FAQ sur Amazon Inspector

Amazon Inspector est un service de gestion automatique des vulnérabilités qui analyse en permanence Amazon Elastic Compute Cloud (EC2), les fonctions AWS Lambda et les images de conteneurs dans Amazon ECR et au sein des outils d’intégration et de livraison continues (CI/CD), en temps quasi réel pour détecter les vulnérabilités logicielles et toute exposition involontaire au réseau.

Amazon Inspector supprime les coûts opérationnels associés au déploiement et à la configuration d’une solution de gestion des vulnérabilités puisqu’il est possible de le déployer sur tous les ’comptes en une seule étape.’ Autres avantages :

• Découverte automatisée et analyse continue permettant de découvrir les vulnérabilités en temps quasi réel

• Gestion, configuration et visualisation des résultats centralisées pour tous les comptes de votre organisation grâce à la création d'un compte d'administrateur délégué (DA)

• Un score de risque Amazon Inspector très contextualisé et significatif pour chaque résultat vous aide à définir des priorités de réponse plus précises

• Un tableau de bord Amazon Inspector intuitif pour les mesures de couverture, notamment les comptes, les instances Amazon EC2, les fonctions Lambda et les images de conteneurs dans Amazon ECR et dans les outils CI/CD, ainsi que les référentiels de code au sein de votre plateforme de gestion du code source (SCM), en temps quasi réel.

• Optimisez la couverture de l’évaluation des vulnérabilités en analysant de manière fluide les instances EC2 grâce à la possibilité d’alterner entre des analyses avec ou sans agent.

• Gérez de manière centralisée les exportations de la nomenclature logicielle (SBOM) pour toutes les ressources surveillées. 

• Intégration avec AWS Security Hub et Amazon EventBridge pour automatiser les flux et le routage des tickets

Pour désactiver Amazon Inspector Classic, il vous suffit de supprimer tous les modèles d’évaluation de votre compte. Vous pouvez télécharger les résultats des évaluations existantes sous forme de rapports ou les exporter à l'aide de l'API Amazon Inspector. Vous pouvez activer le nouvel Amazon Inspector en quelques étapes dans la Console de gestion AWS ou en utilisant les nouvelles API d’Amazon Inspector. Vous trouverez la procédure de migration dans le Guide de l’utilisateur d’Amazon Inspector Classic.

L’architecture d’Amazon Inspector a été repensée et rebâtie pour créer un nouveau service de gestion des vulnérabilités. Voici les principales améliorations apportées à Amazon Inspector Classic :

• Conçu pour la mise à l’échelle : le nouvel Amazon Inspector est conçu pour les mises à l’échelle et pour s’adapter à l’environnement dynamique du cloud. Il n’y a pas de limite au nombre d’instances ou d’images qui peuvent être numérisées simultanément.

• Prise en charge des images de conteneurs et des fonctions Lambda : le nouvel Amazon Inspector analyse également les images de conteneurs résidant dans Amazon ECR et dans les outils CI/CD, ainsi que les fonctions Lambda pour détecter les vulnérabilités logicielles. Les résultats liés aux conteneurs sont également transmis à la console Amazon ECR.

• Prise en charge de la gestion de plusieurs comptes : le nouvel Amazon Inspector est intégré à AWS Organizations, ce qui vous permet de déléguer un compte administrateur pour Amazon Inspector à votre organisation. Ce compte d’administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.

• AWS Systems Manager Agent : avec le nouvel Amazon Inspector, vous n’avez plus à installer et gérer un agent Amazon Inspector autonome sur toutes vos instances Amazon EC2. Le nouvel Amazon Inspector utilise l’agent AWS Systems Manager Agent (SSM Agent), largement déployé, ce qui supprime ce besoin.

• Analyse automatisée et continue : le nouvel Amazon Inspector détecte automatiquement toutes les instances Amazon EC2 récemment lancées, les fonctions Lambda et les images de conteneurs éligibles transmises à Amazon ECR, et y recherche instantanément les vulnérabilités logicielles et l’exposition involontaire au réseau. Lorsqu’un événement susceptible d’introduire une nouvelle vulnérabilité se produit, les ressources concernées font automatiquement l’objet d’une nouvelle analyse. Les événements qui déclenchent le réexamen d’une ressource comprennent l’installation d’un nouveau package dans une instance EC2, l’installation d’un correctif et la publication de nouvelles vulnérabilités et expositions courantes (CVE) ayant un impact sur la ressource.

• Score de risque Amazon Inspector : le nouvel Amazon Inspector calcule un score de risque en corrélant les informations CVE les plus récentes avec des facteurs temporels et environnementaux, tels que l’accessibilité du réseau et les informations sur l’exploitabilité, afin de fournir davantage d’informations pour faciliter la hiérarchisation des résultats.

• Couverture de l’évaluation des vulnérabilités  : le nouvel Amazon Inspector améliore l’évaluation des vulnérabilités en analysant de manière fluide les instances EC2 et en passant d’une analyse basée sur un agent à une analyse sans agent.

• Exportation de la nomenclature logicielle (SBOM) : le nouvel Amazon Inspector gère et exporte des SBOM de manière centralisée pour toutes les ressources surveillées. 

• Scannez vos référentiels : le nouvel Amazon Inspector avec son intégration native à GitHub et GitLab, vous permet d’identifier et de hiérarchiser rapidement les failles de sécurité et les erreurs de configuration dans le code source, les dépendances et l’infrastructure en tant que code (IaC) de votre application.

Oui, vous pouvez utiliser les deux simultanément sur le même compte.

Pour consulter les détails de tarification complets, rendez-vous sur la page de tarification d’Amazon Inspector.

Tous les nouveaux comptes Amazon Inspector peuvent bénéficier d’un essai gratuit de 15 jours pour évaluer le service et estimer son coût. Pendant la période d’essai, toutes les instances Amazon EC2 éligibles, les fonctions AWS Lambda et les images de conteneur transmises dans Amazon ECR sont analysées en continu sans frais. Vous pouvez également examiner les dépenses estimées dans la console Amazon Inspector. L’essai gratuit est également prolongé pour scanner vos dépôts de code avec Code Security.

Amazon Inspector est disponible dans le monde entier. La disponibilité spécifique par région est indiquée ici.

Vous pouvez activer Amazon Inspector pour l’ensemble de votre organisation ou pour un compte individuel en quelques étapes dans la console de gestion AWS. Une fois activé, Amazon Inspector découvre automatiquement les instances Amazon EC2 en cours d’exécution, les fonctions Lambda et les référentiels Amazon ECR, puis lance immédiatement et sans discontinuer la recherche de vulnérabilités logicielles et d’expositions réseau involontaires dans les charges de travail. Pour la sécurité du code, établissez une intégration sécurisée à votre plateforme de gestion du code source (SCM) pour commencer la numérisation. Si vous découvrez Amazon Inspector, sachez que vous pouvez bénéficier d’un essai gratuit de 15 jours.

Un résultat Amazon Inspector correspond à une vulnérabilité de sécurité potentielle. Par exemple, lorsqu’Amazon Inspector détecte des vulnérabilités logicielles ou des chemins réseau ouverts vers vos codes ou ressources de calcul, il crée des résultats de sécurité.

Oui. Amazon Inspector est intégré à AWS Organizations. Vous pouvez attribuer un compte DA pour Amazon Inspector, qui fait office de compte administrateur principal pour Amazon Inspector, et peut gérer et configurer cette solution de manière centralisée. Le compte DA permet d’afficher et de gérer de manière centralisée les résultats de tous les comptes de votre organisation AWS.

Le compte de gestion AWS Organizations peut attribuer un compte DA pour Amazon Inspector dans la console Amazon Inspector ou en utilisant les API Amazon Inspector.

Si vous démarrez Amazon Inspector pour la première fois, tous les types d’analyse, y compris l’analyse EC2, l’analyse Lambda et l’analyse des images de conteneurs ECR sont activés par défaut. Cependant, vous pouvez désactiver une partie ou la totalité de ces analyses sur tous les comptes de votre entreprise. Les utilisateurs existants peuvent activer de nouvelles fonctionnalités dans la console Amazon Inspector ou en utilisant les API d’Amazon Inspector.

Non, vous n’avez pas besoin d’un agent pour numériser. Pour analyser les vulnérabilités des instances Amazon EC2, vous pouvez utiliser l’AWS Systems Manager Agent (SSM Agent) pour une solution basée sur un agent. Amazon Inspector propose également une analyse sans agent si l’agent SSM n’est pas déployé ou configuré. Pour évaluer la joignabilité du réseau des instances Amazon EC2, l’analyse de vulnérabilité des images de conteneurs ou l’analyse de vulnérabilité des fonctions Lambda, aucun agent n’est nécessaire. 

Pour réussir la recherche de vulnérabilités logicielles dans les instances Amazon EC2, Amazon Inspector recommande que ces instances soient gérées par AWS Systems Manager et SSM Agent. Consultez Prérequis pour Systems Manager dans le guide de l’utilisateur d’AWS Systems Manager pour obtenir des instructions sur l’activation et la configuration de Systems Manager. Pour plus d’informations sur les instances gérées, consultez la section Instances gérées dans le Guide de l’utilisateur AWS Systems Manager. Pour les instances sur lesquelles aucun agent SSM n’est installé, elles peuvent être analysées via une analyse sans agent avec prise en charge du mode hybride.

Amazon Inspector prend en charge la configuration de règles d’inclusion pour sélectionner les référentiels ECR à analyser. Les règles d'inclusion peuvent être créées et gérées dans la page des paramètres du registre de la console ECR ou à l'aide des API ECR. Les référentiels ECR qui correspondent aux règles d'inclusion sont configurés pour l'analyse. L’état détaillé de l’analyse des référentiels est disponible dans les consoles ECR et Amazon Inspector.

Le volet consacré à la couverture de ressource dans le tableau de bord Amazon Inspector affiche les métriques des comptes, des instances Amazon EC2, des fonctions Lambda et des référentiels de code et référentiels ECR en cours d’analyse active par Amazon Inspector. Chaque instance et chaque image sont associées à un statut précisant si l’analyse est en cours ou non. Lorsque l'analyse est en cours, la ressource est analysée en continu en temps quasi réel. Si aucune analyse n’est en cours, il se peut que l’analyse initiale n’ait pas encore été effectuée, que le système d’exploitation ne soit pas pris en charge ou que quelque chose d’autre empêche l’analyse. Pour Code Security, l’état de numérisation actif ou inactif représente l’état, où Actif signifierait que la configuration de numérisation est configurée pour analyser périodiquement le projet.

Toutes les analyses sont effectuées automatiquement en fonction des événements. Toutes les charges de travail sont analysées à leur découverte, puis réanalysées par la suite.

• Pour les instances Amazon EC2 : pour les analyses basées sur un agent SSM, les nouvelles analyses sont lancées lorsqu’un nouveau logiciel est installé ou désinstallé sur une instance, lorsqu’un nouveau CVE est publié, et après la mise à jour d’un paquet vulnérable (pour confirmer qu’il n’y a pas de vulnérabilité supplémentaire). Pour les analyses sans agent, les analyses sont effectuées toutes les 24 heures.

• Pour les images de conteneur Amazon ECR : les nouvelles analyses automatiques sont lancées pour les images de conteneur éligibles lorsqu’un nouveau CVE affectant une image est publié. Les nouvelles analyses automatisées pour les images de conteneurs sont basées sur les durées de nouvelle analyse configurées pour la dernière date d’utilisation et la date d’extraction de l’image dans la console Amazon Inspector ou les API. Si la date de transmission d’une image est inférieure à la « Durée de réanalyse de la date de diffusion » configurée et que la dernière utilisation de l’image se situe dans les limites de la « durée de réanalyse de la date d’extraction » configurée, l’image du conteneur continuera à être surveillée et les nouvelles analyses automatiques démarrent lorsqu’un nouveau CVE affectant une image est publié. Les configurations de durée de nouvelle réanalyse disponibles pour la date de transmission de l’image sont de 14 jours (par défaut), 30 jours, 60 jours, 90 jours ou 180 jours. Les configurations de durée de réanalyse pour la date d’extraction de l’image sont de 14 jours (par défaut), 30 jours, 60 jours, 180 jours ou à vie.

• Pour les fonctions Lambda : toutes les nouvelles fonctions Lambda sont initialement évaluées lors de leur découverte, et continuellement réévaluées en cas de mise à jour de la fonction Lambda ou lorsqu’un nouveau CVE est publié.

• Pour les référentiels de code : tous les nouveaux référentiels de code sont évalués conformément aux paramètres de configuration par défaut. Si des analyses périodiques et/ou des analyses basées sur les modifications sont configurées, les référentiels seront analysés conformément aux déclencheurs configurés. Aucune nouvelle analyse automatique basée sur la CVE n’est déclenchée.

Les images de conteneurs résidant dans les référentiels Amazon ECR configurés pour une analyse continue sont analysées pendant la durée configurée dans la console Amazon Inspector ou dans les API. Les configurations de durée de réanalyse disponibles pour la date de dernière utilisation de l’image sont de 14 jours (par défaut), 30 jours, 60 jours, 90 jours ou 180 jours. Les configurations de durée de réanalyse pour la date d’extraction de l’image sont de 14 jours (par défaut), 30 jours, 60 jours, 180 jours ou à vie.

• Lorsque la numérisation Amazon Inspector ECR est activée, Amazon Inspector ne récupère que les images transmises au cours des 14 derniers jours pour les numériser, mais les analyse en continu pendant la durée de nouvelle numérisation configurée pour les dates de dernière utilisation et de transmission, c’est-à-dire 14 jours (par défaut), 30 jours, 60 jours, 90 jours ou 180 jours. Si la date de transmission d’une image est inférieure à la « Durée de réanalyse de la date de diffusion » configurée ET que l’image a une date de dernière utilisation dans les limites de la « durée de réanalyse de la dernière utilisation » configurée, l’image du conteneur continuera à être surveillée et les nouvelles analyses automatiques démarrent lorsqu’un nouveau CVE affectant une image est publié. Par exemple, lors de l’activation de l’analyse ECR d’Amazon Inspector, Amazon Inspector récupère les images transmises au cours des 14 derniers jours à des fins d’analyse. Toutefois, après l’activation, si vous sélectionnez une durée de nouvelle analyse de 30 jours pour les configurations de dernière utilisation, Amazon Inspector continuera à analyser les images si elles ont été transmises au cours des 30 derniers jours ou si elles ont été utilisées au moins une fois sur un conteneur en cours d’exécution au cours des 30 derniers jours. Si une image n’a pas été transmise ou si elle a été utilisée pour la dernière fois sur un conteneur en cours d’exécution au cours des 30 derniers jours, Amazon Inspector cessera de la surveiller.

• Toutes les images transférées vers ECR après l’activation de l’analyse ECR d’Amazon Inspector sont analysées en continu pendant la durée configurée dans « Durée de la réanalyse à la dernière utilisation » et « Durée de la nouvelle analyse à la date de transmission ». Les configurations de durée de nouvelle numérisation disponibles pour la date de transmission de l’image sont de 14 jours (par défaut), 30 jours, 60 jours, 90 jours, 180 jours ou à vie. Les configurations de durée de réanalyse pour la dernière utilisation de l’image sont de 14 jours (par défaut), 30 jours, 60 jours, 90 jours ou 180 jours. La durée de la nouvelle analyse automatique est calculée en fonction de la date de dernière utilisation ou d’extraction d’une image de conteneur. Par exemple, après avoir activé l’analyse ECR d’Amazon Inspector, si vous sélectionnez une durée de nouvelle analyse de 180 jours pour les configurations de données de dernière utilisation, Amazon Inspector continuera à analyser les images si elles ont été transmises au cours des 180 derniers jours ou utilisées pour la dernière fois dans un conteneur au cours des 180 derniers jours. Toutefois, si une image n’a pas été envoyée ou si elle a été utilisée pour la dernière fois sur un conteneur en cours d’exécution au cours des 180 derniers jours, Amazon Inspector cessera de la surveiller.

• Si l’état de l’image indique que l’éligibilité à l’analyse a expiré, vous pouvez extraire l’image pour la placer à nouveau sous la surveillance d’Amazon Inspector. L’image sera analysée en continu pendant la durée de la réanalyse configurée à partir de date de la dernière extraction.

• Pour les instances Amazon EC2 : Oui, une instance EC2 peut être exclue de l’analyse en ajoutant une balise de ressource. Vous pouvez utiliser la clé « InspectorEc2Exclusion », et la valeur est <optional>.

• Pour les images de conteneur résidant dans Amazon ECR : Oui. Bien que vous puissiez sélectionner les référentiels Amazon ECR configurés pour l'analyse, toutes les images d'un référentiel seront analysées. Vous pouvez créer des règles d'inclusion pour sélectionner les référentiels qui doivent être analysés.

• Pour les fonctions Lambda : Oui, une fonction Lambda peut être exclue de l’analyse en ajoutant une balise de ressource. Pour une numérisation standard, utilisez la clé « InspectorExclusion » et la valeur « LambdaStandardScanning ». Pour scanner le code, utilisez la clé « InspectorCodeExclusion » et la valeur « LambdaCodeScanning ».

• Pour la sécurité du code : Oui, vous pouvez sélectionner les référentiels de code configurés pour la numérisation. Vous pouvez créer des règles d’inclusion pour sélectionner les référentiels à analyser dans vos configurations de numérisation.

Dans une structure à plusieurs comptes, vous pouvez activer Amazon Inspector pour les évaluations des vulnérabilités Lambda pour tous vos comptes au sein d’AWS Organization à partir de la console Amazon Inspector ou des API via le compte administrateur délégué (DA), tandis que les autres comptes membres peuvent activer Amazon Inspector pour leur propre compte si l’équipe de sécurité centrale ne l’a pas déjà activé pour eux. Les comptes qui ne font pas partie d’AWS Organization peuvent activer Amazon Inspector pour leur compte individuel via la console Amazon Inspector ou les API.

Amazon Inspector contrôlera et évaluera en permanence uniquement la version $LATEST. Les nouvelles analyses automatisées ne se poursuivront que pour la dernière version, de sorte que les nouveaux résultats ne seront générés que pour la dernière version. Dans la console, vous pourrez voir les résultats de n’importe quelle version en la sélectionnant dans la liste déroulante.

Non. Deux options s’offrent à vous : activer le scan Lambda standard seul ou activer le scan Lambda standard et le scan de code en même temps. L'analyse standard Lambda fournit une protection de sécurité fondamentale contre les dépendances vulnérables utilisées dans l'application déployée sous forme de fonctions Lambda et de couches d'association. L’analyse du code Lambda apporte une valeur de sécurité supplémentaire en analysant le code de votre application propriétaire personnalisée au sein d’une fonction Lambda pour détecter les failles de sécurité du code telles que des failles d’injection, des fuites de données, un chiffrement faible ou des secrets intégrés.

La modification de la fréquence par défaut de collecte de l’inventaire SSM peut avoir un impact sur la continuité de l’analyse. Amazon Inspector s'appuie sur l’agent SSM Agent pour collecter l'inventaire des applications afin de générer des résultats. Si la durée de l’inventaire des applications est augmentée par rapport à la valeur par défaut de 30 minutes, cela retardera la détection des modifications apportées à l’inventaire des applications, et les nouveaux résultats pourraient être retardés.

Le score de risque Amazon Inspector est une notation hautement contextualisée qui est générée pour chaque résultat en corrélant les informations sur les vulnérabilités et expositions courantes (CVE) avec les résultats d’accessibilité du réseau, les données d’exploitabilité et les tendances des médias sociaux. Il vous est ainsi plus facile de hiérarchiser les résultats et de vous concentrer sur les résultats les plus critiques et les ressources les plus vulnérables. Dans l'onglet Inspector Score (Score Inspector) du panneau latéral Findings Details (Détails des résultats), vous pouvez voir comment le score de risque Inspector a été calculé et quels facteurs l'ont influencé.

Supposez par exemple qu'un nouveau CVE ait été identifié sur votre instance Amazon EC2, qui ne peut être exploité qu'à distance. Si les analyses continues d'accessibilité au réseau d'Amazon Inspector découvrent également que l'instance n'est pas accessible depuis Internet, la vulnérabilité a moins de chances d'être exploitée. Par conséquent, Amazon Inspector met en corrélation les résultats de l’analyse avec le CVE pour ajuster le score de risque à la baisse, reflétant plus précisément l’impact du CVE sur cette instance.

Amazon Inspector vous permet de supprimer des résultats en fonction des critères personnalisés que vous définissez. Vous pouvez créer des règles de suppression pour les résultats qui sont considérés comme acceptables par votre organisation.

Vous pouvez générer des rapports dans différents formats (CSV ou JSON) en quelques étapes dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec tous les résultats, ou générer et charger un rapport personnalisé basé sur les filtres d’affichage définis dans la console.

Vous pouvez générer et exporter des SBOM pour toutes les ressources surveillées avec Amazon Inspector, dans plusieurs formats (CycloneDX ou SPDX), en quelques étapes dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec SBOM pour toutes les ressources, ou générer et télécharger de manière sélective des SBOM pour quelques ressources sélectionnées en fonction des filtres d’affichage définis.

Pour les clients Amazon Inspector existants qui utilisent un seul compte, vous pouvez activer la numérisation sans agent en accédant à la page de gestion du compte dans la console Amazon Inspector ou en utilisant des API.

Pour les clients Amazon Inspector existants qui utilisent AWS Organizations, votre administrateur délégué doit soit migrer complètement l’ensemble de l’organisation vers une solution sans agent, soit continuer à utiliser exclusivement la solution basée sur un agent SSM. Vous pouvez modifier la configuration du mode de numérisation depuis la page des paramètres EC2 de la console ou via des API.

Pour les nouveaux clients Amazon Inspector, le mode de numérisation hybride est activé par défaut lorsque vous activez le scan EC2. En mode d’analyse hybride, Amazon Inspector s’appuie sur les agents SSM pour la collecte de l’inventaire des applications afin d’évaluer les vulnérabilités et revient automatiquement à l’analyse sans agent pour les instances sur lesquelles aucun agent SSM n’est installé ou configuré.

Pour les clients Amazon Inspector existants qui utilisent un seul compte, vous pouvez activer la numérisation sans agent (version préliminaire) en accédant à la page de gestion du compte dans la console Amazon Inspector ou en utilisant des API.

Pour les clients Amazon Inspector existants qui utilisent AWS Organizations, votre administrateur délégué doit soit migrer complètement l’ensemble de l’organisation vers une solution sans agent, soit continuer à utiliser exclusivement la solution basée sur un agent SSM. Vous pouvez modifier la configuration du mode de numérisation depuis la page des paramètres EC2 de la console ou via des API.

Pour les nouveaux clients Amazon Inspector, le mode de numérisation hybride est activé par défaut lorsque vous activez le scan EC2. En mode d’analyse hybride, Amazon Inspector s’appuie sur les agents SSM pour la collecte de l’inventaire des applications afin d’évaluer les vulnérabilités et revient automatiquement à l’analyse sans agent pour les instances sur lesquelles aucun agent SSM n’est installé ou configuré.

Amazon Inspector déclenchera automatiquement une analyse toutes les 24 heures pour les instances marquées pour une numérisation sans agent. Le comportement d’analyse continue ne sera pas modifié pour les instances marquées pour les analyses basées sur un agent SSM. 

Non, dans une configuration multi-comptes, seuls les administrateurs délégués peuvent configurer la configuration du mode d’analyse pour l’ensemble de l’organisation.

Les équipes chargées des applications et des plateformes peuvent intégrer Amazon Inspector à leurs pipelines de construction à l’aide de plug-ins Amazon Inspector spécialement conçus pour divers outils CI/CD, tels que Jenkins, AWS Code Pipeline, GitHub Actions et TeamCity. Ces plugins sont disponibles sur la place de marché de chaque outil CI/CD concerné. Une fois le plug-in installé, vous pouvez ajouter une étape dans le pipeline pour effectuer une évaluation de l'image du conteneur et prendre des mesures, telles que le blocage du pipeline en fonction des résultats de l'évaluation. Lorsque des vulnérabilités sont identifiées lors de l'évaluation, des résultats de sécurité exploitables sont générés. Ces résultats incluent des détails sur les vulnérabilités, des recommandations de remédiation et des détails sur l'exploitabilité. Ils sont renvoyés à l’outil CI/CD aux formats JSON et CSV, qui peut ensuite être traduit en un tableau de bord lisible par l’utilisateur à l’aide du plug-in Amazon Inspector ou peut être téléchargé par les équipes.

Non, vous n’avez pas besoin d’activer Amazon Inspector pour utiliser cette fonctionnalité à condition de disposer d’un compte AWS actif.

Oui. Amazon Inspector utilise SSM Agent pour collecter l’inventaire des applications, qui peuvent être configurées comme points de terminaison cloud privé virtuel (VPC) Amazon pour éviter d’envoyer des informations sur Internet.

Vous pouvez trouver la liste des systèmes d’exploitation (OS) pris en charge ici.

Vous pouvez trouver la liste des packages de langage de programmation pris en charge ici.

Oui. Les instances qui utilisent la NAT sont automatiquement prises en charge par Amazon Inspector.

Oui. Pour plus d’informations, consultez la section relative à la configuration de l’agent SSM Agent afin d’utiliser un proxy.

Amazon Inspector s’intègre à Amazon EventBridge pour fournir des notifications pour des événements tels qu’une nouvelle constatation, le changement d’état d’un résultat ou la création d’une règle de suppression. Amazon Inspector s’intègre également à AWS CloudTrail pour la journalisation des appels. Amazon Inspector s’intègre à Security Hub pour envoyer les résultats et obtenir une vue complète de l’organisation et des services

Oui. Vous pouvez exécuter Amazon Inspector pour effectuer des évaluations ciblées et à la demande par rapport à des tests de configuration CIS au niveau du système d’exploitation pour les instances Amazon EC2 de votre organisation AWS.

Oui. Voir Partenaires Amazon Inspector pour plus d’informations.

Oui. Vous pouvez désactiver tous les types d’analyse (analyse Amazon EC2, analyse des images de conteneur ECR et analyse de la fonction Lambda) en désactivant le service Amazon Inspector. Vous pouvez également désactiver chaque type d’analyse individuellement pour un compte.

Non. Amazon Inspector ne prend pas en charge un état suspendu.

Amazon Inspector fournit des fonctionnalités complètes de sécurité du code qui permettent de sécuriser les applications avant qu’elles ne soient mises en production. Le service fournit trois fonctionnalités clés pour la sécurité des applications. Les tests statiques de sécurité des applications (SAST) analysent le code source des applications afin d’identifier les vulnérabilités potentielles dans le code personnalisé. L’analyse de la composition logicielle (SCA) évalue les dépendances avec des tiers afin de s’assurer que les bibliothèques et les packages ne présentent pas de risques cachés. L’analyse de l’infrastructure en tant que code (IaC) valide les définitions de l’infrastructure afin d’éviter les erreurs de configuration avant le déploiement. Ces fonctionnalités fonctionnent ensemble pour fournir une vue complète de la sécurité des applications, du code à l’infrastructure.

Amazon Inspector s’intègre à GitHub et GitLab pour intégrer l’analyse de sécurité tout au long du processus de développement. Vous pouvez évaluer la sécurité du code à plusieurs étapes : lorsque les développeurs modifient le code par le biais d’une pull request, d’une demande de fusion ou de modifications de code push dans les référentiels, à la demande ou par le biais d’examens de sécurité planifiés. Cette flexibilité permet à vos équipes de mettre en œuvre des analyses de sécurité conformes à leurs pratiques de développement. En s’adaptant aux flux de travail existants, Amazon Inspector permet de faire de la sécurité une partie intégrante du cycle de développement sans perturber la productivité de l’équipe.

Amazon Inspector prend en charge plusieurs fréquences de scan pour scanner vos référentiels de code. Vous pouvez choisir de numériser périodiquement selon un calendrier défini, soit chaque semaine un jour donné de la semaine, soit tous les mois. En outre, vous pouvez également activer le scan lorsque le code est modifié, comme pull_request ou merge_request, et lors de la commande push. Les projets individuels ou les référentiels peuvent également être scannés à la demande.

Amazon Inspector prend en charge une configuration de numérisation par défaut et une configuration de numérisation générale. La différence entre les deux réside dans le fait qu’une configuration de numérisation par défaut peut être automatiquement associée aux nouveaux projets découverts. La configuration de numérisation par défaut est intégrée au flux de travail d’intégration lors de l’établissement de la connexion à votre plateforme de gestion du code source (SCM). Vous pouvez ignorer la création d’une configuration de numérisation par défaut et vous pouvez toujours l’ajouter ultérieurement. Une configuration de numérisation générale est appliquée aux projets existants découverts au moment de la création de la configuration de numérisation uniquement.