Gestion des résultats de sécurité pour les images Image Builder - EC2Image Builder
Configuration des scans de sécuritéGérez les résultats de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des résultats de sécurité pour les images Image Builder

Lorsque vous activez le scan de sécurité avec Amazon Inspector, celui-ci analyse en permanence les images des machines et les instances en cours d'exécution de votre compte pour détecter les vulnérabilités du système d'exploitation et du langage de programmation. Lorsqu'elle est activée, l'analyse de sécurité est automatique et Image Builder peut enregistrer un instantané des résultats de votre instance de test lorsque vous créez une nouvelle image. Amazon Inspector est un service payant.

Lorsqu'Amazon Inspector découvre des vulnérabilités dans votre logiciel ou dans vos paramètres réseau, il prend les mesures suivantes :

  • Vous informe qu'une découverte a été faite.

  • Évalue la gravité du résultat. L'indice de gravité classe les vulnérabilités afin de vous aider à hiérarchiser vos découvertes, et inclut les valeurs suivantes :

    • Non trié

    • Informationnel

    • Faible

    • Medium

    • Élevée

    • Critique

  • Fournit des informations sur la découverte et des liens vers des ressources supplémentaires pour plus de détails.

  • Fournit des conseils de correction pour vous aider à résoudre les problèmes à l'origine du résultat.

Configurez les scans de sécurité pour les images Image Builder dans AWS Management Console

Si vous avez activé Amazon Inspector pour votre compte, Amazon Inspector scanne automatiquement les EC2 instances lancées par Image Builder pour créer et tester une nouvelle image. Ces instances ont une courte durée de vie pendant le processus de création et de test, et leurs résultats expirent normalement dès leur fermeture. Pour vous aider à étudier et corriger les résultats de votre nouvelle image, Image Builder peut éventuellement enregistrer sous forme de capture instantanée tous les résultats identifiés par Amazon Inspector sur votre instance de test pendant le processus de création.

Étape 1 : activer les scans de sécurité Amazon Inspector pour votre compte

Pour activer les scans de sécurité Amazon Inspector pour votre compte depuis la console Image Builder, procédez comme suit :

  1. Ouvrez la console EC2 Image Builder à l'adresse https://console.aws.amazon.com/imagebuilder/.

  2. Choisissez les paramètres d'analyse de sécurité dans le volet de navigation. Cela ouvre la boîte de dialogue d'analyse de sécurité.

    La boîte de dialogue affiche l'état de numérisation de votre compte. Si Amazon Inspector est déjà activé pour votre compte, le statut indique Activé.

  3. Suivez les étapes 1 et 2 des instructions pour activer le scan Amazon Inspector.

    Note

    Amazon Inspector encourt des frais. Pour plus d'informations, consultez la Tarification d'Amazon Inspector.

Si vous avez activé la numérisation pour votre pipeline, Image Builder prend un instantané des résultats pour votre instance de build lorsque vous créez une nouvelle image. De cette façon, vous pouvez accéder aux résultats une fois qu'Image Builder a mis fin à l'instance de génération.

Étape 2 : configurer votre pipeline pour enregistrer des instantanés afin de détecter les vulnérabilités

Pour configurer les instantanés de détection des vulnérabilités pour votre pipeline, effectuez les opérations suivantes :

  1. Ouvrez la console EC2 Image Builder à l'adresse https://console.aws.amazon.com/imagebuilder/.

  2. Choisissez Image pipelines dans le volet de navigation.

  3. Choisissez l'une des méthodes suivantes pour spécifier les détails du pipeline :

    Création d'un nouveau pipeline

    1. Sur la page Pipelines d'images, choisissez Créer un pipeline d'images. Cela ouvre la page Spécifier les détails du pipeline dans l'assistant du pipeline.

    Mettre à jour un pipeline existant

    1. Sur la page Pipelines d'images, cliquez sur le lien du nom du pipeline que vous souhaitez mettre à jour. Cela ouvre la page détaillée du pipeline.

      Note

      Vous pouvez également cocher la case à côté du nom du pipeline que vous souhaitez mettre à jour, puis choisir Afficher les détails.

    2. Sur la page des détails du pipeline, sélectionnez Modifier le pipeline dans le menu Action. Cela vous amène à la page Modifier le pipeline.

  4. Dans la section Général de l'assistant de pipeline ou de la page Modifier le pipeline, cochez la case Activer le scan de sécurité.

    Note

    Si vous souhaitez désactiver les instantanés ultérieurement, vous pouvez modifier votre pipeline pour désactiver la case à cocher. Cela ne désactive pas le scan Amazon Inspector pour votre compte. Pour désactiver le scan Amazon Inspector, consultez la section Désactivation d'Amazon Inspector dans le guide de l'utilisateur d'Amazon Inspector.

Gérez les résultats de sécurité relatifs aux images Image Builder dans AWS Management Console

Les pages de liste des résultats de sécurité affichent des informations de haut niveau sur les résultats relatifs à vos ressources, avec des vues basées sur plusieurs filtres différents que vous pouvez appliquer. Chaque vue inclut les options suivantes en haut pour modifier votre vue :

  • Tous les résultats de sécurité : il s'agit de l'affichage par défaut si vous choisissez la page Résultats de sécurité dans le volet de navigation de la console Image Builder.

  • Par vulnérabilité : cette vue affiche une liste détaillée de toutes les ressources d'images de votre compte contenant des résultats. L'ID de recherche est lié à des informations plus détaillées sur le résultat. Ces informations apparaissent sur un panneau qui s'ouvre sur le côté droit de la page. Le panneau contient les informations suivantes :

    • Description détaillée de la découverte.

    • Un onglet Détails de recherche. Cet onglet inclut un aperçu des résultats, les packages concernés, des conseils de correction sommaires, des informations détaillées sur les vulnérabilités et les vulnérabilités associées. L'identifiant de vulnérabilité renvoie à des informations détaillées sur les vulnérabilités dans la base de données nationale sur les vulnérabilités.

    • Un onglet de répartition des scores. Cet onglet inclut une side-by-side comparaison des scores CVSS et d'Amazon Inspector afin que vous puissiez voir où Amazon Inspector a modifié un score, le cas échéant.

  • Par pipeline d'images : cette vue indique le nombre de résultats pour chaque pipeline d'images de votre compte. Image Builder affiche le nombre de résultats de gravité moyenne et supérieure, ainsi que le total de tous les résultats. Toutes les données de la liste sont liées comme suit :

    • La colonne Nom du pipeline d'images renvoie à la page détaillée du pipeline d'images spécifié.

    • Les liens des colonnes du niveau de gravité ouvrent la vue Tous les résultats de sécurité, filtrée en fonction du nom du pipeline d'images et du niveau de gravité associés.

    Vous pouvez également utiliser des critères de recherche pour affiner vos résultats.

  • Par image : cette vue indique le nombre de résultats pour chaque image créée dans votre compte. Image Builder affiche le nombre de résultats de gravité moyenne et supérieure, ainsi que le total de tous les résultats. Toutes les données de la liste sont liées comme suit :

    • La colonne Nom de l'image renvoie à la page détaillée de l'image pour la génération d'image spécifiée. Pour de plus amples informations, veuillez consulter Afficher les détails des ressources d'images.

    • Les liens des colonnes du niveau de gravité ouvrent la vue Tous les résultats de sécurité, filtrée en fonction du nom de version de l'image et du niveau de gravité associés.

    Vous pouvez également utiliser des critères de recherche pour affiner vos résultats.

Image Builder affiche les informations suivantes dans la section Liste des résultats de la vue par défaut Tous les résultats de sécurité.

Sévérité

Le niveau de gravité du CVE résultat. Les valeurs sont les suivantes :

  • Non trié

  • Informationnel

  • Faible

  • Medium

  • Élevée

  • Critique

ID de résultat

Identifiant unique correspondant à la CVE découverte détectée par Amazon Inspector pour votre image lors de la numérisation de l'instance de build. L'ID est lié à la page Résultats de sécurité > Par vulnérabilité.

Image ARN

Le nom de la ressource Amazon (ARN) pour l'image dont la recherche est spécifiée dans la colonne Identifiant de recherche.

Pipeline

Le pipeline qui a créé l'image spécifiée dans la ARN colonne Image.

Description

Brève description de la découverte.

Note de l'Inspecteur

Note attribuée par Amazon Inspector pour le CVE résultat.

Assainissement

Liens vers des informations sur le plan d'action recommandé pour remédier à la constatation.

Date de publication

Date et heure auxquelles cette vulnérabilité a été ajoutée pour la première fois à la base de données du fournisseur.