Questions d'ordre général

Q : Qu'est-ce qu'Amazon Inspector ?

Amazon Inspector est un service de gestion automatisée des vulnérabilités qui recherche en permanence les vulnérabilités logicielles et les expositions réseau involontaires dans les charges de travail Amazon Elastic Compute Cloud (EC2) et de conteneur.

Q : Quels sont les principaux avantages d'Amazon Inspector ?

Amazon Inspector supprime les coûts opérationnels associés au déploiement et à la configuration d'une solution de gestion des vulnérabilités puisqu'il est possible de le déployer sur tous les comptes en un seul clic. Les autres avantages d'Amazon Inspector sont les suivants :

  • Découverte automatisée et analyse continue permettant de découvrir les vulnérabilités en temps quasi réel.
  • Gestion, configuration et visualisation centralisées des résultats pour tous les comptes de votre organisation grâce à la création d'un compte d'administrateur délégué (DA).
  • Un score de risque Inspector très contextualisé et significatif pour chaque constatation vous aide à définir des priorités de réponse plus précises.
  • Un tableau de bord intuitif Amazon Inspector regroupe les métriques de couverture, notamment les comptes, les instances EC2 et les référentiels Amazon Elastic Container Registry (ECR) activement analysés par Amazon Inspector.
  • Intégration avec AWS Security Hub et Amazon EventBridge pour automatiser les flux et le routage des tickets

Q : Quelle est la différence entre Amazon Inspector et Amazon Inspector Classic ?

L'architecture d'Amazon Inspector a été repensée et rebâtie pour créer un nouveau service de gestion des vulnérabilités. Voici les principales améliorations apportées à Amazon Inspector Classic :

  • Conçu pour évoluer : le nouvel Amazon Inspector est conçu pour les mises à l'échelle et pour s'adapter à l'environnement dynamique du cloud. Il n'y a pas de limite au nombre d'instances ou d'images qui peuvent être numérisées simultanément.
  • Prise en charge des images de conteneurs : le nouvel Amazon Inspector recherche également les vulnérabilités logicielles dans les images de conteneurs résidant dans Amazon ECR. Les résultats liés aux conteneurs sont également transmis à la console ECR.
  • Prise en charge de la gestion de plusieurs comptes : le nouvel Amazon Inspector est intégré à AWS Organizations, ce qui vous permet de déléguer un compte administrateur pour Amazon Inspector à votre organisation. Ce compte d'administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.
  • AWS Systems Manager Agent : avec le nouvel Amazon Inspector, vous n'avez plus à installer et gérer un agent Amazon Inspector autonome sur toutes vos instances Amazon EC2. Le nouvel Amazon Inspector utilise l'agent AWS Systems Manager Agent (SSM Agent), largement déployé, ce qui supprime ce besoin.
  • Analyse automatisée et continue : le nouvel Amazon Inspector détecte automatiquement toutes les instances Amazon EC2 nouvellement lancées et les images de conteneurs éligibles transmises à Amazon ECR, et y recherche instantanément les vulnérabilités logicielles et l'exposition involontaire au réseau. Lorsqu'un événement susceptible d'introduire une nouvelle vulnérabilité se produit, les ressources concernées font automatiquement l'objet d'une nouvelle analyse. Les événements qui déclenchent le réexamen d'une ressource comprennent l'installation d'un nouveau package dans une instance EC2, l'installation d'un correctif, et la publication de nouvelles vulnérabilités et expositions courantes (CVE) ayant un impact sur la ressource.
  • Score de risque Inspector : le nouvel Amazon Inspector calcule un score de risque en corrélant les informations CVE les plus récentes avec des facteurs temporels et environnementaux, tels que l'accessibilité du réseau et les informations sur l'exploitabilité, afin de fournir davantage d'informations pour faciliter la hiérarchisation des conclusions.

Q : Puis-je utiliser Amazon Inspector et Amazon Inspector Classic simultanément sur le même compte ?

Oui, vous pouvez utiliser les deux simultanément sur le même compte.

Q : Comment migrer d'Amazon Inspector Classic vers le nouvel Amazon Inspector ?

Pour désactiver Amazon Inspector Classic, il vous suffit de supprimer tous les modèles d'évaluation de votre compte. Vous pouvez télécharger les résultats des évaluations existantes sous forme de rapports ou les exporter à l'aide de l'API Amazon Inspector. Vous pouvez activer le nouvel Amazon Inspector en quelques clics dans la Console de gestion AWS, ou en utilisant les nouvelles API d'Amazon Inspector. Vous trouverez la procédure de migration dans le guide de l'utilisateur d'Amazon Inspector Classic..

Q : En quoi le service d'analyse des images de conteneurs Amazon Inspector pour Amazon ECR est-il différent de la solution basée sur Amazon ECR Clair ?

  Analyse des images de conteneurs avec Amazon Inspector Solution basée sur Amazon ECR Clair

Moteur d'analyse

Amazon Inspector est un service de gestion des vulnérabilités développé par AWS qui prend en charge les images de conteneurs résidant dans Amazon ECR.

Amazon ECR propose un projet Clair open-source géré comme solution d'analyse de base.

Couverture des packages

Identifie les vulnérabilités des packages, tant du système d'exploitation (OS) que du langage de programmation (par exemple, Python, Java, Ruby, etc.).

Identifie les vulnérabilités logicielles uniquement dans les packages du système d'exploitation

Fréquence d'analyse

Offre à la fois une analyse continue et une analyse à la demande.

Offre uniquement une analyse à la demande

Résultats

Les résultats sont disponibles dans les consoles Amazon Inspector et ECR, ainsi que dans l'interface de programmation d'application (API) et le kit de développement logiciel (SDK) d'Amazon Inspector et ECR.

Les résultats sont disponibles dans la console ECR ainsi que dans les API et le SDK ECR.

Notation des vulnérabilités

Fournit un score Inspector contextuel et des scores CVSS (Common Vulnerability Scoring System) v2 et v3 provenant de la base de données nationale sur les vulnérabilités (NVD) et des fournisseurs.

Scores CVSS v2 uniquement

Intégrations aux services AWS

Intégré avec AWS Security Hub, AWS Organizations et AWS EventBridge

Aucune intégration par défaut avec d'autres services AWS n'est disponible.

 

Q : Quelle est la tarification d'Amazon Inspector ?

Pour consulter les détails de tarification complets, rendez-vous sur la page de tarification d'Amazon Inspector.

Q : Est-il possible d'essayer gratuitement Amazon Inspector ?

Tous les nouveaux comptes d'Amazon Inspector peuvent bénéficier d'un essai gratuit de 15 jours pour évaluer le service et estimer son coût. Pendant la période d'essai, toutes les instances Amazon EC2 éligibles et les images de conteneur transmises dans ECR sont analysées en continu sans frais. Vous pouvez également examiner les dépenses estimées dans la console Amazon Inspector.

Q : Dans quelles régions le service Amazon Inspector est-il disponible ?

Amazon Inspector est disponible dans le monde entier. La disponibilité spécifique par région est indiquée ici.

Mise en route

Q : Comment démarrer ?

Vous pouvez activer en quelques clics Amazon Inspector pour l'ensemble de votre organisation ou pour un compte donné dans la Console de gestion AWS. Une fois activé, Amazon Inspector découvre automatiquement les instances Amazon EC2 en cours d'exécution et les référentiels Amazon ECR, puis lance immédiatement et sans discontinuer la recherche de vulnérabilités logicielles et d'expositions réseau involontaires dans les charges de travail. Si vous découvrez Inspector, sachez que vous pouvez bénéficier d'un essai gratuit de 15 jours.

Q : Qu'est-ce qu'un résultat Amazon Inspector ?

Un résultat Amazon Inspector correspond à une vulnérabilité de sécurité potentielle. Par exemple, lorsqu'Amazon Inspector détecte des vulnérabilités logicielles ou des chemins réseau ouverts vers vos ressources de calcul, il crée des résultats de sécurité.

Q : Puis-je gérer Amazon Inspector à l'aide de ma structure AWS Organizations ?

Oui. Amazon Inspector est intégré à AWS Organizations. Vous pouvez attribuer un compte DA pour Amazon Inspector, qui fait office de compte administrateur principal pour Amazon Inspector, et peut gérer et configurer cette solution de manière centralisée. Le compte DA permet d'afficher et de gérer de manière centralisée les résultats de tous les comptes de votre organisation AWS.

Q : Comment puis-je déléguer un administrateur pour le service Amazon Inspector ?

Le compte de gestion AWS Organizations peut attribuer un compte DA pour Amazon Inspector dans la console Amazon Inspector ou en utilisant les API Amazon Inspector.

Q : Dois-je activer des types d'analyse spécifiques (c'est-à-dire l'analyse Amazon EC2 ou l'analyse des images de conteneur Amazon ECR) ?

L'analyse des instances EC2 et des images ECR est activée par défaut. Vous pouvez toutefois désactiver ces deux analyses ou l'une d'entre elles dans les comptes.

Q : Ai-je besoin d'agents pour utiliser Amazon Inspector ?

Cela dépend des ressources que vous analysez. Les agents AWS Systems Manager Agents (SSM Agents) sont nécessaires pour l'analyse des vulnérabilités des instances Amazon EC2. Aucun agent n'est requis pour l'accessibilité réseau des instances Amazon EC2 et l'analyse des vulnérabilités des images de conteneur.

Q : Comment puis-je installer et configurer l'agent Amazon Systems Manager Agent ?

Pour réussir la recherche de vulnérabilités logicielles dans les instances Amazon EC2, Amazon Inspector exige que ces instances soient gérées par AWS Systems Manager (SSM) et l'agent SSM Agent. Consultez Prérequis pour Systems Manager dans le Guide de l'utilisateur d'AWS Systems Manager pour obtenir des instructions sur l'activation et la configuration d'AWS Systems Manager. Pour plus d'informations sur les instances gérées, consultez la section Instances gérées dans le Guide de l'utilisateur AWS Systems Manager.

Q : Puis-je exclure certaines instances Amazon EC2 de l'analyse ?

Non. Une fois qu'Amazon Inspector est activé pour l'analyse d'Amazon EC2, toutes les instances EC2 pour lesquelles des agents Amazon SSM Agents sont installés et configurés dans un compte sont analysées en continu.

Q : Comment puis-je savoir quels référentiels Amazon ECR sont configurés pour l'analyse ? Comment puis-je gérer les référentiels qui doivent être configurés pour l'analyse ?

Amazon Inspector prend en charge la configuration de règles d'inclusion pour sélectionner les référentiels Amazon ECR à analyser. Les règles d'inclusion peuvent être créées et gérées dans la page des paramètres du registre de la console ECR ou à l'aide des API ECR. Les référentiels ECR qui correspondent aux règles d'inclusion sont configurés pour l'analyse. L'état détaillé de l'analyse des référentiels est disponible dans les consoles ECR et Amazon Inspector.

Comment utiliser Amazon Inspector

Q : Comment puis-je savoir si mes ressources sont activement analysées ?

Le volet consacré à la couverture environnementale dans le tableau de bord Amazon Inspector affiche les métriques des comptes, des instances Amazon EC2 et des référentiels Amazon ECR en cours d'analyse active par Amazon Inspector. Chaque instance et chaque image sont associées à un statut précisant si l'analyse est en cours ou non. Lorsque l'analyse est en cours, la ressource est analysée en continu en temps quasi réel. Si aucune analyse n'est en cours, il se peut que l'analyse initiale n'ait pas encore été effectuée, que le système d'exploitation ne soit pas pris en charge ou que quelque chose d'autre empêche l'analyse.

Q : À quelle fréquence les analyses automatiques sont-elles effectuées ?

Toutes les analyses sont effectuées automatiquement en fonction des événements. Toutes les charges de travail sont analysées à leur découverte, puis réanalysées par la suite.

  • Pour les instances Amazon EC2 : les analyses suivantes sont lancées lorsqu'un nouveau logiciel est installé ou désinstallé sur une instance, lorsqu'un nouveau CVE est publié, et après la mise à jour d'un package vulnérable (pour confirmer qu'il n'y a pas de vulnérabilités supplémentaires).
  • Pour les images de conteneur ECR : les analyses suivantes sont lancées automatiquement pour les images de conteneur éligibles lorsqu'un nouveau CVE affectant une image est publié. Les analyses automatiques portant sur les images de conteneur sont effectuées pendant les 30 premiers jours suivant la transmission de l'image.

Q : Combien de temps les images de conteneur sont-elles réanalysées en continu avec Amazon Inspector ?

Les images de conteneur résidant dans les référentiels Amazon ECR qui sont configurés pour une analyse continue sont analysées pendant 30 jours après leur transfert dans le référentiel.

Q : Puis-je exclure mes ressources de l'analyse ?

  • Pour les instances Amazon EC2 : non. Amazon Inspector découvre automatiquement toutes les instances EC2 d'un compte et analyse en continu toutes les instances sur lesquelles l'agent Amazon SSM Agent est configuré.
  • Pour les images de conteneur résidant dans Amazon ECR : oui. Bien que vous puissiez sélectionner les référentiels ECR configurés pour l'analyse, toutes les images d'un référentiel seront analysées. Vous pouvez créer des règles d'inclusion pour sélectionner les référentiels qui doivent être analysés.

Q : Comment la modification de la fréquence de collecte de l'inventaire SSM de 30 minutes par défaut à 12 heures a-t-elle un impact sur l'analyse en continu effectuée par Amazon Inspector ?

La modification de la fréquence par défaut de collecte de l'inventaire SSM peut avoir un impact sur la continuité de l'analyse. Amazon Inspector s'appuie sur les agents SSM Agent pour collecter l'inventaire des applications afin de générer des résultats. Si la durée de l'inventaire des applications est augmentée par rapport à la valeur par défaut de 30 minutes, cela retardera la détection des modifications apportées à l'inventaire des applications, et les nouveaux résultats pourraient être retardés.

Q : Qu'est-ce qu'un score de risque Inspector ?

Le score de risque Inspector est une notation hautement contextualisée qui est générée pour chaque résultat en corrélant les informations sur les vulnérabilités et expositions courantes (CVE) avec les résultats d'accessibilité du réseau, les données d'exploitabilité et les tendances des médias sociaux. Il vous est ainsi plus facile de hiérarchiser les résultats et de vous concentrer sur les résultats les plus critiques et les ressources les plus vulnérables. Dans l'onglet Inspector Score (Score Inspector) du panneau latéral Findings Details (Détails des résultats), vous pouvez voir comment le score de risque Inspector a été calculé et quels facteurs l'ont influencé.

Supposez par exemple qu'un nouveau CVE ait été identifié sur votre instance Amazon EC2, qui ne peut être exploité qu'à distance. Si les analyses continues d'accessibilité au réseau d'Amazon Inspector découvrent également que l'instance n'est pas accessible depuis Internet, la vulnérabilité a moins de chances d'être exploitée. Par conséquent, Amazon Inspector met en corrélation les résultats de l'analyse avec le CVE pour ajuster le score de risque à la baisse, reflétant plus précisément l'impact du CVE sur cette instance.

Q : Comment la gravité d'un résultat est-elle déterminée ?

Score Inspector  Gravité 
0 Informatif
0,2-3,9 Faible
4-6,9 Moyenne
7-8,9 Élevé
9-10 Critique

Q : Comment fonctionnent les règles de suppression ?

Amazon Inspector vous permet de supprimer des résultats en fonction des critères personnalisés que vous définissez. Vous pouvez créer des règles de suppression pour les résultats qui sont considérés comme acceptables par votre organisation.

Q : Comment puis-je exporter mes résultats, et qu'est-ce que cela comprend ?

Vous pouvez générer des rapports dans plusieurs formats (CSV ou JSON) en quelques clics dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec tous les résultats, ou générer et charger un rapport personnalisé basé sur les filtres d'affichage définis dans la console.

Q : Puis-je analyser mes instances privées Amazon EC2 en configurant Amazon Inspector comme point de terminaison d'un VPC ?

Oui. Amazon Inspector utilise des agents Amazon SSM Agents pour collecter l'inventaire des applications, qui peuvent être configurées comme points de terminaison Amazon Virtual Private Cloud (Amazon VPC) pour éviter d'envoyer des informations sur Internet.

Q : Quels sont les systèmes d'exploitation pris en charge par Amazon Inspector ?

Vous pouvez trouver la liste des systèmes d'exploitation (OS) pris en charge ici.

Q : Quels sont les packages de langage de programmation pris en charge par Amazon Inspector pour l'analyse d'images de conteneur ?

Vous pouvez trouver la liste des packages de langage de programmation pris en charge ici.

Q : Amazon Inspector fonctionnera-t-il avec des instances qui utilisent la traduction d'adresses réseau (NAT) ?

Oui. Les instances qui utilisent la NAT sont automatiquement prises en charge par Amazon Inspector.

Q : J'utilise un proxy pour mes instances. Amazon Inspector fonctionnera-t-il avec ces instances ?

Oui. Pour plus d'informations, consultez la section relative à la configuration de l'agent SSM Agent afin d'utiliser un proxy.

Q : Le service Amazon Inspector peut-il être intégré à d'autres services AWS pour la journalisation et les notifications ?

Amazon Inspector s'intègre à Amazon EventBridge pour fournir des notifications pour des événements tels qu'une nouvelle constatation, le changement d'état d'un résultat ou la création d'une règle de suppression. Amazon Inspector s'intègre également à AWS CloudTrail pour la journalisation des appels.

Q : Amazon Inspector propose-t-il des analyses de type « Références de configuration de sécurité du système d'exploitation CIS » ?

Non. Amazon Inspector ne prend pas actuellement en charge les analyses CIS, mais cette fonctionnalité sera ajoutée à l'avenir. Vous pouvez toutefois continuer à utiliser le package de règles d'analyse CIS proposé dans Amazon Inspector Classic.

Q : Le service Amazon Inspector fonctionne-t-il avec les solutions Partenaire AWS ?

Oui. Voir Partenaires Amazon Inspector pour plus d'informations.

Q : Puis-je désactiver Amazon Inspector ?

Oui. Vous pouvez désactiver tous les types d'analyse (analyse EC2 et analyse des images de conteneur ECR) en désactivant le service Amazon Inspector. Vous pouvez également désactiver chaque type d'analyse individuellement pour un compte.

Q : Puis-je suspendre Amazon Inspector ?

Non. Amazon Inspector ne prend pas en charge un état suspendu.

En savoir plus sur les clients Amazon Inspector

Visiter la page client
Prêt à créer ?
Mise en route avec Amazon Inspector
D'autres questions ?
Nous contacter