Inspector
📘 ¿Qué es Amazon Inspector?
Amazon Inspector es un servicio de seguridad automatizado que analiza los recursos de AWS (como EC2, ECR, Lambda) para detectar vulnerabilidades de seguridad, errores de configuración y exposiciones no intencionadas.
Proporciona evaluaciones continuas y priorizadas para ayudarte a mejorar tu postura de seguridad en la nube.
🧠 ¿Para qué sirve?
-
Identificar vulnerabilidades del sistema operativo y de software
-
Detectar configuraciones incorrectas en instancias EC2 y contenedores
-
Evaluar imágenes de contenedor en Amazon ECR
-
Asignar niveles de riesgo a los hallazgos según CVSS
-
Integrarse con otros servicios de seguridad para automatizar respuestas
🧩 ¿Qué analiza Amazon Inspector?
| Recurso evaluado | Tipo de análisis |
|---|---|
| EC2 | Evaluación de paquetes instalados (CVEs) |
| ECR | Análisis de imágenes de contenedor (vulnerabilidades de software) |
| Lambda | Análisis de dependencias (paquetes del runtime) |
| Red (VPC reachability) | Detección de puertos abiertos desde internet |
🧱 Funcionalidades clave
| Funcionalidad | Detalle |
|---|---|
| Análisis continuo | Revisión constante de recursos existentes y nuevos |
| Priorización de riesgos | Basado en puntuación CVSS, contexto y exploitabilidad |
| Integración con ECR | Escanea imágenes automáticamente al ser subidas o actualizadas |
| Notificaciones automáticas | A través de EventBridge, Security Hub o SNS |
| Detección de exposición en red | Para instancias EC2 con puertos abiertos accesibles |
⚙️ Arquitectura de funcionamiento
EC2 / ECR / Lambda
↓
Amazon Inspector scans
↓
Findings (vulnerabilidades CVE)
↓
EventBridge / Security Hub / SNS / Lambda
↓
Alerta / Acción automática / Mitigación📂 Ejemplo de hallazgo
{
"title": "CVE-2023-12345 in OpenSSL",
"severity": "HIGH",
"cvssScore": 9.8,
"resource": {
"type": "AWS::EC2::Instance",
"id": "i-0abc123def"
},
"recommendation": "Update OpenSSL to version 1.1.1k"
}🔐 Seguridad y permisos
Para usar Inspector, debes permitirle acceder a:
-
AWS Systems Manager (SSM) para recopilar datos de EC2
-
Amazon ECR para escaneo de imágenes
-
IAM roles con permisos gestionados de
AmazonInspector2ReadOnlyAccessoAmazonInspector2FullAccess
💰 Precios
| Tipo de análisis | Costo aproximado |
|---|---|
| EC2 | $0.30 por instancia/mes (escaneo continuo) |
| ECR | $0.09 por imagen escaneada |
| Lambda | $0.005 por función/mes |
Incluye 15 días de prueba gratuita por cuenta nueva.
✅ Ventajas
-
Análisis automatizado y continuo
-
Alta integración con el ecosistema AWS
-
Prioriza con base en contexto real de amenaza
-
Compatible con DevSecOps y CI/CD
-
Ayuda a cumplir estándares como CIS, PCI-DSS, NIST, ISO 27001
🧠 Preguntas tipo certificación
-
¿Qué servicio de AWS analiza vulnerabilidades en instancias EC2 y contenedores?
- ✅ Amazon Inspector
-
¿Qué protocolo sigue para priorizar riesgos?
- ✅ CVSS (Common Vulnerability Scoring System)
-
¿Amazon Inspector necesita agentes en EC2?
- ✅ No, pero requiere que EC2 esté gestionada por SSM
-
¿Puede integrarse con Amazon EventBridge para respuesta automática?
- ✅ Sí
-
¿Qué recurso permite evaluar imágenes de contenedor?
- ✅ Amazon ECR