Amazon Inspector mejora la seguridad de contenedores mediante el mapeo de imágenes de Amazon ECR a contenedores en ejecución

Tradución del blog original Amazon Inspector enhances container security by mapping Amazon ECR images to running containers

Al ejecutar cargas de trabajo en contenedores, es fundamental comprender cómo las vulnerabilidades del software pueden comprometer la seguridad de sus recursos. Si bien Amazon Elastic Container Registry (Amazon ECR) permitía identificar vulnerabilidades en las imágenes, no era posible determinar si estas imágenes estaban activas en contenedores ni monitorear su uso. Esta falta de visibilidad sobre las imágenes en ejecución en los clústeres dificultaba la priorización de correcciones basadas en patrones reales de implementación.

A partir de hoy, Amazon Inspector ofrece dos nuevas características que mejoran la gestión de vulnerabilidades, brindándole una visión más completa de sus imágenes de contenedores. En primer lugar, Amazon Inspector ahora mapea las imágenes de Amazon ECR con los contenedores en ejecución, permitiendo que los equipos de seguridad prioricen las vulnerabilidades basándose en los contenedores que se están ejecutando actualmente en su entorno. Con estas nuevas capacidades, puede analizar las vulnerabilidades en sus imágenes de Amazon ECR y priorizar los hallazgos según si están actualmente en ejecución y cuándo se ejecutaron por última vez en su entorno de contenedores. Además, puede ver el Amazon Resource Name (ARN) del clúster, el número de pods de Amazon Elastic Kubernetes Service (EKS) o tareas ECS.

En segundo lugar, estamos ampliando el soporte de análisis de vulnerabilidades a imágenes base mínimas, incluidas las imágenes scratch, distroless y Chainguard, y extendiendo el soporte para ecosistemas adicionales como Go toolchain, Oracle JDK & JRE, Amazon Corretto, Apache Tomcat, Apache httpd, WordPress (core, temas, plugins) y Puppeteer, ayudando a los equipos a mantener una seguridad robusta incluso en entornos de contenedores altamente optimizados.

A través del monitoreo y seguimiento continuo de imágenes que se ejecutan en contenedores, Amazon Inspector ayuda a los equipos a identificar qué imágenes de contenedor están ejecutándose activamente en su entorno y dónde están implementadas, detectando imágenes de Amazon ECR que se ejecutan en contenedores en Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Kubernetes Service (Amazon EKS), y cualquier vulnerabilidad asociada. Esta solución apoya a los equipos que gestionan imágenes de Amazon ECR en cuentas individuales de AWS, escenarios entre cuentas y AWS Organizations con capacidades de administrador delegado, permitiendo una gestión centralizada de vulnerabilidades basada en patrones de ejecución de imágenes de contenedor.

Veámoslo en acción
El análisis de imágenes de Amazon ECR ayuda a identificar vulnerabilidades en sus imágenes de contenedor mediante el análisis mejorado, que se integra con Amazon Inspector para proporcionar un análisis automatizado y continuo de sus repositorios. Para utilizar esta nueva función, debe habilitar el análisis mejorado ó enhanced scanning, en inglés, a través de la consola de Amazon ECR; puedes hacerlo siguiendo los pasos en la página de documentación de Configuración del análisis mejorado para imágenes en Amazon ECR. Ya tengo habilitado el análisis mejorado de Amazon ECR, así que no necesito realizar ninguna acción.

En la consola de Amazon Inspector con la opción de idioma en inglés, voy a General settings y selecciono ECR scanning settings en el panel de navegación. Aquí puedo configurar los nuevos ajustes del modo Image re-scan eligiendo entre Last in-use date y Last pull date. Lo dejo como está por defecto para Last in-use date y establezco la Image last in use date en 14 días. Esta configuración hace que Inspector monitoree mis imágenes según cuándo se ejecutaron por última vez en mis entornos de Amazon ECS o Amazon EKS en los últimos 14 días. Después de aplicar esta configuración, Amazon Inspector comienza a rastrear información sobre las imágenes que se ejecutan en contenedores y la incorpora a los hallazgos de vulnerabilidades, lo que me ayuda a centrarme en las imágenes que se ejecutan activamente en contenedores en mi entorno.

Una vez configurado, puedo ver información sobre las imágenes que se ejecutan en contenedores en el menú Details, donde puedo ver las fechas de último uso y extracción, junto con el recuento de pods de EKS o tareas de ECS.

Al seleccionar el número de Deployed ECS Tasks/EKS Pods, puedo ver el ARN del clúster, las fechas de último uso y el Tipo para cada imagen.

Para la demostración de visibilidad entre cuentas, tengo un repositorio con pods EKS desplegados en dos cuentas. En el menú de Resources coverage, voy a Container repositories, selecciono el nombre de mi repositorio y elijo Image tag. Como antes, puedo ver el número de pods EKS/tareas ECS desplegados.

Cuando selecciono el número de pods EKS/tareas ECS desplegados ó Deployed ECS Tasks/EKS Pods, en inglés, puedo ver que se está ejecutando en una cuenta diferente.

En el menú All Findings, puedo revisar cualquier vulnerabilidad y, al seleccionar una, puedo encontrar la fecha de último uso y las Tareas ECS/Pods EKS desplegados involucrados en la vulnerabilidad en los datos de Recurso afectado, lo que me ayuda a priorizar la remediación según el uso real.

En el menú Todos los hallazgos, ahora puede buscar vulnerabilidades dentro de la gestión de cuentas, utilizando filtros como Account ID, Image in use count y Image last in use at.

Características clave y consideraciones
Monitoreo basado en el ciclo de vida de la imagen del contenedor – Amazon Inspector ahora determina la actividad de la imagen según: duración del rango de fecha de envío de la imagen de 14, 30, 60, 90 o 180 días o de por vida, fecha de extracción de imagen de 14, 30, 60, 90 o 180 días, duración de detención desde nunca hasta 14, 30, 60, 90 o 180 días y estado de la imagen ejecutándose en el contenedor. Esta flexibilidad permite a las organizaciones adaptar su estrategia de monitoreo según el uso real de las imágenes de contenedor en lugar de basarse únicamente en eventos del repositorio. Para las cargas de trabajo de Amazon EKS y Amazon ECS, el último uso, envío y duración de extracción se establecen en 14 días, que ahora es el valor predeterminado para nuevos clientes.

Detalles de hallazgos conscientes del tiempo de ejecución – Para ayudar a priorizar los esfuerzos de remediación, cada hallazgo en Amazon Inspector ahora incluye la fecha lastInUseAt y el InUseCount, indicando cuándo se ejecutó por última vez una imagen en los contenedores y el número de pods EKS/tareas ECS desplegados que la utilizan actualmente. Amazon Inspector monitorea tanto los datos de fecha de última extracción de Amazon ECR como los datos de contenedores ejecutándose en tareas de Amazon ECS o pods de Amazon EKS para todas las cuentas, actualizando esta información al menos una vez al día. Amazon Inspector integra estos detalles en todos los informes de hallazgos y funciona perfectamente con Amazon EventBridge. Puede filtrar los hallazgos basándose en el campo lastInUseAt utilizando opciones de ventana móvil o rango fijo, y puede filtrar imágenes según su última fecha de ejecución dentro de los últimos 14, 30, 60 o 90 días.

Cobertura de seguridad integral – Amazon Inspector ahora proporciona evaluaciones unificadas de vulnerabilidades tanto para distribuciones Linux tradicionales como para imágenes base mínimas, incluyendo imágenes scratch, distroless y Chainguard a través de un único servicio. Esta cobertura extendida elimina la necesidad de múltiples soluciones de escaneo mientras mantiene prácticas de seguridad robustas en todo su ecosistema de contenedores, desde distribuciones tradicionales hasta entornos de contenedores altamente optimizados. El servicio simplifica las operaciones de seguridad proporcionando una gestión integral de vulnerabilidades a través de una plataforma centralizada, permitiendo una evaluación eficiente de todos los tipos de contenedores.

Visibilidad mejorada entre cuentas – La gestión de seguridad a través de cuentas individuales, configuraciones entre cuentas y AWS Organizations ahora está soportada mediante capacidades de administrador delegado. Amazon Inspector comparte información sobre imágenes ejecutándose en contenedores dentro de la misma organización, lo cual es particularmente valioso para cuentas que mantienen repositorios de imágenes maestras. Amazon Inspector proporciona todos los ARN para clústeres de Amazon EKS y Amazon ECS donde se ejecutan las imágenes, si el recurso pertenece a la cuenta con una API, proporcionando visibilidad integral a través de múltiples cuentas de AWS. El sistema actualiza la información de pods EKS o tareas ECS desplegados al menos una vez al día y mantiene automáticamente la precisión a medida que las cuentas se unen o abandonan la organización.

Disponibilidad y precios – Las nuevas capacidades de mapeo de contenedores están disponibles ahora en todas las regiones de AWS donde se ofrece Amazon Inspector sin costo adicional. Para comenzar, visite la documentación de Amazon Inspector. Para detalles de precios y disponibilidad regional, consulte la página de precios de Amazon Inspector.

PD: Escribir un blog post en AWS siempre es un esfuerzo de equipo, incluso cuando solo se ve un nombre bajo el título del post. En este caso, quiero agradecer a Nirali Desai por su generosa ayuda con la orientación técnica y experiencia, que hicieron posible y completa esta descripción general.

— Eli

How is the News Blog doing? Take this 1 minute survey!

(This survey is hosted by an external company. AWS handles your information as described in the AWS Privacy Notice. AWS will own the data gathered via this survey and will not share the information collected with survey respondents.)