor de identidades web. Esto se conoce como usuarios federados. AWS asigna un rol a unusuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.
• Acceso al servicio de AWS: puede utilizar un rol de IAM en su cuenta para conceder permisos a un
servicio de AWS de forma que pueda tener acceso a los recursos de su cuenta. Por ejemplo, puedecrear un rol que permita a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombrey, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtenermás información, consulte Creating a Role to Delegate Permissions to an AWS Service en la Guía delusuario de IAM.
• Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar
credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en lainstancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas lasaplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol ypermite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones quese ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.
Control de accesoAunque disponga de credenciales válidas para autenticar solicitudes, si no tiene permisos, no podrácrear recursos de Amazon Inspector ni obtener acceso a ellos. Por ejemplo, debe disponer de permisospara crear un objetivo de evaluación y una plantilla de evaluación de Amazon Inspector para iniciar unaevaluación.
En las secciones siguientes, se describe cómo administrar los permisos de Amazon Inspector. Lerecomendamos que lea primero la información general.
• Introducción a la administración de permisos de acceso a sus recursos de Amazon Inspector (p. 71)• Uso de políticas basadas en identidad (políticas de IAM) para Amazon Inspector (p. 75)• Permisos de la API de Amazon Inspector: referencia de acciones, recursos y condiciones (p. 77)
Introducción a la administración de permisos deacceso a sus recursos de Amazon Inspector
Cada recurso de AWS es propiedad de una cuenta de AWS, y los permisos para crear o tener acceso aun recurso se rigen por las políticas de permisos. Un administrador de la cuenta puede asociar políticasde permisos a identidades de IAM (es decir, usuarios, grupos y roles) y algunos servicios (como AWSLambda) permiten también asociar políticas de permisos a recursos.
Version Última versión de71
Amazon Inspector Guía del usuarioRecursos y operaciones de Amazon Inspector
Note
Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios deadministrador. Para obtener más información, consulte la sección IAM Best Practices de la guíaGuía del usuario de IAM.
Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienenpermisos y qué acciones específicas desea permitir en esos recursos.
Temas• Recursos y operaciones de Amazon Inspector (p. 72)• Titularidad de los recursos (p. 72)• Administración del acceso a los recursos (p. 73)• Especificación de elementos de política: acciones, efectos, recursos y entidades principales (p. 74)• Especificar condiciones en una política (p. 74)
Recursos y operaciones de Amazon InspectorEn Amazon Inspector, los recursos principales son grupos de recursos, objetivos de evaluación, plantillasde evaluación, ejecuciones de evaluación y hallazgos. Estos recursos tienen nombres de recursos deAmazon (ARN) únicos asociados a ellos, tal y como se muestra en la siguiente tabla.
Tipo de recurso Formato de ARN
Grupo de recursos arn:aws:inspector:región:id-cuenta:resourcegroup/ID
Objetivo de evaluación arn:aws:inspector:región:id-cuenta:target/ID
Plantilla de evaluación arn:aws:inspector:región:id-cuenta:target/ID:template:ID
Ejecución de evaluación arn:aws:inspector:región:id-cuenta:target/ID/template/ID/run/ID
Hallazgo arn:aws:inspector:región:id-cuenta:target/ID/template/ID/run/ID/finding/ID
Amazon Inspector proporciona un conjunto de operaciones para trabajar con los recursos de AmazonInspector. Para obtener una lista de operaciones disponibles, consulte Acciones.
Titularidad de los recursosEl propietario de los recursos es la cuenta de AWS que ha creado el recurso. Es decir, el propietario delos recursos es la cuenta de AWS de la entidad principal (cuenta raíz, usuario de IAM o rol de IAM) queautentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:
• Si utiliza las credenciales de cuenta raíz de su cuenta de AWS para crear un objetivo de evaluación deAmazon Inspector, su cuenta de AWS será la propietaria de este recurso.
• Si crea un usuario de IAM en su cuenta de AWS y le concede permisos para crear un objetivo deevaluación de Amazon Inspector, ese usuario puede crear un objetivo de evaluación de AmazonInspector. Sin embargo, su cuenta de AWS, a la que pertenece el usuario, es la propietaria del recursode objetivo de evaluación de Amazon Inspector.
• Si crea un rol de IAM en su cuenta de AWS con permisos para crear un objetivo de evaluación deAmazon Inspector, cualquier persona que pueda asumir el rol podrá crear un objetivo de evaluación deAmazon Inspector. Su cuenta de AWS, a la que pertenece el rol, es la propietaria del recurso de objetivode evaluación de Amazon Inspector.
Version Última versión de72
Amazon Inspector Guía del usuarioAdministración del acceso a los recursos
Administración del acceso a los recursosUna política de permisos describe quién tiene acceso a qué. En la siguiente sección, se explican lasopciones disponibles para crear políticas de permisos.
Note
En esta sección, se explica cómo se utiliza IAM en el contexto de Amazon Inspector. No seproporciona información detallada sobre el servicio de IAM. Para ver la documentación completade IAM, consulte What Is IAM? en la Guía del usuario de IAM. Para obtener más informaciónsobre la sintaxis y descripciones de las políticas de IAM, consulte AWS IAM Policy Reference enla Guía del usuario de IAM.
Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas deIAM). Las políticas asociadas a un recurso se denominan políticas basadas en recursos. Amazon Inspectorsolo admite políticas basadas en identidad.
Temas• Políticas basadas en identidad (políticas de IAM) (p. 73)• id="access-control-manage-access-resource-based.title">Políticas basadas en recursos (p. 74)
Políticas basadas en identidad (políticas de IAM)Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
• Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuentapuede utilizar una política de permisos asociada a un usuario determinado para concederle permisos afin de crear un objetivo de evaluación de Amazon Inspector.
• Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una políticade permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por ejemplo, eladministrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta deAWS (por ejemplo, a la Cuenta B) o a un servicio de AWS como se indica a continuación:• El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que
concede permisos sobre los recursos de la Cuenta A.• El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B como
la entidad principal que puede asumir el rol.• A continuación, el administrador de la cuenta B puede delegar permisos para asumir el rol a cualquier
usuario de la cuenta B. De este modo, los usuarios de la cuenta B podrán crear recursos y teneracceso a ellos en la cuenta A. Si desea conceder permisos para asumir el rol a un servicio de AWS,la entidad principal de la política de confianza también puede ser la entidad principal de un servicio deAWS.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte AccessManagement en la Guía del usuario de IAM.
A continuación, se muestra un ejemplo de política que concede permisos para la accióninspector:ListFindings en todos los recursos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:ListFindings"
Version Última versión de73
Amazon Inspector Guía del usuarioEspecificación de elementos de política: acciones,
efectos, recursos y entidades principales
], "Resource": "*" } ]}
Para obtener más información acerca del uso de políticas basadas en identidad con Amazon Inspector,consulte Uso de políticas basadas en identidad (políticas de IAM) para Amazon Inspector (p. 75). Paraobtener más información acerca de los usuarios, grupos, roles y permisos, consulte Identities (Users,Groups, and Roles) en la Guía del usuario de IAM.
id="access-control-manage-access-resource-based.title">Políticas basadas en recursosOtros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Porejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dichobucket. Amazon Inspector no admite políticas basadas en recursos.
Especificación de elementos de política: acciones,efectos, recursos y entidades principalesPara cada recurso de Amazon Inspector (consulte Recursos y operaciones de AmazonInspector (p. 72)), el servicio define un conjunto de operaciones de API (consulte Actions). Paraconceder permisos para estas operaciones de API, Amazon Inspector define un conjunto de accionesque usted puede especificar en una política. Tenga en cuenta que la realización de una operación dela API puede requerir permisos para más de una acción. Cuando se conceden permisos para accionesespecíficas, también debe identificar el recurso en el que las acciones se autorizan o deniegan.
A continuación se indican los elementos más básicos de la política:
• Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso alque se aplica la política. Para obtener más información, consulte Recursos y operaciones de AmazonInspector (p. 72).
• Acción: utilice palabras de clave de acción para identificar las operaciones del recurso que deseapermitir o denegar. Por ejemplo, el permiso inspector:ListFindings concede a los usuariospermiso para realizar la operación ListFindings de Amazon Inspector.
• Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puedeser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso sedeniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarsede que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
• Entidad principal: en las políticas basadas en identidad (políticas de IAM), el usuario al que se asociaesta política es la entidad principal implícita.
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte AWS IAMPolicy Reference de la Guía del usuario de IAM.
Para ver una tabla con todas las acciones de API de Amazon Inspector y los recursos a los quese aplican, consulte Permisos de la API de Amazon Inspector: referencia de acciones, recursos ycondiciones (p. 77).
Especificar condiciones en una políticaAl conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones quese deben cumplir para que se aplique una política. Por ejemplo, es posible que desee que solo se aplique
Version Última versión de74
Amazon Inspector Guía del usuarioUso de políticas basadas en identidad
(políticas de IAM) para Amazon Inspector
una política después de una fecha específica. Para obtener más información sobre cómo especificarcondiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.
Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condiciónespecíficas para Amazon Inspector. No obstante, existen claves de condición que se aplican a todo AWSque puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulteAvailable Keys for Conditions en la Guía del usuario de IAM.
Uso de políticas basadas en identidad (políticas deIAM) para Amazon Inspector
En este tema se ofrecen ejemplos de políticas basadas en identidad en las que un administrador de lacuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles).
Important
Le recomendamos que consulte primero los temas de introducción en los que se explican losconceptos básicos y las opciones disponibles para administrar el acceso a sus recursos deAmazon Inspector. Para obtener más información, consulte Introducción a la administración depermisos de acceso a sus recursos de Amazon Inspector (p. 71).
En las secciones de este tema se explica lo siguiente:
• Permisos necesarios para usar la consola de Amazon Inspector (p. 75)• Políticas administradas (predefinidas) de AWS para Amazon Inspector (p. 76)• Ejemplos de políticas administradas por el cliente (p. 76)
A continuación se muestra un ejemplo de una política de permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:ListFindings" ], "Resource": "*" } ]}
Esta política de ejemplo incluye una instrucción que concede permiso para mostrar los hallazgos deAmazon Inspector. Amazon Inspector no admite los permisos de esta acción particular en el nivel derecursos. Por lo tanto, la política especifica un comodín (*) como valor de Resource .
Permisos necesarios para usar la consola de AmazonInspectorPara utilizar la consola de Amazon Inspector, un usuario debe tener los permisos concedidos porlas políticas AmazonInspectorFullAccess o AmazonInspectorReadOnlyAccess descritas en Políticas
Version Última versión de75
Amazon Inspector Guía del usuarioPolíticas administradas (predefinidas)
de AWS para Amazon Inspector
administradas (predefinidas) de AWS para Amazon Inspector (p. 76). Si crea una política de IAM quees más restrictiva que los permisos mínimos necesarios descritos en alguna de estas políticas (como lapolítica del ejemplo anterior), la consola no funcionará según lo previsto para los usuarios con esa políticade IAM.
Note
Un usuario que tenga asociada la política de ejemplo anterior puede mostrar sin problemashallazgos de Amazon Inspector llamando a la operación de la API ListFindings o al comandolist-findings de la CLI.
Políticas administradas (predefinidas) de AWS paraAmazon InspectorAWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadasy administradas por AWS. Estas políticas administradas conceden los permisos necesarios para casosde uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para obtener másinformación, consulte AWS Managed Policies en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que se pueden asociar a los usuarios de su cuenta, sonespecíficas de Amazon Inspector:
• AmazonInspectorFullAccess : proporciona acceso completo a Amazon Inspector.• AmazonInspectorReadOnlyAccess : proporciona acceso de solo lectura a Amazon Inspector.
También puede crear políticas de IAM personalizadas que permitan a los usuarios obtener acceso a lasacciones y recursos de la API necesarios. Puede asociar estas políticas personalizadas a los usuarios ogrupos de IAM que requieran esos permisos.
Ejemplos de políticas administradas por el clienteEn esta sección se proporcionan ejemplos de políticas de usuario que conceden permisos para diversasacciones de Amazon Inspector.
Note
Todos los ejemplos utilizan la región EE. UU. Oeste (Oregón) (us-west-2) y contienenidentificadores de cuenta ficticios.
Ejemplos• Ejemplo 1: Permitir que un usuario realice cualquier acción Describe y List con cualquier recurso de
Amazon Inspector (p. 76)• Ejemplo 2: Permitir que un usuario realice acciones Describe y List solo en los hallazgos de Amazon
Inspector (p. 77)
Ejemplo 1: Permitir que un usuario realice cualquier acciónDescribe y List con cualquier recurso de Amazon InspectorLa siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones queempiezan por Describe y List. Estas acciones muestran información sobre un recurso de AmazonInspector, como un objetivo de evaluación o hallazgo. Tenga en cuenta que el carácter comodín (*) enel elemento Resource indica que las acciones están permitidas para todos los recursos de AmazonInspector propiedad de la cuenta.
Version Última versión de76
Amazon Inspector Guía del usuarioPermisos de la API de Amazon Inspector:
referencia de acciones, recursos y condiciones
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "inspector:Describe*", "inspector:List*" ], "Resource":"*" } ]}
Ejemplo 2: Permitir que un usuario realice acciones Describe yList solo en los hallazgos de Amazon InspectorLa siguiente política de permisos concede permisos a un usuario solo para ejecutar operacionesListFindings y DescribeFindings. Estas acciones muestran información sobre los hallazgos deAmazon Inspector. Tenga en cuenta que el carácter comodín (*) en el elemento Resource indica que lasacciones están permitidas para todos los recursos de Amazon Inspector propiedad de la cuenta.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action": [ "inspector:DescribeFindings", "inspector:ListFindings" ], "Resource":"*" } ]}
Permisos de la API de Amazon Inspector:referencia de acciones, recursos y condiciones
En la tabla siguiente se muestra cada operación de API de Amazon Inspector, las accionescorrespondientes a las que puede conceder permisos para realizar la acción y el recurso de AWSal que puede conceder los permisos. Use esta tabla como referencia cuando configure Control deacceso (p. 71) y cree políticas de permisos que vaya a asociar a una identidad de IAM (políticasbasadas en identidad). Las acciones se especifican en el campo Action de la política y el valor delrecurso se especifica en el campo Resource de la política.
Puede utilizar claves de condiciones generales de AWS en sus políticas de Amazon Inspector paraexpresar condiciones. Para ver una lista completa de claves generales de AWS, consulte Available Keysfor Conditions en la Guía del usuario de IAM.
Note
Para especificar una acción, use el prefijo inspector: seguido del nombre de operación de laAPI (por ejemplo, inspector:CreateResourceGroup).
Version Última versión de77
Amazon Inspector Guía del usuarioEE.UU. Oeste (Oregón)
Apéndice: ARN de paquetes dereglas de Amazon Inspector
A continuación se ofrece una lista completa de los ARN de paquetes de reglas de Amazon Inspector entodas las regiones admitidas:
Temas• EE.UU. Oeste (Oregón) (p. 78)• EE.UU. Este (Norte de Virginia) (p. 78)• EE.UU. Este (Ohio) (p. 79)• EE.UU. Oeste (Norte de California) (p. 79)• Asia Pacífico (Mumbai) (p. 80)• Asia Pacífico (Sídney) (p. 80)• Asia Pacífico (Seúl) (p. 80)• Asia Pacífico (Tokio) (p. 81)• UE (Irlanda) (p. 81)• UE (Fráncfort) (p. 82)
EE.UU. Oeste (Oregón)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:us-west-2:758058086616:rulespackage/0-9hgA516p
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:us-west-2:758058086616:rulespackage/0-H5hpSawc
Prácticas recomendadas de seguridad arn:aws:inspector:us-west-2:758058086616:rulespackage/0-JJOtZiqQ
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:us-west-2:758058086616:rulespackage/0-vg5GGHSD
EE.UU. Este (Norte de Virginia)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:us-east-1:316112463485:rulespackage/0-gEjTy7T7
Version Última versión de78
Amazon Inspector Guía del usuarioEE.UU. Este (Ohio)
Nombre del paquete de reglas ARN
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:us-east-1:316112463485:rulespackage/0-rExsr2X8
Prácticas recomendadas de seguridad arn:aws:inspector:us-east-1:316112463485:rulespackage/0-R01qwB5Q
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:us-east-1:316112463485:rulespackage/0-gBONHN9h
EE.UU. Este (Ohio)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:us-east-2:646659390643:rulespackage/0-JnA8Zp85
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:us-east-2:646659390643:rulespackage/0-m8r61nnh
Prácticas recomendadas de seguridad arn:aws:inspector:us-east-2:646659390643:rulespackage/0-AxKmMHPX
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:us-east-2:646659390643:rulespackage/0-UCYZFKPV
EE.UU. Oeste (Norte de California)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:us-west-1:166987590008:rulespackage/0-TKgzoVOa
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:us-west-1:166987590008:rulespackage/0-xUY8iRqX
Prácticas recomendadas de seguridad arn:aws:inspector:us-west-1:166987590008:rulespackage/0-byoQRFYm
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:us-west-1:166987590008:rulespackage/0-yeYxlt0x
Version Última versión de79
Amazon Inspector Guía del usuarioAsia Pacífico (Mumbai)
Asia Pacífico (Mumbai)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-LqnJE9dO
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-PSUlX14m
Prácticas recomendadas de seguridad arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-fs0IZZBj
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:ap-south-1:162588757376:rulespackage/0-EhMQZy6C
Asia Pacífico (Sídney)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-D5TGAxiR
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-Vkd2Vxjq
Prácticas recomendadas de seguridad arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-asL6HRgN
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:ap-southeast-2:454640832652:rulespackage/0-P8Tel2Xj
Asia Pacífico (Seúl)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-PoGHMznc
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-T9srhg1z
Version Última versión de80
Amazon Inspector Guía del usuarioAsia Pacífico (Tokio)
Nombre del paquete de reglas ARN
Prácticas recomendadas de seguridad arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-2WRpmi4n
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:ap-northeast-2:526946625049:rulespackage/0-PoYq7lI7
Asia Pacífico (Tokio)
Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-gHP9oWNT
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-7WNjqgGu
Prácticas recomendadas de seguridad arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-bBUQnxMq
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:ap-northeast-1:406045910587:rulespackage/0-knGBhqEu
UE (Irlanda)
Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-ubA5XvBh
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-sJBhCr0F
Prácticas recomendadas de seguridad arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-SnojL3Z6
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:eu-west-1:357557129151:rulespackage/0-lLmwe1zd
Version Última versión de81
Amazon Inspector Guía del usuarioUE (Fráncfort)
UE (Fráncfort)Nombre del paquete de reglas ARN
Vulnerabilidades y exposicionescomunes
arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-wNqHa8M9
Comparaciones de configuración deseguridad del sistema operativo CIS
arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-nZrAVuv8
Prácticas recomendadas de seguridad arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-ZujVHEPB
Análisis del comportamiento del tiempode ejecución
arn:aws:inspector:eu-central-1:537503971621:rulespackage/0-0GMUM6fg
Version Última versión de82
