FAQ sur Amazon Inspector

Q : Qu'est-ce qu'Amazon Inspector ?

Amazon Inspector est un service de gestion automatisée des vulnérabilités qui recherche en permanence les vulnérabilités logicielles et les expositions réseau involontaires dans les charges de travail Amazon Elastic Compute Cloud (EC2), les fonctions AWS Lambda et de conteneur.

Q : Quels sont les principaux avantages d'Amazon Inspector ?

Amazon Inspector supprime les coûts opérationnels associés au déploiement et à la configuration d'une solution de gestion des vulnérabilités puisqu'il est possible de le déployer sur tous les comptes en une seule étape. Autres avantages :

• Découverte automatisée et analyse continue permettant de découvrir les vulnérabilités en temps quasi réel
• Gestion, configuration et visualisation des résultats centralisées pour tous les comptes de votre organisation grâce à la création d'un compte d'administrateur délégué (DA)
• Un score de risque Amazon Inspector très contextualisé et significatif pour chaque résultat vous aide à définir des priorités de réponse plus précises
• Un tableau de bord intuitif Amazon Inspector regroupe les métriques de couverture, notamment les comptes, les instances Amazon EC2, les fonctions Lambda et les référentiels Amazon Elastic Container Registry (ECR) activement analysés par Amazon Inspector
• Intégration avec AWS Security Hub et Amazon EventBridge pour automatiser les flux et le routage des tickets
  

Q : Quelle est la différence entre Amazon Inspector et Amazon Inspector Classic ?

L'architecture d'Amazon Inspector a été repensée et rebâtie pour créer un nouveau service de gestion des vulnérabilités. Voici les principales améliorations apportées à Amazon Inspector Classic :

• Conçu pour évoluer : le nouvel Amazon Inspector est conçu pour les mises à l'échelle et pour s'adapter à l'environnement dynamique du cloud. Il n'y a pas de limite au nombre d'instances ou d'images qui peuvent être numérisées simultanément.
• Prise en charge des images de conteneurs et des fonctions Lambda : le nouvel Amazon Inspector analyse également les images de conteneurs résidant dans Amazon ECR et les fonctions Lambda à la recherche de vulnérabilités logicielles. Les résultats liés aux conteneurs sont également transmis à la console Amazon ECR.
• Prise en charge de la gestion de plusieurs comptes : le nouvel Amazon Inspector est intégré à AWS Organizations, ce qui vous permet de déléguer un compte administrateur pour Amazon Inspector à votre organisation. Ce compte d'administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.
• AWS Systems Manager Agent : avec le nouvel Amazon Inspector, vous n'avez plus à installer et gérer un agent Amazon Inspector autonome sur toutes vos instances Amazon EC2. Le nouvel Amazon Inspector utilise l'agent AWS Systems Manager Agent (SSM Agent), largement déployé, ce qui supprime ce besoin.
• Analyse automatisée et continue : le nouvel Amazon Inspector détecte automatiquement toutes les instances Amazon EC2 nouvellement lancées, les fonctions Lambda et les images de conteneurs éligibles transmises à Amazon ECR, et y recherche instantanément les vulnérabilités logicielles et l'exposition involontaire au réseau. Lorsqu'un événement susceptible d'introduire une nouvelle vulnérabilité se produit, les ressources concernées font automatiquement l'objet d'une nouvelle analyse. Les événements qui déclenchent le réexamen d'une ressource comprennent l'installation d'un nouveau package dans une instance EC2, l'installation d'un correctif, et la publication de nouvelles vulnérabilités et expositions courantes (CVE) ayant un impact sur la ressource.
• Score de risque Amazon Inspector : le nouvel Amazon Inspector calcule un score de risque en corrélant les informations CVE les plus récentes avec des facteurs temporels et environnementaux, tels que l'accessibilité du réseau et les informations sur l'exploitabilité, afin de fournir davantage d'informations pour faciliter la hiérarchisation des résultats.
  

Q : Puis-je utiliser Amazon Inspector et Amazon Inspector Classic simultanément sur le même compte ?

Oui, vous pouvez utiliser les deux simultanément sur le même compte.

Q : Comment migrer d'Amazon Inspector Classic vers le nouvel Amazon Inspector ?

Pour désactiver Amazon Inspector Classic, il vous suffit de supprimer tous les modèles d'évaluation de votre compte. Vous pouvez télécharger les résultats des évaluations existantes sous forme de rapports ou les exporter à l'aide de l'API Amazon Inspector. Vous pouvez activer le nouvel Amazon Inspector en quelques clics dans la Console de gestion AWS, ou en utilisant les nouvelles API d'Amazon Inspector. Vous trouverez la procédure de migration dans le guide de l'utilisateur d'Amazon Inspector Classic.

Q : En quoi le service d'analyse des images de conteneurs Amazon Inspector pour Amazon ECR est-il différent de la solution basée sur Amazon ECR Clair ?

Q : Quelle est la tarification d'Amazon Inspector ?

Pour consulter les détails de tarification complets, rendez-vous sur la page de tarification d'Amazon Inspector.

Q : Est-il possible d'essayer gratuitement Amazon Inspector ?

Tous les nouveaux comptes d'Amazon Inspector peuvent bénéficier d'un essai gratuit de 15 jours pour évaluer le service et estimer son coût. Pendant la période d'essai, toutes les instances Amazon EC2 éligibles, les fonctions AWS Lambda et les images de conteneur transmises dans Amazon ECR sont analysées en continu sans frais. Vous pouvez également examiner les dépenses estimées dans la console Amazon Inspector.

Q : Dans quelles régions le service Amazon Inspector est-il disponible ?

Amazon Inspector est disponible dans le monde entier. La disponibilité spécifique par région est indiquée ici.

Q : Comment démarrer ?

Vous pouvez activer en quelques clics Amazon Inspector pour l'ensemble de votre organisation ou pour un compte donné dans la console de gestion AWS. Une fois activé, Amazon Inspector découvre automatiquement les instances Amazon EC2 en cours d'exécution, les fonctions Lambda et les référentiels Amazon ECR, puis lance immédiatement et sans discontinuer la recherche de vulnérabilités logicielles et d'expositions réseau involontaires dans les charges de travail. Si vous découvrez Amazon Inspector, sachez que vous pouvez bénéficier d'un essai gratuit de 15 jours.

Q : Qu'est-ce qu'un résultat Amazon Inspector ?

Un résultat Amazon Inspector correspond à une vulnérabilité de sécurité potentielle. Par exemple, lorsqu'Amazon Inspector détecte des vulnérabilités logicielles ou des chemins réseau ouverts vers vos ressources de calcul, il crée des résultats de sécurité.

Q : Puis-je gérer Amazon Inspector à l'aide de ma structure AWS Organizations ?

Oui. Amazon Inspector est intégré à AWS Organizations. Vous pouvez attribuer un compte DA pour Amazon Inspector, qui fait office de compte administrateur principal pour Amazon Inspector, et peut gérer et configurer cette solution de manière centralisée. Le compte DA permet d'afficher et de gérer de manière centralisée les résultats de tous les comptes de votre organisation AWS.

Q : Comment puis-je déléguer un administrateur pour le service Amazon Inspector ?

Le compte de gestion AWS Organizations peut attribuer un compte DA pour Amazon Inspector dans la console Amazon Inspector ou en utilisant les API Amazon Inspector.

Q : Dois-je activer des types d'analyse spécifiques (c'est-à-dire l'analyse Amazon EC2, l’analyse des fonctions Lambda ou l'analyse des images de conteneur Amazon ECR) ?

Si vous démarrez Amazon Inspector pour la première fois, tous les types d’analyse, y compris l’analyse EC2, l’analyse Lambda et l’analyse des images de conteneurs ECR sont activés par défaut. Cependant, vous pouvez désactiver une partie ou la totalité de ces analyses sur tous les comptes de votre entreprise. Les utilisateurs existants peuvent activer de nouvelles fonctionnalités dans la console Amazon Inspector ou en utilisant les API d’Amazon Inspector.

Q : Ai-je besoin d'agents pour utiliser Amazon Inspector ?

Cela dépend des ressources que vous analysez. L’agent AWS Systems Manager Agent (SSM Agent) est nécessaire pour l'analyse des vulnérabilités des instances Amazon EC2. Aucun agent n'est requis pour l'accessibilité réseau des instances Amazon EC2 et l'analyse des vulnérabilités des images de conteneur, ni pour l’analyse de la vulnérabilité des fonctions Lambda.

Q : Comment puis-je installer et configurer l'agent Amazon Systems Manager Agent ?

Pour réussir la recherche de vulnérabilités logicielles dans les instances Amazon EC2, Amazon Inspector exige que ces instances soient gérées par AWS Systems Manager et SSM Agent. Consultez Prérequis pour Systems Manager dans le guide de l'utilisateur d'AWS Systems Manager pour obtenir des instructions sur l'activation et la configuration de Systems Manager. Pour plus d'informations sur les instances gérées, consultez la section Instances gérées dans le Guide de l'utilisateur AWS Systems Manager.

Q : Comment puis-je savoir quels référentiels Amazon ECR sont configurés pour l'analyse ? Comment puis-je gérer les référentiels qui doivent être configurés pour l'analyse ?

Amazon Inspector prend en charge la configuration de règles d'inclusion pour sélectionner les référentiels ECR à analyser. Les règles d'inclusion peuvent être créées et gérées dans la page des paramètres du registre de la console ECR ou à l'aide des API ECR. Les référentiels ECR qui correspondent aux règles d'inclusion sont configurés pour l'analyse. L'état détaillé de l'analyse des référentiels est disponible dans les consoles ECR et Amazon Inspector.

Q : Comment puis-je savoir si mes ressources sont activement analysées ?

Le volet consacré à la couverture environnementale dans le tableau de bord Amazon Inspector affiche les métriques des comptes, des instances Amazon EC2, des fonctions Lambda et des référentiels ECR en cours d'analyse active par Amazon Inspector. Chaque instance et chaque image sont associées à un statut précisant si l'analyse est en cours ou non. Lorsque l'analyse est en cours, la ressource est analysée en continu en temps quasi réel. Si aucune analyse n'est en cours, il se peut que l'analyse initiale n'ait pas encore été effectuée, que le système d'exploitation ne soit pas pris en charge ou que quelque chose d'autre empêche l'analyse.

Q : À quelle fréquence les analyses automatiques sont-elles effectuées ?

Toutes les analyses sont effectuées automatiquement en fonction des événements. Toutes les charges de travail sont analysées à leur découverte, puis réanalysées par la suite.

• Pour les instances Amazon EC2 : les rescans sont lancés lorsqu'un nouveau logiciel est installé ou désinstallé sur une instance, lorsqu'un nouveau CVE est publié, et après la mise à jour d'un paquet vulnérable (pour confirmer qu'il n'y a pas de vulnérabilité supplémentaire).
• Pour les images de conteneur Amazon ECR : les analyses suivantes sont lancées automatiquement pour les images de conteneur éligibles lorsqu'un nouveau CVE affectant une image est publié. Les analyses automatiques des images de conteneur se poursuivent pendant la durée configurée dans la console ou les API d'Amazon Inspector. Les configurations disponibles sont les suivantes : à vie (par défaut), 180 jours ou 30 jours.
  
• Pour les fonctions Lambda : toutes les nouvelles fonctions Lambda sont initialement évaluées lors de leur découverte, et continuellement réévaluées lorsqu’il y a une mise à jour de la fonction Lambda ou qu’un nouveau CVE est publié.

Q : Pendant combien de temps les images de conteneur sont-elles continuellement réanalysées avec Amazon Inspector ?

• Lorsque l'analyse ECR d'Amazon Inspector est activée, Amazon Inspector ne récupère que les images poussées au cours des 30 derniers jours pour les analyser, mais les analyse continuellement pendant la durée configurée, c'est-à-dire à vie (par défaut), 180 jours ou 30 jours.
  
• Toutes les images poussées vers ECR après l'activation de l'analyse ECR d'Amazon Inspector sont analysées en continu pendant la durée configurée, c'est-à-dire à vie (par défaut), 180 jours ou 30 jours.

Q : Puis-je exclure mes ressources de l'analyse ?

• Pour les instances Amazon EC2 : non. Amazon Inspector découvre automatiquement toutes les instances EC2 d'un compte et analyse en continu toutes les instances sur lesquelles l'agent Amazon SSM Agent est configuré.
• Pour les images de conteneur résidant dans Amazon ECR : Oui. Bien que vous puissiez sélectionner les référentiels Amazon ECR configurés pour l'analyse, toutes les images d'un référentiel seront analysées. Vous pouvez créer des règles d'inclusion pour sélectionner les référentiels qui doivent être analysés.
  
• Pour les fonctions Lambda : Oui, une fonction Lambda peut être exclue de l'analyse en ajoutant une balise de ressource. Pour une numérisation standard, utilisez la clé « InspectorExclusion » et la valeur « LambdaStandardScanning ». Pour scanner le code, utilisez la clé « InspectorCodeExclusion » et la valeur « LambdaCodeScanning ».
  

Q : Comment puis-je utiliser Amazon Inspector pour évaluer les vulnérabilités de sécurité de mes fonctions Lambda ?

Dans une structure à plusieurs comptes, vous pouvez activer Amazon Inspector pour les évaluations des vulnérabilités Lambda pour tous vos comptes au sein d’AWS Organization à partir de la console Amazon Inspector ou des API via le compte administrateur délégué (DA), tandis que les autres comptes membres peuvent activer Amazon Inspector pour leur propre compte si l’équipe de sécurité centrale ne l’a pas déjà activé pour eux. Les comptes qui ne font pas partie d’AWS Organization peuvent activer Amazon Inspector pour leur compte individuel via la console Amazon Inspector ou les API.

Q : Si une fonction Lambda possède plusieurs versions, laquelle sera évaluée par Amazon Inspector ?

Amazon Inspector contrôlera et évaluera en permanence uniquement la version $LATEST. Les nouvelles analyses automatisées ne se poursuivront que pour la dernière version, de sorte que les nouveaux résultats ne seront générés que pour la dernière version. Dans la console, vous pourrez voir les résultats de n’importe quelle version en la sélectionnant dans la liste déroulante.

Q : Puis-je activer le scan du code Lambda sans activer le scan Lambda standard ?

Non. Deux options s'offrent à vous : activer le scan Lambda standard seul ou activer le scan Lambda standard et le scan de code en même temps. L'analyse standard Lambda fournit une protection de sécurité fondamentale contre les dépendances vulnérables utilisées dans l'application déployée sous forme de fonctions Lambda et de couches d'association. L'analyse du code Lambda apporte une valeur de sécurité supplémentaire en analysant le code de votre application propriétaire personnalisée au sein d'une fonction Lambda pour détecter les failles de sécurité du code telles que des failles d'injection, des fuites de données, une cryptographie faible ou des secrets intégrés.

Q : Comment la modification de la fréquence de collecte de l'inventaire SSM de 30 minutes par défaut à 12 heures a-t-elle un impact sur l'analyse en continu effectuée par Amazon Inspector ?

La modification de la fréquence par défaut de collecte de l'inventaire SSM peut avoir un impact sur la continuité de l'analyse. Amazon Inspector s'appuie sur l’agent SSM Agent pour collecter l'inventaire des applications afin de générer des résultats. Si la durée de l'inventaire des applications est augmentée par rapport à la valeur par défaut de 30 minutes, cela retardera la détection des modifications apportées à l'inventaire des applications, et les nouveaux résultats pourraient être retardés.

Q : Qu'est-ce que le score de risque d'Amazon Inspector ?

Le score de risque Amazon Inspector est une notation hautement contextualisée qui est générée pour chaque résultat en corrélant les informations sur les vulnérabilités et expositions courantes (CVE) avec les résultats d'accessibilité du réseau, les données d'exploitabilité et les tendances des médias sociaux. Il vous est ainsi plus facile de hiérarchiser les résultats et de vous concentrer sur les résultats les plus critiques et les ressources les plus vulnérables. Dans l'onglet Inspector Score (Score Inspector) du panneau latéral Findings Details (Détails des résultats), vous pouvez voir comment le score de risque Inspector a été calculé et quels facteurs l'ont influencé.

Supposez par exemple qu'un nouveau CVE ait été identifié sur votre instance Amazon EC2, qui ne peut être exploité qu'à distance. Si les analyses continues d'accessibilité au réseau d'Amazon Inspector découvrent également que l'instance n'est pas accessible depuis Internet, la vulnérabilité a moins de chances d'être exploitée. Par conséquent, Amazon Inspector met en corrélation les résultats de l'analyse avec le CVE pour ajuster le score de risque à la baisse, reflétant plus précisément l'impact du CVE sur cette instance.

Q : Comment la gravité d'un résultat est-elle déterminée ?

Q : Comment fonctionnent les règles de suppression ?

Amazon Inspector vous permet de supprimer des résultats en fonction des critères personnalisés que vous définissez. Vous pouvez créer des règles de suppression pour les résultats qui sont considérés comme acceptables par votre organisation.

Q : Comment puis-je exporter mes résultats, et que comprennent-ils ?

Vous pouvez générer des rapports dans plusieurs formats (CSV ou JSON) en quelques clics dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec tous les résultats, ou générer et charger un rapport personnalisé basé sur les filtres d'affichage définis dans la console.

Q : Comment puis-je exporter le SBOM pour mes ressources, et que contiennent-elles ?

Vous pouvez générer et exporter des SBOM pour toutes les ressources surveillées avec Amazon Inspector, dans plusieurs formats (CycloneDX ou SPDX), en quelques étapes dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec SBOM pour toutes les ressources, ou générer et télécharger de manière sélective des SBOM pour quelques ressources sélectionnées en fonction des filtres d'affichage définis.

Q : Puis-je analyser mes instances privées Amazon EC2 en configurant Amazon Inspector comme un VPC ?

Oui. Amazon Inspector utilise SSM Agent pour collecter l'inventaire des applications, qui peuvent être configurées comme points de terminaison Amazon Virtual Private Cloud (VPC) pour éviter d'envoyer des informations sur Internet.

Q : Quels sont les systèmes d'exploitation pris en charge par Amazon Inspector ?

Vous pouvez trouver la liste des systèmes d'exploitation (OS) pris en charge ici.

Q : Quels sont les packages de langage de programmation pris en charge par Amazon Inspector pour l'analyse d'images de conteneur ?

Vous pouvez trouver la liste des packages de langage de programmation pris en charge ici.

Q : Amazon Inspector fonctionnera-t-il avec des instances qui utilisent la traduction d'adresses réseau (NAT) ?

Oui. Les instances qui utilisent la NAT sont automatiquement prises en charge par Amazon Inspector.

Q : J'utilise un proxy pour mes instances. Amazon Inspector fonctionnera-t-il avec ces instances ?

Oui. Pour plus d'informations, consultez la section relative à la configuration de l'agent SSM Agent afin d'utiliser un proxy.

Q : Le service Amazon Inspector peut-il être intégré à d'autres services AWS pour la journalisation et les notifications ?

Amazon Inspector s'intègre à Amazon EventBridge pour fournir des notifications pour des événements tels qu'une nouvelle constatation, le changement d'état d'un résultat ou la création d'une règle de suppression. Amazon Inspector s'intègre également à AWS CloudTrail pour la journalisation des appels.

Q : Amazon Inspector propose-t-il des analyses de type « Références de configuration de sécurité du système d'exploitation CIS » ?

Non. Amazon Inspector ne prend pas actuellement en charge les analyses CIS, mais cette fonctionnalité sera ajoutée à l'avenir. Vous pouvez toutefois continuer à utiliser le package de règles d'analyse CIS proposé dans Amazon Inspector Classic.

Q : Le service Amazon Inspector fonctionne-t-il avec les solutions Partenaire AWS ?

Oui. Voir Partenaires Amazon Inspector pour plus d'informations.

Q : Puis-je désactiver Amazon Inspector ?

Oui. Vous pouvez désactiver tous les types d'analyse (analyse Amazon EC2, analyse des images de conteneur ECR et analyse de la fonction Lambda) en désactivant le service Amazon Inspector. Vous pouvez également désactiver chaque type d'analyse individuellement pour un compte.

Q : Puis-je suspendre Amazon Inspector ?

Non. Amazon Inspector ne prend pas en charge un état suspendu.