Q : Qu'est-ce qu'Amazon Inspector ?
Amazon Inspector est un service d'évaluation de la sécurité automatisé qui vous permet de tester l'état de sécurité de vos applications exécutées sur Amazon EC2.

Q : Que puis-je faire avec Amazon Inspector ?
Amazon Inspector vous permet d'automatiser les évaluations des failles de sécurité tout au long de votre pipeline de développement et de déploiement ou par rapport à des systèmes de production statiques. Cela vous permet d'augmenter la fréquence des tests de sécurité dans le cadre d'opérations de développement et informatiques. Amazon Inspector est basé sur des agents, sur l'API et est fourni sous forme de service pour faciliter le déploiement, la gestion et l'automatisation.

Démarrez avec Amazon Inspector

Créez un compte gratuit

Q : Quels sont les composants du service Amazon Inspector ?
Amazon Inspector se compose d'un agent développé par Amazon installé dans le système d'exploitation de vos instances Amazon EC2 et d'un service d'évaluation de la sécurité utilisant la télémétrie de l'agent et la configuration AWS pour évaluer les incidents de sécurité et les vulnérabilités.

Q : Qu'est-ce qu'un template d'évaluation ?
Un template d'évaluation est une configuration que vous créez dans Amazon Inspector pour définir l'exécution d'une évaluation. Ce template d'évaluation comprend des packages de règles en fonction desquels vous souhaitez qu'Amazon Inspector évalue l'objectif de votre évaluation, la durée de l'exécution d'évaluation, les sujets Amazon Simple Notification Service (SNS) auxquels vous souhaitez qu'Amazon Inspector envoie des notifications concernant les états et les résultats de l'exécution d'évaluation, et des attributs spécifiques à Amazon Inspector (paires clé/valeur) que vous pouvez attribuer aux résultats générés par l'exécution d'évaluation.

Q : Qu'est-ce qu'une exécution d'évaluation ?
Une exécution d'évaluation est un processus qui consiste à identifier les problèmes de sécurité potentiels en analysant la configuration et le comportement de l'objectif de votre évaluation en fonction de packages de règles définis. Lors d'une exécution d'évaluation, l'agent surveille, collecte et analyse des données comportementales (télémétrie) dans l'objectif spécifié, telles que l'utilisation de canaux sécurisés, le trafic réseau entre les processus en cours d'exécution et les détails de la communication avec les services AWS. L'agent analyse ensuite les données et les compare à un ensemble de packages de règles de sécurité spécifié dans le template d'évaluation utilisé pendant l'exécution d'évaluation. Une fois terminée, l'évaluation génère une liste de résultats – des problèmes de sécurité potentiels de différents niveaux de gravité.

Q : L'exécution d'une analyse Amazon Inspector a-t-elle un impact sur les performances ?
Amazon Inspector et son agent ont été conçus pour avoir un impact minimal sur les performances pendant l'exécution d'une évaluation.

Q : Qu'est-ce qu'un objectif d'évaluation ?
Un objectif d'évaluation représente un ensemble de ressources AWS qui fonctionnent conjointement comme une unité pour vous aider à atteindre vos objectifs commerciaux. Amazon Inspector évalue l'état de sécurité des ressources qui constituent l'objectif d'évaluation. Vous créez un objectif d'évaluation à l'aide de balises Amazon EC2. Vous pouvez ensuite définir ces ressources étiquetées en tant qu'objectif d'évaluation pour une exécution d'évaluation définie par le template d'évaluation.

Q : Qu'est-ce qu'un résultat ?
Un résultat est un problème de sécurité potentiel découvert pendant l'évaluation de l'objectif spécifié exécutée via Amazon Inspector. Les résultats sont affichés dans la console Amazon Inspector ou extraits via l'API, et contiennent une description détaillée du problème de sécurité et une recommandation quant à sa résolution.

Q : Qu'est-ce qu'un package de règles ?
Un package de règles est un ensemble de tests de sécurité configurables dans le cadre d'un template d'évaluation et d'une exécution d'évaluation. Amazon Inspector possède de nombreux packages de règles, notamment les vulnérabilités et les failles les plus répandues (CVE), des références de configuration de système d'exploitation Center for Internet Security (CIS) et des bonnes pratiques de sécurité. Consultez la documentation Amazon Inspector pour obtenir la liste complète des packages de règles disponibles.

Q : Puis-je définir mes propres règles pour les templates d'évaluation ?
Non. Seules les règles prédéfinies sont initialement autorisées pour les exécutions d'évaluation. Cependant, au fil du temps, nous envisageons d'inclure des ensembles de règles premium provenant de fournisseurs sur AWS Marketplace et des règles personnalisées auto-développées.

Q : Dans quelles applications la solution Amazon Inspector recherche-t-elle des vulnérabilités ?
Amazon Inspector identifie les applications en interrogeant le gestionnaire de package ou le système d'installation des logiciels sur le système d'exploitation où est installé l'agent. Ainsi, l'évaluation des vulnérabilités porte sur tous les logiciels installés via le gestionnaire de package. La version et le niveau de patch des logiciels installés via d'autres méthodes ne sont pas reconnus par Amazon Inspector. Par exemple, les logiciels installés via apt, yum ou Microsoft Installer sont évalués par Amazon Inspector. Les logiciels installés via les commandes make config et make install, ou via des fichiers binaires directement copiés sur le système à l'aide de logiciels d'automatisation (comme Puppet ou Ansible) ne sont pas évalués par Amazon Inspector.

Q : Qu'est-ce qu'un rapport d'évaluation et que comprend-il ?
Un rapport d'évaluation Amazon Inspector peut être généré pour une évaluation dès que celle-ci se termine avec succès. Il s'agit d'un document qui décrit en détail les éléments testés dans le cadre de l'évaluation, ainsi que les résultats de celle-ci. Les résultats de votre analyse sont publiés sous la forme d'un rapport standard, qui peut être généré de façon à partager les résultats avec les autres membres de votre équipe et prendre des mesures correctrices, à enrichir les données de vérification de conformité ou à être stocké pour référence ultérieure.

Vous pouvez choisir entre deux types de rapports pour votre évaluation : un rapport de conclusion ou un rapport complet. Le rapport de conclusion contient une note de synthèse de l'évaluation, des instances visées, des ensembles de règles testés, des règles qui ont permis de produire les résultats, ainsi que des informations détaillées concernant chacune de ces règles et la liste des instances qui n'ont pas réussi la vérification. Le rapport complet contient toutes les informations du rapport de conclusion, mais également la liste des règles qui ont été vérifiées et ont réussi toutes les instances visées par l'évaluation.

Q : Que se passe-t-il si certains de mes objectifs sont indisponibles pendant une évaluation ?
Amazon Inspector rassemble les données de vulnérabilité de tous les objectifs disponibles et configurés dans le template d'évaluation, et renvoie les résultats de sécurité appropriés pour tous les objectifs disponibles. Si aucun objectif n'est disponible pour le template d'évaluation lors de son lancement, le système signale que l'évaluation ne peut pas avoir lieu et affiche la notification suivante : « The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template. »

Q : Comment les objectifs peuvent-ils devenir indisponibles ?
Les objectifs d'une évaluation peuvent être indisponibles pour différentes raisons, dont voici quelques exemples : l'instance EC2 est hors ligne ou ne répond pas ; l'agent Amazon Inspector n'est pas installé sur l'instance balisée (ciblée) ; l'agent Amazon Inspector installé est indisponible ou dans l'incapacité de renvoyer des données de vulnérabilité.

Q : Quelle est la tarification d'Amazon Inspector ?
La tarification d'Inspector est calculée en fonction du nombre d'exécutions d'évaluation et du nombre d'agents ou de systèmes qui ont été évalués pendant ces exécutions. C'est ce que l'on appelle les « évaluations d'agents ». Une période de facturation à la demande correspond à un mois civil, comme pour tous les services AWS. Exemples :

     1 exécution d'évaluation par rapport à 1 agent = 1 évaluation d'agent
     1 exécution d'évaluation par rapport à 10 agents = 10 évaluations d'agents
     10 exécutions d'évaluation par rapport à 2 agents chacune = 20 évaluations d'agents
     30 exécutions d'évaluation par rapport à 10 agents chacune = 300 évaluations d'agents

Si la liste ci-dessus représentait l'activité de votre compte concernant les exécutions d'évaluation Amazon Inspector pour une période de facturation donnée, 331 évaluations d'agents vous seraient facturées au total.

Le prix de chaque évaluation d'agent est calculée sur la base d'un modèle de tarification progressif. Plus le volume d'évaluations d'agents est élevé pendant une période de facturation donnée, plus le prix unitaire diminue. Par exemple, les deux premiers niveaux de la tarification des évaluations d'agents sont les suivants :

     Les 250 premières évaluations d'agents = 0,30 USD par évaluation d'agent
     Les 750 évaluations d'agents suivantes = 0,25 USD par évaluation d'agent

Par conséquent, si l'on reprend l'exemple ci-dessus comprenant au total 331 évaluations d'agents pour une période de facturation donnée, 0,30 USD vous seront facturés pour les 250 premières évaluations et 0,25 USD pour les 81 suivantes, soit un total de 95,25 USD pour la période de facturation. Pour consulter le tableau de tarification complet, rendez-vous sur la page de tarification d'Amazon Inspector.

Q : Est-il possible d'essayer gratuitement Amazon Inspector ?
Oui. Les 250 premières évaluations d'agents sont gratuites pendant les 90 premiers jours d'utilisation du service Amazon Inspector. Tous les comptes AWS qui utilisent le service Amazon Inspector pour la première fois peuvent bénéficier de cette offre.

Q : Quels sont les systèmes d'exploitation pris en charge par AWS Inspector ?
Veuillez consulter la documentation Amazon Inspector pour connaître la liste actuelle des systèmes d'exploitation pris en charge.

Q : Dans quelles régions le service Amazon Inspector est-il disponible ?
Veuillez consulter la documentation Amazon Inspector pour connaître la liste actuelle des régions prises en charge.

Q : Quelles versions de noyau Linux sont prises en charge par les évaluations Amazon Inspector ?
Vous pouvez exécuter des évaluations pour une instance EC2 avec un système d'exploitation basé sur Linux à l'aide des vulnérabilités et expositions fréquentes (CVE), des directives du Center for Internet Security (CIS) ou des ensemble de règles en matière de bonnes pratiques de sécurité, indépendamment de la version du noyau. Toutefois, pour exécuter une évaluation en utilisant l'ensemble de règles concernant l'analyse du comportement d'exécution, votre instance Linux doit posséder une version de noyau prise en charge par Amazon Inspector. Vous disposez ici de la liste à jour des versions de noyau Linux prises en charge pour les évaluations d'Amazon Inspector.

Q : Le service Amazon Inspector semble intéressant. Comment démarrer ?
Il suffit de vous inscrire à Amazon Inspector depuis AWS Management Console. Une fois votre inscription effectuée, installez l'agent Amazon Inspector approprié sur vos instances Amazon EC2, créez un nouveau modèle d'évaluation, sélectionnez les packages de règles que vous souhaitez utiliser et planifiez une exécution d'évaluation. Une fois le processus terminé, le système génère un rapport de résultats répertoriant tous les problèmes identifiés au niveau de votre environnement.

Q: L'agent Amazon Inspector doit-il être installé sur toutes les instances EC2 que je souhaite évaluer?
Oui. Au cours d'une évaluation, l'agent Amazon Inspector surveille le comportement du système d'exploitation et des applications de l'instance EC2 sur laquelle il est installé, recueille les données de configuration et de comportement et transmet les données au service Amazon Inspector.

Q: Comment puis-je installer Amazon Inspector Agent?
Il y a plusieurs façons d'installer l'agent. Pour les installations simples, vous pouvez l'installer manuellement sur chaque instance ou faire un chargement unique à l'aide de AWS Systems Manager Run Command document (AmazonInspector-ManageAWSAgent). Pour les déploiements plus importants, vous pouvez automatiser les installations d'agent à l'aide de EC2 User Data Function lors de la configuration de vos instances ou vous pouvez créer des installations automatisées de l'agent à l'aide d'AWS Lambda. Vous pouvez également lancer une instance EC2 à l'aide de l'AMI Amazon Linux avec l'agent Amazon Inspector préinstallé à partir de la console EC2 ou AWS Marketplace.

Q: Comment puis-je vérifier si l'agent Amazon Inspector est installé et en bonne santé sur mes instances EC2?
Vous pouvez afficher l'état de l'agent Amazon Inspector pour toutes les instances EC2 de votre cible d'évaluation en utilisant la fonctionnalité ‘Preview Targets’ disponible dans la console Inspecteur et via la requête de l'API PreviewAgents. L'état de l'agent indique si l'agent est installé sur l'instance EC2 et l'intégrité de l'agent. Outre l'état de l'Inspector Agent sur l'instance EC2 ciblée, l'ID d'instance, le nom d'hôte public et l'adresse IP publique (si elle est définie) sont également affichés, ainsi que des liens vers la console EC2 pour chaque instance.

Q : Le service Amazon Inspector peut-il être exécuté sans tagging des ressources ?
Non. Avec Amazon Inspector, vous devez utiliser des tags d'instance Amazon EC2 pour pouvoir exécuter une évaluation.

Q: Amazon Inspector accède-t-il aux autres services AWS de mon compte?
Amazon Inspector doit énumérer vos instances et balises EC2 pour identifier les instances spécifiées dans la cible d'évaluation. Amazon Inspector y a accès via un rôle lié au service créé en votre nom lorsque vous démarrez avec Inspector en tant que nouveau client ou dans une nouvelle région. Nous gérons nous-mêmes le rôle lié au service Amazon Inspector, vous ne risquez donc pas de révoquer par inadvertance des autorisations requises par Amazon Inspector. Pour certains clients existants, un rôle IAM enregistré lors de la création d'Inspector peut être utilisé pour accéder à d'autres services AWS jusqu'à ce que le rôle lié à un service Inspector soit créé. Vous pouvez créer le rôle lié à un service inspecteur via la page de tableau de bord de la console Inspecteur.

Q : J'utilise le protocole NAT pour mes instances. Sont-elles compatibles avec Amazon Inspector ?
Oui. Les instances utilisant le NAT sont prises en charge par Amazon Inspector sans nécessiter d'action particulière de votre part.

Q : J'utilise un proxy pour mes instances. Sont-elles compatibles avec Amazon Inspector ?
Oui. L'agent Amazon Inspector prend en charge les environnements de proxy. Les proxy HTTPS sont pris en charge pour les instances Linux, de même que le proxy WinHTTP pour les instances Windows. Consultez le guide de l'utilisateur Amazon InspectorUser Guide pour configurer la prise en charge d'un proxy par l'agent Amazon Inspector.

Q : Je souhaiterais régulièrement automatiser l'évaluation de mon infrastructure. Proposez-vous un mode de soumission automatisé des évaluations ?
Oui. Amazon Inspector fournit une API complète permettant la création automatique d'environnements d'application, la création d'évaluations, l'évaluation de politiques, la création d'exceptions de politique, des filtres, ainsi que l'extraction des résultats.

Q : Puis-je prévoir que des évaluations de sécurité s'exécutent à certaines dates et certaines heures ?
Oui. Les évaluations Amazon Inspector peuvent être déclenchées par des Amazon CloudWatch Event. Vous pouvez configurer un événement Schedule récurrent avec un taux récurrent fixe simple ou une expression Cron plus détaillée.

Q: Puis-je déclencher des évaluations de sécurité en fonction d'un événement?
Oui. Vous pouvez utiliser Amazon CloudWatch Events pour créer des modèles d'événement qui surveillent d'autres services AWS pour les actions permettant de déclencher une évaluation. Par exemple, vous pouvez créer un événement qui surveille AWS Auto Scaling pour les nouvelles instances Amazon EC2 lancées ou qui surveille les notifications AWS CodeDeploy lorsqu'un déploiement de code a été effectué avec succès. Une fois que CloudWatch Events a été configuré avec des modèles Amazon Inspector, ces événements d'évaluation sont affichés dans la console Inspecteur dans le cadre de vos modèles d'évaluation afin que vous puissiez voir tous les déclencheurs automatisés pour cette évaluation.

Q: Puis-je configurer des évaluations Amazon Inspector via AWS CloudFormation?
Oui, vous pouvez créer des groupes de ressources, des cibles d'évaluation et des modèles d'évaluation Amazon Inspector à l'aide de modèles AWS CloudFormation. Vous pouvez ainsi configurer automatiquement des analyses de sécurité pour vos instances EC2 à mesure que celles-ci sont déployées. Dans votre modèle CloudFormation, vous pouvez également installer l'agent Amazon Inspector avec amorçage sur les instances EC2. Pour ce faire, utilisez les commandes d'installation de l'agent dans AWS::CloudFormation::Init ou les données utilisateur EC2. Vous pouvez également créer des instances EC2 dans votre modèle CloudFormation via une AMI incluant l'agent Amazon Inspector de manière préinstallée.

Q : Où puis-je trouver des informations sur les métriques dans mes évaluations Amazon Inspector ?
Amazon Inspector publie automatiquement des données de métrique sur vos évaluations dans Amazon CloudWatch. Si vous utilisez CloudWatch, les statistiques d'évaluation de votre Inspector sont chargées automatiquement. Les métriques d'Inspector actuellement disponibles sont les suivantes : nombre d'évaluations exécutées, agents ciblés et résultats générés. Consultez la documentation sur Amazon Inspector pour en savoir plus sur les métriques d'évaluation publiées dans CloudWatch.

Q : Le service Amazon Inspector peut-il être intégré à d'autres services AWS pour la journalisation et les notifications ?
Amazon Inspector peut être intégré à Amazon SNS pour émettre des notifications concernant différents événements tels que les étapes de surveillance, les défaillances ou l'expiration des exceptions et peut être intégré à AWS CloudTrail pour la consignation des appels vers Amazon Inspector.

Q : qu'est-ce que le package de règles « Références de configuration de sécurité du Center for Internet Security pour les systèmes d'exploitation » ?
Les références de sécurité du CIS sont fournies par le Center for Internet Security et sont les seuls guides consensuels de bonnes pratiques en matière de configuration de sécurité. Ils sont développés et acceptés par les gouvernements, les entreprises, le secteur économique et le monde universitaire. Amazon Web Services est une entreprise membre des références de sécurité du CIS et la liste des certifications d'Amazon Inspector peut être consultée ici. Les règles de références CIS sont conçues comme des vérifications de sécurité réussies/échouées. Pour chaque vérification CIS échouée, Inspector génère un résultat avec une sévérité élevée. De plus, un résultat informatif est généré pour chaque instance qui liste toutes les règles CIS réussies et le résultat réussite/échec pour chaque règle.

Q : qu'est-ce que le package de règles « Vulnérabilités et expositions habituelles » ?
Les règles de faiblesses et expositions habituelles ou CVE vérifient l'exposition à des failles et des expositions de sécurité d'informations généralement connues. Les détails sur les règles CVE sont mis à disposition de tous sur la National Vulnerability Database (NVD). Nous utilisons le NVD's Common Vulnerability Scoring System (CVSS) comme source principale pour les informations de sévérité. Dans le cas où une CVE n'est pas noté par la NVD mais est présente dans l'Amazon Linux AMI Security Advisory (ALAS), nous utilisons la sévérité de l'avis d'Amazon Linux. Dans le cas où aucun score n'est disponible pour une CVE, nous ne reportons pas cette CVE comme résultat. Nous vérifions chaque jour les actualités de NVD et d'ALAS et nous mettons à jour nos packages de règles en conséquence.

Q : qu'est-ce que la sévérité d'un résultat ?
Chaque règle Amazon Inspector a un niveau de sévérité associé, qu'Amazon classe en élevé, moyen, bas ou informatif. La sévérité vous aide à hiérarchiser vos réponses face aux résultats.

Q : comment la sévérité est-elle déterminée ?
La sévérité d'une règle se base sur l'impact potentiel du problème de sécurité trouvé. Bien que certains packages de règles aient des niveaux de sévérité intégrés à la règle qu'ils fournissent, ce paramètre change souvent suivant l'ensemble de règles. Amazon Inspector normalise la sévérité des résultats dans l'ensemble des packages de règles disponibles en mappant les gravités individuelles aux classifications courantes élevée, moyenne, basse et informative. Pour les résultats avec une sévérité élevée, moyenne et basse, plus la sévérité du résultat est élevée, plus le problème sous-jacent a un impact de sécurité. Les résultats classés comme informatifs vous avertissent de problèmes de sécurité qui n'ont peut-être pas d'impact immédiat.

  • Pour les packages de règles pris en charge AWS, la sévérité est déterminée par l'équipe de sécurité AWS.
  • La sévérité du résultat du package de règles de références CIS est toujours paramétrée sur « élevée ».
  • Pour le package de règles CVE, Amazon Inspector a mappé la notation de base CVSS et les niveaux de sévérité ALAS fournis :
            sévérité Amazon Inspector        notation de base CVSS           gravité ALAS (si CVSS n'est pas noté)
            Elevée                                               >= 5                                  critique ou importante
            Moyenne                                         < 5 et >= 2,1                   moyenne
            Basse                                               < 2,1 et >= 0,8                basse
            Informative                                 < 0,8                                  non applicable

Q : Lorsque je décris les résultats via l'API (DescribeFindings), chaque résultat a un attribut « numericSeverity ». Qu'est-ce que cela signifie ?
L'attribut « numericSeverity » est la représentation numérique de la sévérité d'un résultat. Les valeurs attribuées à chaque niveau de sévérité sont les suivantes :
            Informative = 0,0
            Faible = 3,0
            Moyenne = 6,0
            Elevée = 9,0

Q : Le service Amazon Inspector fonctionne-t-il avec les solutions des partenaires AWS ?
Oui, Amazon Inspector possède des API publiques que les clients et partenaires AWS peuvent utiliser. Plusieurs partenaires ont intégré Amazon Inspector en incorporant les résultats dans des systèmes de messagerie électronique, des systèmes de tickets, des plates-formes de bipeurs ou des tableaux de bord de sécurité plus vastes. Pour en savoir plus sur les partenaires, veuillez consulter la page de présentation des partenaires Amazon Inspector.

Q : Le service Amazon Inspector est-il éligible HIPAA ?
Oui. Amazon Inspector est un service éligible HIPAA qui a été ajouté à l'AWS Business Associate Addendum (BAA). Si vous avez un BAA avec AWS, vous pouvez exécuter Inspector sur vos instances EC2 reprenant des données de santé protégées.

Q : Quels sont les programmes de conformité et d'assurance pris en charge par le service Amazon Inspector ?
Inspector prend en charge les programmes SOC 1, SOC 2, SOC 3, ISO 9001, ISO 27001, ISO 27017, ISO 27018 et HIPAA. Inspector satisfait aux contrôles pour la certification FedRAMP et nous attendons l'achèvement du rapport d'audit. Si vous voulez en savoir plus sur les services AWS concernés par le programme de conformité, consultez la page Services AWS concernés par le programme de conformité.