Controles de Security Hub para Amazon Inspector - AWS Security Hub
[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Controles de Security Hub para Amazon Inspector

Estos controles de AWS Security Hub CSPM evalúan el servicio Amazon Inspector y sus recursos.

Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[Inspector.1] El análisis de EC2 en Amazon Inspector debe estar habilitado

Requisitos relacionados: PCI DSS v4.0.1/11.3.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::::Account

AWS Config Regla de: inspector-ec2-scan-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está habilitado el análisis de EC2 en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de EC2 en Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de EC2.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de EC2 para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de EC2 en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El análisis de EC2 en Amazon Inspector extrae metadatos de su instancia de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, los compara con las reglas recopiladas en los avisos de seguridad para generar resultados. Amazon Inspector analiza las instancias en busca de vulnerabilidades en los paquetes y problemas de accesibilidad a la red. Para obtener información sobre los sistemas operativos compatibles, incluido el sistema operativo que se puede analizar sin un agente SSM, consulte Sistemas operativos compatibles: análisis de Amazon EC2.

Corrección

Para activar el análisis de EC2 en Amazon Inspector, consulte Activación de análisis en la Guía del usuario de Amazon Inspector.

[Inspector.2] El análisis de ECR en Amazon Inspector debe estar habilitado

Requisitos relacionados: PCI DSS v4.0.1/11.3.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::::Account

AWS Config Regla de: inspector-ecr-scan-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está habilitado el análisis de ECR en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de ECR en Amazon Inspector está desactivado en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de ECR.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de ECR para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de ECR en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry (Amazon ECR) en busca de vulnerabilidades en el software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon Inspector para Amazon ECR, se configura Amazon Inspector como servicio de análisis preferido para su registro privado. Amazon Inspector reemplaza los análisis básicos, que se ofrecen de forma gratuita en Amazon ECR, por análisis mejorados, que se ofrecen y facturan a través de Amazon Inspector. Los análisis mejorados le ofrecen la ventaja de analizar vulnerabilidades tanto de sistemas operativos como de paquetes de lenguajes de programación en el nivel de registro. Puede revisar los resultados descubiertos a partir de análisis mejorados en el nivel de imagen, para cada capa de la imagen, en la consola de Amazon ECR. Además, puede revisar estos resultados y trabajar con ellos en otros servicios para los cuales no estén disponibles los resultados procedentes de análisis básicos, como AWS Security Hub CSPM y Amazon EventBridge.

Corrección

Para habilitar el análisis de ECR en Amazon Inspector, consulte Activating scans en la Guía del usuario de Amazon Inspector.

[Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado

Requisitos relacionados: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::::Account

AWS Config Regla de: inspector-lambda-code-scan-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está habilitado el análisis de código de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis de código de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis de código de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis de código de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis de códigos de Lambda en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El análisis de código de Lambda en Amazon Inspector examina el código personalizado de la aplicación en una función de AWS Lambda en busca de vulnerabilidades de código de acuerdo con las prácticas recomendadas de seguridad de AWS. El análisis de código de Lambda puede detectar fallos de inyección, fugas de datos, errores de criptografía débil o una falta de cifrado en el código. Esta característica está disponible en Regiones de AWS específicas solamente. Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado).

Corrección

Para habilitar el análisis de código de Lambda en Amazon Inspector, consulte Activación de análisis en la Guía del usuario de Amazon Inspector.

[Inspector.4] El análisis estándar de Lambda en Amazon Inspector debe estar habilitado

Requisitos relacionados: PCI DSS v4.0.1/6.2.4, PCI DSS v4.0.1/6.3.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::::Account

AWS Config Regla de: inspector-lambda-standard-scan-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está habilitado el análisis estándar de Lambda en Amazon Inspector. En el caso de una cuenta independiente, el control lanza un error si el análisis estándar de Lambda en Amazon Inspector está desactivado en la cuenta. En un entorno de varias cuentas, el control lanza un error si ni la cuenta de administrador delegado de Amazon Inspector ni ninguna de las cuentas de los miembros tienen habilitado el análisis estándar de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de Amazon Inspector. Solo el administrador delegado puede activar o desactivar la característica de análisis estándar de Lambda para las cuentas de los miembros en la organización. Los miembros de Amazon Inspector no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitado el análisis estándar de Lambda en Amazon Inspector. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en Amazon Inspector.

El análisis estándar de Lambda en Amazon Inspector identifica las vulnerabilidades en el software en las dependencias de los paquetes de la aplicación que añade a las capas y el código de una función de AWS Lambda. Si Amazon Inspector detecta una vulnerabilidad en las dependencias del paquete de la aplicación de la función de Lambda, Amazon Inspector genera un resultado detallado del tipo Package Vulnerability. Puede activar el análisis de código de Lambda junto al análisis estándar de Lambda (consulte [Inspector.3] El análisis de código de Lambda en Amazon Inspector debe estar habilitado).

Corrección

Para habilitar el análisis estándar de Lambda en Amazon Inspector, consulte Activación de análisis en la Guía del usuario de Amazon Inspector.