- Sécurité, identité et conformité›
- Amazon Inspector›
- FAQ sur Amazon Inspector
FAQ sur Amazon Inspector
Questions d’ordre général
Qu'est-ce qu'Amazon Inspector ?
Amazon Inspector est un service de gestion automatique des vulnérabilités qui analyse en permanence Amazon Elastic Compute Cloud (EC2), les fonctions AWS Lambda et les images de conteneurs dans Amazon ECR et au sein des outils d'intégration et de livraison continues (CI/CD), en temps quasi réel pour détecter les vulnérabilités logicielles et toute exposition involontaire au réseau.
Quels sont les principaux avantages d’Amazon Inspector ?
Amazon Inspector supprime les coûts opérationnels associés au déploiement et à la configuration d'une solution de gestion des vulnérabilités puisqu'il est possible de le déployer sur tous les comptes en une seule étape. Voici quelques-uns des avantages supplémentaires :
- Découverte automatisée et analyse continue permettant de découvrir les vulnérabilités en temps quasi réel
- Gestion, configuration et visualisation des résultats centralisées pour tous les comptes de votre organisation grâce à la création d'un compte d'administrateur délégué (DA)
- Un score de risque Amazon Inspector très contextualisé et significatif pour chaque résultat vous aide à définir des priorités de réponse plus précises
- Un tableau de bord Amazon Inspector intuitif pour les mesures de couverture, notamment les comptes, les instances Amazon EC2, les fonctions Lambda et les images de conteneurs dans Amazon ECR et dans les outils CI/CD, en temps quasi réel.
- Maximisez la couverture de l'évaluation des vulnérabilités en analysant de manière transparente les instances EC2, en passant d'une analyse basée sur un agent à une analyse sans agent (aperçu).
- Gérez de manière centralisée les exportations de la nomenclature logicielle (SBOM) pour toutes les ressources surveillées.
- Intégration avec AWS Security Hub et Amazon EventBridge pour automatiser les flux et le routage des tickets
Comment migrer d’Amazon Inspector Classic vers le nouvel Amazon Inspector ?
Pour désactiver Amazon Inspector Classic, il vous suffit de supprimer tous les modèles d'évaluation de votre compte. Vous pouvez télécharger les résultats des évaluations existantes sous forme de rapports ou les exporter à l'aide de l'API Amazon Inspector. Vous pouvez activer le nouvel Amazon Inspector en quelques étapes dans la Console de gestion AWS ou en utilisant les nouvelles API d’Amazon Inspector. Vous trouverez la procédure de migration dans le Guide de l’utilisateur d’Amazon Inspector Classic.
Quelle est la différence entre Amazon Inspector et Amazon Inspector Classic ?
L'architecture d'Amazon Inspector a été repensée et rebâtie pour créer un nouveau service de gestion des vulnérabilités. Voici les principales améliorations apportées à Amazon Inspector Classic :
- Conçu pour la mise à l’échelle : le nouvel Amazon Inspector est conçu pour les mises à l’échelle et pour s’adapter à l’environnement dynamique du cloud. Il n'y a pas de limite au nombre d'instances ou d'images qui peuvent être numérisées simultanément.
- Prise en charge des images de conteneurs et des fonctions Lambda : le nouvel Amazon Inspector analyse également les images de conteneurs résidant dans Amazon ECR et dans les outils CI/CD, ainsi que les fonctions Lambda pour détecter les vulnérabilités logicielles. Les résultats liés aux conteneurs sont également transmis à la console Amazon ECR.
- Prise en charge de la gestion de plusieurs comptes : le nouvel Amazon Inspector est intégré à AWS Organizations, ce qui vous permet de déléguer un compte administrateur pour Amazon Inspector à votre organisation. Ce compte d'administrateur délégué (DA) est un compte centralisé qui consolide tous les résultats et peut configurer tous les comptes membres.
- AWS Systems Manager Agent : avec le nouvel Amazon Inspector, vous n’avez plus à installer et gérer un agent Amazon Inspector autonome sur toutes vos instances Amazon EC2. Le nouvel Amazon Inspector utilise l'agent AWS Systems Manager Agent (SSM Agent), largement déployé, ce qui supprime ce besoin.
- Analyse automatisée et continue : le nouvel Amazon Inspector détecte automatiquement toutes les instances Amazon EC2 récemment lancées, les fonctions Lambda et les images de conteneurs éligibles transmises à Amazon ECR, et y recherche instantanément les vulnérabilités logicielles et l’exposition involontaire au réseau. Lorsqu'un événement susceptible d'introduire une nouvelle vulnérabilité se produit, les ressources concernées font automatiquement l'objet d'une nouvelle analyse. Les événements qui déclenchent le réexamen d'une ressource comprennent l'installation d'un nouveau package dans une instance EC2, l'installation d'un correctif, et la publication de nouvelles vulnérabilités et expositions courantes (CVE) ayant un impact sur la ressource.
- Score de risque Amazon Inspector : le nouvel Amazon Inspector calcule un score de risque en corrélant les informations CVE les plus récentes avec des facteurs temporels et environnementaux, tels que l’accessibilité du réseau et les informations sur l’exploitabilité, afin de fournir davantage d’informations pour faciliter la hiérarchisation des résultats.
- Couverture de l’évaluation des vulnérabilités : le nouvel Amazon Inspector améliore l’évaluation des vulnérabilités en analysant de manière fluide les instances EC2 et en passant d’une analyse basée sur un agent à une analyse sans agent (version préliminaire).
- Exportation de la nomenclature logicielle (SBOM) : le nouvel Amazon Inspector gère et exporte des SBOM de manière centralisée pour toutes les ressources surveillées.
Puis-je utiliser Amazon Inspector et Amazon Inspector Classic simultanément sur le même compte ?
Oui, vous pouvez utiliser les deux simultanément sur le même compte.
En quoi le service de numérisation d'images de conteneurs Amazon Inspector pour Amazon Elastic Container Registry (ECR) est-il différent de la solution native de numérisation d'images de conteneurs Amazon ECR ?
Numérisation d'images de conteneurs Amazon Inspector (numérisation améliorée ECR) | Numérisation d'images de conteneurs native Amazon ECR (numérisation de base ECR) | |
---|---|---|
Moteur d'analyse |
Amazon Inspector est un service de gestion des vulnérabilités développé par AWS qui prend en charge les images de conteneurs résidant dans Amazon ECR |
Amazon ECR propose une solution de numérisation de base native gérée par AWS |
Couverture des packages |
Identifie les vulnérabilités des packages, tant du système d'exploitation (OS) que du langage de programmation (tels que Python, Java et Ruby) |
Identifie les vulnérabilités logicielles uniquement dans les packages du système d'exploitation |
Fréquence d'analyse |
Offre à la fois une analyse continue et une analyse à la demande. |
Offre uniquement une analyse à la demande |
Renseignements sur la vulnérabilité | Fournit des informations sur les vulnérabilités améliorées, telles que la disponibilité d'un exploit pour un CVE, des conseils de correction des versions du package, des scores EPSS et des kits de logiciels malveillants utilisés pour exploiter un CVE | Fournit uniquement des informations de base sur la vulnérabilité d'un logiciel |
Résultats |
Les résultats sont disponibles dans les consoles Amazon Inspector et Amazon ECR, ainsi que dans l'interface de programmation d'application (API) et le kit de développement logiciel (SDK) d'Amazon Inspector et Amazon ECR |
Les résultats sont disponibles dans la console Amazon ECR ainsi que dans les API et le SDK Amazon ECR |
Notation des vulnérabilités |
Fournit un score Inspector contextuel et des scores CVSS (Common Vulnerability Scoring System) v2 et v3 provenant de la base de données nationale sur les vulnérabilités (NVD) et des fournisseurs. |
Scores CVSS v3 et v2 uniquement |
Intégrations aux services AWS |
Intégré avec AWS Security Hub, AWS Organizations et AWS EventBridge |
Aucune intégration par défaut avec d'autres services AWS n'est disponible. |
Quelle est la tarification d'Amazon Inspector ?
Pour consulter les détails de tarification complets, rendez-vous sur la page de tarification d’Amazon Inspector.
Est-il possible d'essayer gratuitement Amazon Inspector ?
Tous les comptes nouveaux pour Amazon Inspector sont éligibles à un essai gratuit de 15 jours pour évaluer le service et estimer son coût. Pendant la période d'essai, toutes les instances Amazon EC2 éligibles, les fonctions AWS Lambda et les images de conteneur transmises dans Amazon ECR sont analysées en continu sans frais. Vous pouvez également examiner les dépenses estimées dans la console Amazon Inspector.
Dans quelles régions le service Amazon Inspector est-il disponible ?
Amazon Inspector est disponible dans le monde entier. La disponibilité spécifique par région est indiquée ici.
Mise en route
Comment bénéficier de ce service ?
Vous pouvez activer Amazon Inspector pour l'ensemble de votre organisation ou pour un compte individuel en quelques étapes dans la console de gestion AWS. Une fois activé, Amazon Inspector découvre automatiquement les instances Amazon EC2 en cours d'exécution, les fonctions Lambda et les référentiels Amazon ECR, puis lance immédiatement et sans discontinuer la recherche de vulnérabilités logicielles et d'expositions réseau involontaires dans les charges de travail. Si vous découvrez Amazon Inspector, sachez que vous pouvez bénéficier d’un essai gratuit de 15 jours.
Qu’est-ce qu’un résultat Amazon Inspector ?
Un résultat Amazon Inspector correspond à une vulnérabilité de sécurité potentielle. Par exemple, lorsqu'Amazon Inspector détecte des vulnérabilités logicielles ou des chemins réseau ouverts vers vos ressources de calcul, il crée des résultats de sécurité.
Puis-je gérer Amazon Inspector à l’aide de ma structure AWS Organizations ?
Oui. Amazon Inspector est intégré à AWS Organizations. Vous pouvez attribuer un compte DA pour Amazon Inspector, qui fait office de compte administrateur principal pour Amazon Inspector, et peut gérer et configurer cette solution de manière centralisée. Le compte DA permet d'afficher et de gérer de manière centralisée les résultats de tous les comptes de votre organisation AWS.
Comment puis-je déléguer un administrateur pour le service Amazon Inspector ?
Le compte de gestion AWS Organizations peut attribuer un compte DA pour Amazon Inspector dans la console Amazon Inspector ou en utilisant les API Amazon Inspector.
Dois-je activer des types d’analyse spécifiques (c’est-à-dire l’analyse Amazon EC2, l’analyse des fonctions Lambda ou l’analyse des images de conteneur Amazon ECR) ?
Si vous démarrez Amazon Inspector pour la première fois, tous les types d’analyse, y compris l’analyse EC2, l’analyse Lambda et l’analyse des images de conteneurs ECR sont activés par défaut. Cependant, vous pouvez désactiver une partie ou la totalité de ces analyses sur tous les comptes de votre entreprise. Les utilisateurs existants peuvent activer de nouvelles fonctionnalités dans la console Amazon Inspector ou en utilisant les API d’Amazon Inspector.
Ai-je besoin d’agents pour utiliser Amazon Inspector ?
Non, vous n'avez pas besoin d'un agent pour numériser. Pour analyser les vulnérabilités des instances Amazon EC2, vous pouvez utiliser l'AWS Systems Manager Agent (SSM Agent) pour une solution basée sur un agent. Amazon Inspector propose également une analyse sans agent (version préliminaire) si l'agent SSM n'est pas déployé ou configuré. Pour évaluer la joignabilité du réseau des instances Amazon EC2, l'analyse de vulnérabilité des images de conteneurs ou l'analyse de vulnérabilité des fonctions Lambda, aucun agent n'est nécessaire.
Comment puis-je installer et configurer l’agent Amazon Systems Manager Agent ?
Pour réussir la recherche de vulnérabilités logicielles dans les instances Amazon EC2, Amazon Inspector exige que ces instances soient gérées par AWS Systems Manager et SSM Agent. Consultez Prérequis pour Systems Manager dans le guide de l'utilisateur d'AWS Systems Manager pour obtenir des instructions sur l'activation et la configuration de Systems Manager. Pour plus d'informations sur les instances gérées, consultez la section Instances gérées dans le Guide de l'utilisateur AWS Systems Manager.
Comment puis-je savoir quels référentiels Amazon ECR sont configurés pour l’analyse ? Comment puis-je gérer les référentiels qui doivent être configurés pour l’analyse ?
Amazon Inspector prend en charge la configuration de règles d'inclusion pour sélectionner les référentiels ECR à analyser. Les règles d'inclusion peuvent être créées et gérées dans la page des paramètres du registre de la console ECR ou à l'aide des API ECR. Les référentiels ECR qui correspondent aux règles d'inclusion sont configurés pour l'analyse. L'état détaillé de l'analyse des référentiels est disponible dans les consoles ECR et Amazon Inspector.
Comment utiliser Amazon Inspector
Comment puis-je savoir si mes ressources sont activement analysées ?
Le volet consacré à la couverture environnementale dans le tableau de bord Amazon Inspector affiche les métriques des comptes, des instances Amazon EC2, des fonctions Lambda et des référentiels ECR en cours d'analyse active par Amazon Inspector. Chaque instance et chaque image sont associées à un statut précisant si l'analyse est en cours ou non. Lorsque l'analyse est en cours, la ressource est analysée en continu en temps quasi réel. Si aucune analyse n'est en cours, il se peut que l'analyse initiale n'ait pas encore été effectuée, que le système d'exploitation ne soit pas pris en charge ou que quelque chose d'autre empêche l'analyse.
À quelle fréquence les analyses automatiques sont-elles effectuées ?
Toutes les analyses sont effectuées automatiquement en fonction des événements. Toutes les charges de travail sont analysées à leur découverte, puis réanalysées par la suite.
- Pour les instances Amazon EC2 : pour les analyses basées sur un agent SSM, les nouvelles analyses sont lancées lorsqu’un nouveau logiciel est installé ou désinstallé sur une instance, lorsqu’un nouveau CVE est publié, et après la mise à jour d’un paquet vulnérable (pour confirmer qu’il n’y a pas de vulnérabilité supplémentaire). Pour les analyses sans agent, les analyses sont effectuées toutes les 24 heures.
- Pour les images de conteneur Amazon ECR : les nouvelles analyses automatiques sont lancées pour les images de conteneur éligibles lorsqu’un nouveau CVE affectant une image est publié. Les nouvelles analyses automatisées pour les images de conteneurs sont basées sur les durées de nouvelle analyse configurées à la fois pour la date de transmission et la date d'extraction de l'image dans la console Amazon Inspector ou les API. Si la date de transmission d'une image est inférieure à la « Durée de réanalyse de la date de diffusion » configurée et que l'image a été extraite dans les limites de la « durée de réanalyse de la date d'extraction » configurée, l'image du conteneur continuera à être surveillée et les nouvelles analyses automatiques démarrent lorsqu'un nouveau CVE affectant une image est publié. Les configurations de durée de nouvelle numérisation disponibles pour la date de transmission de l'image sont de 90 jours (par défaut), 14 jours, 30 jours, 60 jours, 180 jours ou la durée de vie. Les configurations de durée de réanalyse pour la date d'extraction de l'image sont de 90 jours (par défaut), 14 jours, 30 jours, 60 jours ou 180 jours.
- Pour les fonctions Lambda : toutes les nouvelles fonctions Lambda sont initialement évaluées lors de leur découverte, et continuellement réévaluées en cas de mise à jour de la fonction Lambda ou lorsqu’un nouveau CVE est publié.
Pendant combien de temps les images de conteneur sont-elles continuellement réanalysées avec Amazon Inspector ?
Les images de conteneurs résidant dans les référentiels Amazon ECR configurés pour une analyse continue sont analysées pendant la durée configurée dans la console Amazon Inspector ou dans les API. Les configurations de durée de nouvelle numérisation disponibles pour la date de transmission de l'image sont de 90 jours (par défaut), 14 jours, 30 jours, 60 jours, 180 jours ou la durée de vie. Les configurations de durée de réanalyse pour la date d'extraction de l'image sont de 90 jours (par défaut), 14 jours, 30 jours, 60 jours ou 180 jours.
- Lorsque la numérisation Amazon Inspector ECR est activée, Amazon Inspector ne récupère que les images transmises ou extraites au cours des 30 derniers jours pour les numériser, mais les analyse en continu pendant la durée de nouvelle numérisation configurée pour les dates d'envoi et d'extraction, c'est-à-dire 90 jours (par défaut), 14 jours, 30 jours, 60 jours, 180 jours ou à vie. Si la date de transmission d'une image est inférieure à la « Durée de réanalyse de la date de diffusion » configurée ET que l'image a été extraite dans les limites de la « durée de réanalyse de la date d'extraction » configurée, l'image du conteneur continuera à être surveillée et les nouvelles analyses automatiques démarrent lorsqu'un nouveau CVE affectant une image est publié. Par exemple, lors de l’activation de l’analyse ECR d’Amazon Inspector, Amazon Inspector récupère les images transmises ou extraites au cours des 30 derniers jours à des fins d’analyse. Toutefois, après l'activation, si vous sélectionnez une durée de nouvelle analyse de 180 jours pour les configurations d'extraction, Amazon Inspector continuera à analyser les images si elles ont été transmises au cours des 180 derniers jours ou si elles y ont été extraites au moins une fois. Si aucune image n’a été transmise ou extraite au cours des 180 derniers jours, Amazon Inspector arrête la surveillance.
- Toutes les images transférées vers ECR après l'activation de l'analyse ECR d'Amazon Inspector sont analysées en continu pendant la durée configurée dans « Durée de la réanalyse à la date d'envoi » et « Durée de la nouvelle analyse à la date d'extraction ». Les configurations de durée de nouvelle numérisation disponibles pour la date de transmission de l'image sont de 90 jours (par défaut), 14 jours, 30 jours, 60 jours, 180 jours ou la durée de vie. Les configurations de durée de réanalyse pour la date d'extraction de l'image sont de 90 jours (par défaut), 14 jours, 30 jours, 60 jours ou 180 jours. La durée de la nouvelle analyse automatique est calculée en fonction de la date de dernière transmission ou d’extraction d’une image de conteneur. Par exemple, après avoir activé l’analyse ECR d’Amazon Inspector, si vous sélectionnez une durée de nouvelle analyse de 180 jours pour les configurations de données push et de cadre d'extraction, Amazon Inspector continuera à analyser les images si elles ont été transmises au cours des 180 derniers jours ou si elles y ont été extraites au moins une fois. Toutefois, si aucune image n’a été transmise ou extraite au cours des 180 derniers jours, Amazon Inspector arrête la surveillance.
- Si l’état de l’image indique que l’éligibilité à l’analyse a expiré, vous pouvez extraire l’image pour la placer à nouveau sous la surveillance d’Amazon Inspector. L’image sera analysée en continu pendant la durée de la réanalyse configurée à partir de date de la dernière extraction.
Puis-je exclure mes ressources de l’analyse ?
- Pour les instances Amazon EC2 : Oui, une instance EC2 peut être exclue de l’analyse en ajoutant une balise de ressource. Vous pouvez utiliser la clé « InspectorEc2Exclusion », et la valeur est <optional>.
- Pour les images de conteneur résidant dans Amazon ECR : Oui. Bien que vous puissiez sélectionner les référentiels Amazon ECR configurés pour l'analyse, toutes les images d'un référentiel seront analysées. Vous pouvez créer des règles d'inclusion pour sélectionner les référentiels qui doivent être analysés.
- Pour les fonctions Lambda : Oui, une fonction Lambda peut être exclue de l’analyse en ajoutant une balise de ressource. Pour une numérisation standard, utilisez la clé « InspectorExclusion » et la valeur « LambdaStandardScanning ». Pour scanner le code, utilisez la clé « InspectorCodeExclusion » et la valeur « LambdaCodeScanning ».
Comment puis-je utiliser Amazon Inspector pour évaluer les vulnérabilités de sécurité de mes fonctions Lambda ?
Dans une structure à plusieurs comptes, vous pouvez activer Amazon Inspector pour les évaluations des vulnérabilités Lambda pour tous vos comptes au sein d’AWS Organization à partir de la console Amazon Inspector ou des API via le compte administrateur délégué (DA), tandis que les autres comptes membres peuvent activer Amazon Inspector pour leur propre compte si l’équipe de sécurité centrale ne l’a pas déjà activé pour eux. Les comptes qui ne font pas partie d’AWS Organization peuvent activer Amazon Inspector pour leur compte individuel via la console Amazon Inspector ou les API.
Si une fonction Lambda possède plusieurs versions, laquelle sera évaluée par Amazon Inspector ?
Amazon Inspector contrôlera et évaluera en permanence uniquement la version $LATEST. Les nouvelles analyses automatisées ne se poursuivront que pour la dernière version, de sorte que les nouveaux résultats ne seront générés que pour la dernière version. Dans la console, vous pourrez voir les résultats de n’importe quelle version en la sélectionnant dans la liste déroulante.
Puis-je activer le scan du code Lambda sans activer le scan Lambda standard ?
Non. Deux options s'offrent à vous : activer le scan Lambda standard seul ou activer le scan Lambda standard et le scan de code en même temps. L'analyse standard Lambda fournit une protection de sécurité fondamentale contre les dépendances vulnérables utilisées dans l'application déployée sous forme de fonctions Lambda et de couches d'association. L'analyse du code Lambda apporte une valeur de sécurité supplémentaire en analysant le code de votre application propriétaire personnalisée au sein d'une fonction Lambda pour détecter les failles de sécurité du code telles que des failles d'injection, des fuites de données, une cryptographie faible ou des secrets intégrés.
Comment la modification de la fréquence de collecte de l’inventaire SSM de 30 minutes par défaut à 12 heures a-t-elle un impact sur l’analyse en continu effectuée par Amazon Inspector ?
La modification de la fréquence par défaut de collecte de l'inventaire SSM peut avoir un impact sur la continuité de l'analyse. Amazon Inspector s'appuie sur l’agent SSM Agent pour collecter l'inventaire des applications afin de générer des résultats. Si la durée de l'inventaire des applications est augmentée par rapport à la valeur par défaut de 30 minutes, cela retardera la détection des modifications apportées à l'inventaire des applications, et les nouveaux résultats pourraient être retardés.
Qu’est-ce que le score de risque d’Amazon Inspector ?
Le score de risque Amazon Inspector est une notation hautement contextualisée qui est générée pour chaque résultat en corrélant les informations sur les vulnérabilités et expositions courantes (CVE) avec les résultats d'accessibilité du réseau, les données d'exploitabilité et les tendances des médias sociaux. Il vous est ainsi plus facile de hiérarchiser les résultats et de vous concentrer sur les résultats les plus critiques et les ressources les plus vulnérables. Dans l'onglet Inspector Score (Score Inspector) du panneau latéral Findings Details (Détails des résultats), vous pouvez voir comment le score de risque Inspector a été calculé et quels facteurs l'ont influencé.
Supposez par exemple qu'un nouveau CVE ait été identifié sur votre instance Amazon EC2, qui ne peut être exploité qu'à distance. Si les analyses continues d'accessibilité au réseau d'Amazon Inspector découvrent également que l'instance n'est pas accessible depuis Internet, la vulnérabilité a moins de chances d'être exploitée. Par conséquent, Amazon Inspector met en corrélation les résultats de l'analyse avec le CVE pour ajuster le score de risque à la baisse, reflétant plus précisément l'impact du CVE sur cette instance.
Comment la gravité d’un résultat est-elle déterminée ?
Score Amazon Inspector | Gravité |
---|---|
0 | Informatif |
0,2-3,9 | Faibles |
4-6,9 | Medium |
7-8,9 | Elevées |
9-10 | Critique |
Comment fonctionnent les règles de suppression ?
Amazon Inspector vous permet de supprimer des résultats en fonction des critères personnalisés que vous définissez. Vous pouvez créer des règles de suppression pour les résultats qui sont considérés comme acceptables par votre organisation.
Comment puis-je exporter mes résultats, et que comprennent-ils ?
Vous pouvez générer des rapports dans différents formats (CSV ou JSON) en quelques étapes dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec tous les résultats, ou générer et charger un rapport personnalisé basé sur les filtres d'affichage définis dans la console.
Puis-je activer le scan du code Lambda sans activer le scan Lambda standard ?
Non. Deux options s'offrent à vous : activer le scan Lambda standard seul ou activer le scan Lambda standard et le scan de code en même temps. L'analyse standard Lambda fournit une protection de sécurité fondamentale contre les dépendances vulnérables utilisées dans l'application déployée sous forme de fonctions Lambda et de couches d'association. L'analyse du code Lambda apporte une valeur de sécurité supplémentaire en analysant le code de votre application propriétaire personnalisée au sein d'une fonction Lambda pour détecter les failles de sécurité du code telles que des failles d'injection, des fuites de données, une cryptographie faible ou des secrets intégrés.
Comment puis-je exporter le SBOM pour mes ressources, et que contiennent-elles ?
Vous pouvez générer et exporter des SBOM pour toutes les ressources surveillées avec Amazon Inspector, dans plusieurs formats (CycloneDX ou SPDX), en quelques étapes dans la console Amazon Inspector ou via les API Amazon Inspector. Vous pouvez télécharger un rapport complet avec SBOM pour toutes les ressources, ou générer et télécharger de manière sélective des SBOM pour quelques ressources sélectionnées en fonction des filtres d'affichage définis.
Comment puis-je activer la numérisation sans agent pour mon compte ?
Pour les clients Amazon Inspector existants qui utilisent un seul compte, vous pouvez activer la numérisation sans agent (version préliminaire) en accédant à la page de gestion du compte dans la console Amazon Inspector ou en utilisant des API.
Pour les clients Amazon Inspector existants qui utilisent AWS Organizations, votre administrateur délégué doit soit migrer complètement l'ensemble de l'organisation vers une solution sans agent, soit continuer à utiliser exclusivement la solution basée sur un agent SSM. Vous pouvez modifier la configuration du mode de numérisation depuis la page des paramètres EC2 de la console ou via des API.
Pour les nouveaux clients Amazon Inspector, pendant la période de prévisualisation de la numérisation sans agent, les instances sont numérisées en mode de numérisation basé sur un agent lorsque vous activez la numérisation EC2. Vous pouvez passer en mode de numérisation hybride si nécessaire. En mode d'analyse hybride, Amazon Inspector s'appuie sur les agents SSM pour la collecte de l'inventaire des applications afin d'évaluer les vulnérabilités et revient automatiquement à l'analyse sans agent pour les instances sur lesquelles aucun agent SSM n'est installé ou configuré.
Quelle est la fréquence des analyses sans agent ?
Amazon Inspector déclenchera automatiquement une analyse toutes les 24 heures pour les instances marquées pour une numérisation sans agent (version préliminaire). Le comportement d'analyse continue ne sera pas modifié pour les instances marquées pour les analyses basées sur un agent SSM.
Où puis-je voir quelles instances sont analysées avec agent ou sans agent lorsque j’utilise le mode d’analyse hybride pour l’analyse EC2 ?
Vous pouvez voir le mode de numérisation dans la colonne « Utilisation surveillée » en consultant simplement les pages de couverture des ressources dans la console Amazon Inspector ou en utilisant les API de couverture Amazon Inspector.
Est-il possible pour les comptes membres dans une configuration multi-comptes de modifier le mode de numérisation EC2 pour leurs comptes respectifs ?
Non, dans une configuration multi-comptes, seuls les administrateurs délégués peuvent configurer la configuration du mode d'analyse pour l'ensemble de l'organisation.
Comment intégrer Amazon Inspector à mes outils CI/CD pour la numérisation d’images de conteneurs ?
Les équipes chargées des applications et des plateformes peuvent intégrer Amazon Inspector à leurs pipelines de construction à l'aide de plug-ins Amazon Inspector spécialement conçus pour divers outils CI/CD, tels que Jenkins et TeamCity. Ces plugins sont disponibles sur la place de marché de chaque outil CI/CD concerné. Une fois le plug-in installé, vous pouvez ajouter une étape dans le pipeline pour effectuer une évaluation de l'image du conteneur et prendre des mesures, telles que le blocage du pipeline en fonction des résultats de l'évaluation. Lorsque des vulnérabilités sont identifiées lors de l'évaluation, des résultats de sécurité exploitables sont générés. Ces résultats incluent des détails sur les vulnérabilités, des recommandations de remédiation et des détails sur l'exploitabilité. Ils sont renvoyés à l'outil CI/CD aux formats JSON et CSV, qui peut ensuite être traduit en un tableau de bord lisible par l'utilisateur à l'aide du plug-in Amazon Inspector ou peut être téléchargé par les équipes.
Dois-je autoriser Amazon Inspector à utiliser l’intégration CI/CD d’Amazon Inspector pour la numérisation d’images de conteneurs ?
Non, vous n'avez pas besoin d'activer Amazon Inspector pour utiliser cette fonctionnalité à condition de disposer d'un compte AWS actif.
Puis-je analyser mes instances privées Amazon EC2 en configurant Amazon Inspector comme point de terminaison d’un VPC ?
Oui. Amazon Inspector utilise SSM Agent pour collecter l'inventaire des applications, qui peuvent être configurées comme points de terminaison Amazon Virtual Private Cloud (VPC) pour éviter d'envoyer des informations sur Internet.
Quels sont les systèmes d’exploitation pris en charge par Amazon Inspector ?
Vous pouvez trouver la liste des systèmes d’exploitation (OS) pris en charge ici.
Quels sont les packages de langage de programmation pris en charge par Amazon Inspector pour l’analyse d’images de conteneur ?
Vous pouvez trouver la liste des packages de langage de programmation pris en charge ici.
Amazon Inspector fonctionnera-t-il avec des instances qui utilisent la traduction d’adresses réseau (NAT) ?
Oui. Les instances qui utilisent la NAT sont automatiquement prises en charge par Amazon Inspector.
J’utilise un proxy pour mes instances. Amazon Inspector fonctionnera-t-il avec ces instances ?
Oui. Pour plus d’informations, consultez la section relative à la configuration de l’agent SSM Agent afin d’utiliser un proxy.
Le service Amazon Inspector peut-il être intégré à d'autres services AWS pour la journalisation et les notifications ?
Amazon Inspector s'intègre à Amazon EventBridge pour fournir des notifications pour des événements tels qu'une nouvelle constatation, le changement d'état d'un résultat ou la création d'une règle de suppression. Amazon Inspector s’intègre également à AWS CloudTrail pour la journalisation des appels.
Amazon Inspector propose-t-il des analyses de type « Références de configuration de sécurité du système d’exploitation CIS » ?
Oui. Vous pouvez exécuter Amazon Inspector pour effectuer des évaluations ciblées et à la demande par rapport à des tests de configuration CIS au niveau du système d'exploitation pour les instances Amazon EC2 de votre organisation AWS.
Le service Amazon Inspector fonctionne-t-il avec les solutions des partenaires AWS ?
Oui. Voir Partenaires Amazon Inspector pour plus d’informations.
Puis-je désactiver Amazon Inspector ?
Oui. Vous pouvez désactiver tous les types d'analyse (analyse Amazon EC2, analyse des images de conteneur ECR et analyse de la fonction Lambda) en désactivant le service Amazon Inspector. Vous pouvez également désactiver chaque type d'analyse individuellement pour un compte.
Puis-je suspendre Amazon Inspector ?
Non. Amazon Inspector ne prend pas en charge un état suspendu.