Q : Qu'est-ce qu'Amazon Inspector ?
Amazon Inspector est un service d'évaluation de la sécurité automatisé qui vous permet de tester l'état de sécurité de vos applications exécutées sur Amazon EC2.

Q : Que puis-je faire avec Amazon Inspector ?
Amazon Inspector vous permet d'automatiser les évaluations des failles de sécurité tout au long de votre pipeline de développement et de déploiement ou par rapport à des systèmes de production statiques. Cela vous permet d'augmenter la fréquence des tests de sécurité dans le cadre d'opérations de développement et informatiques. Amazon Inspector est basé sur des agents, sur l'API et est fourni sous forme de service pour faciliter le déploiement, la gestion et l'automatisation.

Démarrez avec Amazon Inspector

Créez un compte gratuit

Q : Qu'est-ce qu'un template d'évaluation ?
Un template d'évaluation est une configuration que vous créez dans Amazon Inspector pour définir l'exécution d'une évaluation. Ce template d'évaluation comprend des packages de règles en fonction desquels vous souhaitez qu'Amazon Inspector évalue l'objectif de votre évaluation, la durée de l'exécution d'évaluation, les sujets Amazon Simple Notification Service (SNS) auxquels vous souhaitez qu'Amazon Inspector envoie des notifications concernant les états et les résultats de l'exécution d'évaluation, et des attributs spécifiques à Amazon Inspector (paires clé/valeur) que vous pouvez attribuer aux résultats générés par l'exécution d'évaluation.

Q : Qu'est-ce qu'une exécution d'évaluation ?
Une exécution d'évaluation est un processus qui consiste à identifier les problèmes de sécurité potentiels en analysant la configuration et le comportement de l'objectif de votre évaluation en fonction de packages de règles définis. Lors d'une exécution d'évaluation, l'agent surveille, collecte et analyse des données comportementales (télémétrie) dans l'objectif spécifié, telles que l'utilisation de canaux sécurisés, le trafic réseau entre les processus en cours d'exécution et les détails de la communication avec les services AWS. L'agent analyse ensuite les données et les compare à un ensemble de packages de règles de sécurité spécifié dans le template d'évaluation utilisé pendant l'exécution d'évaluation. Une fois terminée, l'évaluation génère une liste de résultats – des problèmes de sécurité potentiels de différents niveaux de gravité.

Q : Qu'est-ce qu'un objectif d'évaluation ?
Un objectif d'évaluation représente un ensemble de ressources AWS qui fonctionnent conjointement comme une unité pour vous aider à atteindre vos objectifs commerciaux. Amazon Inspector évalue l'état de sécurité des ressources qui constituent l'objectif d'évaluation. Vous créez un objectif d'évaluation à l'aide de balises Amazon EC2. Vous pouvez ensuite définir ces ressources étiquetées en tant qu'objectif d'évaluation pour une exécution d'évaluation définie par le template d'évaluation.

Q : Qu'est-ce qu'un résultat ?
Un résultat est un problème de sécurité potentiel découvert pendant l'évaluation de l'objectif spécifié exécutée via Amazon Inspector. Les résultats sont affichés dans la console Amazon Inspector ou extraits via l'API, et contiennent une description détaillée du problème de sécurité et une recommandation quant à sa résolution.

Q : Qu'est-ce qu'un package de règles ?
Un package de règles est un ensemble de tests de sécurité configurables dans le cadre d'un template d'évaluation et d'une exécution d'évaluation. Amazon Inspector possède de nombreux packages de règles, notamment les vulnérabilités et les failles les plus répandues (CVE), des références de configuration de système d'exploitation CIS et des bonnes pratiques de sécurité. Consultez la documentation Amazon Inspector pour obtenir la liste complète des packages de règles disponibles.

Q : Qu'est-ce qu'un rapport d'évaluation et que comprend-il ?
Un rapport d'évaluation Amazon Inspector peut être généré pour une évaluation dès que celle-ci se termine avec succès. Il s'agit d'un document qui décrit en détail les éléments testés dans le cadre de l'évaluation, ainsi que les résultats de celle-ci. Les résultats de votre analyse sont publiés sous la forme d'un rapport standard, qui peut être généré de façon à partager les résultats avec les autres membres de votre équipe et prendre des mesures correctrices, à enrichir les données de vérification de conformité ou à être stocké pour référence ultérieure.

Vous pouvez choisir entre deux types de rapports pour votre évaluation : un rapport de conclusion ou un rapport complet. Le rapport de conclusion contient une note de synthèse de l'évaluation, des instances visées, des ensembles de règles testés, des règles qui ont permis de produire les résultats, ainsi que des informations détaillées concernant chacune de ces règles et la liste des instances qui n'ont pas réussi la vérification. Le rapport complet contient toutes les informations du rapport de conclusion, mais également la liste des règles qui ont été vérifiées et ont réussi toutes les instances visées par l'évaluation.

Q : Que se passe-t-il si certains de mes objectifs sont indisponibles pendant une évaluation ?
Amazon Inspector rassemble les données de vulnérabilité de tous les objectifs disponibles et configurés dans le template d'évaluation, et renvoie les résultats de sécurité appropriés pour tous les objectifs disponibles. Si aucun objectif n'est disponible pour le template d'évaluation lors de son lancement, le système signale que l'évaluation ne peut pas avoir lieu et affiche la notification suivante : « The assessment run could not executed at this time as there are no targeted instances available for the selected assessment template. »

Q : Comment les objectifs peuvent-ils devenir indisponibles ?
Les objectifs d'une évaluation peuvent être indisponibles pour différentes raisons, dont voici quelques exemples : l'instance EC2 est hors ligne ou ne répond pas ; l'agent Amazon Inspector n'est pas installé sur l'instance balisée (ciblée) ; l'agent Amazon Inspector installé est indisponible ou dans l'incapacité de renvoyer des données de vulnérabilité.

Q : Quelle est la tarification d'Amazon Inspector ?
La tarification d'Inspector est calculée en fonction du nombre d'exécutions d'évaluation et du nombre d'agents ou de systèmes qui ont été évalués pendant ces exécutions. C'est ce que l'on appelle les « évaluations d'agents ». Une période de facturation à la demande correspond à un mois civil, comme pour tous les services AWS. Exemples :

     1 exécution d'évaluation par rapport à 1 agent = 1 évaluation d'agent
     1 exécution d'évaluation par rapport à 10 agents = 10 évaluations d'agents
     10 exécutions d'évaluation par rapport à 2 agents chacune = 20 évaluations d'agents
     30 exécutions d'évaluation par rapport à 10 agents chacune = 300 évaluations d'agents

Si la liste ci-dessus représentait l'activité de votre compte concernant les exécutions d'évaluation Amazon Inspector pour une période de facturation donnée, 331 évaluations d'agents vous seraient facturées au total.

Le prix de chaque évaluation d'agent est calculée sur la base d'un modèle de tarification progressif. Plus le volume d'évaluations d'agents est élevé pendant une période de facturation donnée, plus le prix unitaire diminue. Par exemple, les deux premiers niveaux de la tarification des évaluations d'agents sont les suivants :

     Les 250 premières évaluations d'agents = 0,30 USD par évaluation d'agent
     Les 750 évaluations d'agents suivantes = 0,25 USD par évaluation d'agent

Par conséquent, si l'on reprend l'exemple ci-dessus comprenant au total 331 évaluations d'agents pour une période de facturation donnée, 0,30 USD vous seront facturés pour les 250 premières évaluations et 0,25 USD pour les 81 suivantes, soit un total de 95,25 USD pour la période de facturation. Pour consulter le tableau de tarification complet, rendez-vous sur la page de tarification d'Amazon Inspector.

Q : Est-il possible d'essayer gratuitement Amazon Inspector ?
Oui. Les 250 premières évaluations d'agents sont gratuites pendant les 90 premiers jours d'utilisation du service Amazon Inspector. Tous les comptes AWS qui utilisent le service Amazon Inspector pour la première fois peuvent bénéficier de cette offre.

Q : Dans quelles régions le service Amazon Inspector est-il disponible ?
Amazon Inspector est actuellement disponible dans les régions Asie-Pacifique (Mumbai), Asie-Pacifique (Séoul), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), UE (Irlande), USA Est (Virginie du Nord), USA Ouest (Californie du Nord) et USA Ouest (Oregon).

Q : Quelles versions de noyau Linux sont prises en charge par Amazon Inspector ?
Vous disposez ici de la liste à jour des versions de noyau Linux prises en charge pour les évaluations d'Amazon Inspector.

Q : Quels sont les composants du service Amazon Inspector ?
Amazon Inspector se compose d'un agent développé par Amazon, installé sur le système d'exploitation de vos instances Amazon EC2, et d'un service IAM, créé en un clic pendant la configuration du service Amazon Inspector. Ce rôle du service accorde des permissions à Amazon Inspector pour énumérer les instances et les tags pour le ciblage d'évaluation. Veuillez consulter la documentation Amazon Inspector pour connaître la liste actuelle des systèmes d'exploitation pris en charge.

Q : Le service Amazon Inspector semble intéressant. Comment démarrer ?
Il suffit de vous inscrire à Amazon Inspector depuis AWS Management Console. Une fois votre inscription effectuée, installez l'agent Amazon Inspector approprié sur vos instances Amazon EC2, créez un nouveau modèle d'évaluation, sélectionnez les packages de règles que vous souhaitez utiliser et planifiez une exécution d'évaluation. Une fois le processus terminé, le système génère un rapport de résultats répertoriant tous les problèmes identifiés au niveau de votre environnement.

Q : Le service Amazon Inspector fonctionne-t-il avec les solutions des partenaires AWS ?
Oui, Amazon Inspector possède des API publiques que les clients et partenaires AWS peuvent utiliser. Plusieurs partenaires ont intégré Amazon Inspector en incorporant les résultats dans des systèmes de messagerie électronique, des systèmes de tickets, des plates-formes de bipeurs ou des tableaux de bord de sécurité plus vastes. Pour en savoir plus sur les partenaires, veuillez consulter la page de présentation des partenaires Amazon Inspector.

Q : J'utilise le protocole NAT pour mes instances. Sont-elles compatibles avec Amazon Inspector ?
Oui. Les instances utilisant le NAT sont prises en charge par Amazon Inspector sans nécessiter d'action particulière de votre part.

Q : J'utilise un proxy pour mes instances. Sont-elles compatibles avec Amazon Inspector ?
Oui. L'agent Amazon Inspector prend en charge les environnements de proxy. Les proxy HTTPS sont pris en charge pour les instances Linux, de même que le proxy WinHTTP pour les instances Windows. Consultez le guide de l'utilisateur Amazon InspectorUser Guide pour configurer la prise en charge d'un proxy par l'agent Amazon Inspector.

Q : Dans quelles applications la solution Amazon Inspector recherche-t-elle des vulnérabilités ?
Amazon Inspector identifie les applications en interrogeant le gestionnaire de package ou le système d'installation des logiciels sur le système d'exploitation où est installé l'agent. Ainsi, l'évaluation des vulnérabilités porte sur tous les logiciels installés via le gestionnaire de package. La version et le niveau de patch des logiciels installés via d'autres méthodes ne sont pas reconnus par Amazon Inspector. Par exemple, les logiciels installés via apt, yum ou Microsoft Installer sont évalués par Amazon Inspector. Les logiciels installés via les commandes make config et make install, ou via des fichiers binaires directement copiés sur le système à l'aide de logiciels d'automatisation (comme Puppet ou Ansible) ne sont pas évalués par Amazon Inspector.

Q : Où puis-je trouver des informations sur les métriques dans mes évaluations Amazon Inspector ?
Amazon Inspector publie automatiquement des données de métrique sur vos évaluations dans Amazon CloudWatch. Si vous utilisez CloudWatch, les statistiques d'évaluation de votre Inspector sont chargées automatiquement. Les métriques d'Inspector actuellement disponibles sont les suivantes : nombre d'évaluations exécutées, agents ciblés et résultats générés. Consultez la documentation sur Amazon Inspector pour en savoir plus sur les métriques d'évaluation publiées dans CloudWatch.

Q : Le service Amazon Inspector peut-il être intégré à d'autres services AWS pour la journalisation et les notifications ?
Amazon Inspector peut être intégré à SNS pour émettre des notifications concernant différents événements tels que les étapes de surveillance, les défaillances ou l'expiration des exceptions et peut être intégré à AWS CloudTrail pour la consignation des appels vers Amazon Inspector.

Q : Je souhaiterais régulièrement automatiser l'évaluation de mon infrastructure. Proposez-vous un mode de soumission automatisé des évaluations ?
Oui. Amazon Inspector fournit une API complète permettant la création automatique d'environnements d'application, la création d'évaluations, l'évaluation de politiques, la création d'exceptions de politique, des filtres, ainsi que l'extraction des résultats.

Q : Puis-je prévoir que des évaluations de sécurité s'exécutent à certaines dates et certaines heures ?
Oui. Amazon Inspector a mis à votre disposition un plan AWS Lambda pour la création d'événements réguliers planifiés. Une fois que vous avez créé un modèle d'analyse pour l'analyse de sécurité que vous souhaitez exécuter, il vous suffit d'accéder à AWS Lambda depuis l'AWS Management Console. Dans AWS Lambda, cliquez sur « Create a Lambda function » et sélectionnez le plan « inspector-scheduled-run ». Le plan vous explique étape par étape la création d'un programme régulier pour l'exécution de votre analyse.

Q : Le service Amazon Inspector peut-il être exécuté sans tagging des ressources ?
Non. Avec Amazon Inspector, vous devez utiliser des tags d'instance Amazon EC2 pour pouvoir exécuter une évaluation.

Q : L'exécution d'une analyse Amazon Inspector a-t-elle un impact sur les performances ?
Amazon Inspector et son agent ont été conçus pour avoir un impact minimal sur les performances pendant l'exécution d'une évaluation.

Q : Puis-je définir mes propres règles pour les templates d'évaluation ?
Non. Seules les règles prédéfinies sont initialement autorisées pour les exécutions d'évaluation. Cependant, au fil du temps, nous envisageons d'inclure des ensembles de règles premium provenant de fournisseurs sur AWS Marketplace et des règles personnalisées auto-développées.

Q : qu'est-ce que la sévérité d'un résultat ?
Chaque règle Amazon Inspector a un niveau de sévérité associé, qu'Amazon classe en élevé, moyen, bas ou informatif. La sévérité vous aide à hiérarchiser vos réponses face aux résultats.

Q : qu'est-ce que le package de règles « Références de configuration de sécurité du Center for Internet Security pour les systèmes d'exploitation » ?
Les références de sécurité du CIS sont fournies par le Center for Internet Security et sont les seuls guides consensuels de bonnes pratiques en matière de configuration de sécurité. Ils sont développés et acceptés par les gouvernements, les entreprises, le secteur économique et le monde universitaire. Amazon Web Services est une entreprise membre des références de sécurité du CIS et la liste des certifications d'Amazon Inspector peut être consultée ici. Les règles de références CIS sont conçues comme des vérifications de sécurité réussies/échouées. Pour chaque vérification CIS échouée, Inspector génère un résultat avec une sévérité élevée. De plus, un résultat informatif est généré pour chaque instance qui liste toutes les règles CIS réussies et le résultat réussite/échec pour chaque règle.

Q : qu'est-ce que le package de règles « Vulnérabilités et expositions habituelles » ?
Les règles de faiblesses et expositions habituelles ou CVE vérifient l'exposition à des failles et des expositions de sécurité d'informations généralement connues. Les détails sur les règles CVE sont mis à disposition de tous sur la National Vulnerability Database (NVD). Nous utilisons le NVD's Common Vulnerability Scoring System (CVSS) comme source principale pour les informations de sévérité. Dans le cas où une CVE n'est pas noté par la NVD mais est présente dans l'Amazon Linux AMI Security Advisory (ALAS), nous utilisons la sévérité de l'avis d'Amazon Linux. Dans le cas où aucun score n'est disponible pour une CVE, nous ne reportons pas cette CVE comme résultat. Nous vérifions chaque jour les actualités de NVD et d'ALAS et nous mettons à jour nos packages de règles en conséquence.

Q : comment la sévérité est-elle déterminée ?
La sévérité d'une règle se base sur l'impact potentiel du problème de sécurité trouvé. Bien que certains packages de règles aient des niveaux de sévérité intégrés à la règle qu'ils fournissent, ce paramètre change souvent suivant l'ensemble de règles. Amazon Inspector normalise la sévérité des résultats dans l'ensemble des packages de règles disponibles en mappant les gravités individuelles aux classifications courantes élevée, moyenne, basse et informative. Pour les résultats avec une sévérité élevée, moyenne et basse, plus la sévérité du résultat est élevée, plus le problème sous-jacent a un impact de sécurité. Les résultats classés comme informatifs vous avertissent de problèmes de sécurité qui n'ont peut-être pas d'impact immédiat.

  • Pour les packages de règles pris en charge AWS, la sévérité est déterminée par l'équipe de sécurité AWS.
  • La sévérité du résultat du package de règles de références CIS est toujours paramétrée sur « élevée ».
  • Pour le package de règles CVE, Amazon Inspector a mappé la notation de base CVSS et les niveaux de sévérité ALAS fournis :
            sévérité Amazon Inspector        notation de base CVSS           gravité ALAS (si CVSS n'est pas noté)
            Elevée                                               >= 5                                  critique ou importante
            Moyenne                                         < 5 et >= 2,1                   moyenne
            Basse                                               < 2,1 et >= 0,8                basse
            Informative                                 < 0,8                                  non applicable

 

Q : Lorsque je décris les résultats via l'API (DescribeFindings), chaque résultat a un attribut « numericSeverity ». Qu'est-ce que cela signifie ?
L'attribut « numericSeverity » est la représentation numérique de la sévérité d'un résultat. Les valeurs attribuées à chaque niveau de sévérité sont les suivantes :
            Informative = 0,0
            Faible = 3,0
            Moyenne = 6,0
            Elevée = 9,0