Numérisation d'instances Amazon EC2 avec Amazon Inspector - Amazon Inspector
Numérisation basée sur un agentNumérisation sans agentGestion du mode de numérisationExclure les instances des scans Amazon InspectorSystèmes d’exploitation pris en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation d'instances Amazon EC2 avec Amazon Inspector

Le scan sans agent Amazon Inspector pour Amazon EC2 est disponible en version préliminaire. Votre utilisation de la fonctionnalité de numérisation sans agent Amazon EC2 est soumise à la section 2 des conditions de AWS service (« Bêtas et aperçus »).

L'analyse Amazon Inspector EC2 extrait les métadonnées de votre instance EC2, puis compare ces métadonnées aux règles collectées à partir des avis de sécurité afin de produire des résultats. Amazon Inspector analyse les instances pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau. Pour plus d'informations sur les types de résultats produits pour ces problèmes, voirRecherche de types dans Amazon Inspector.

Amazon Inspector effectue des analyses d'accessibilité au réseau toutes les 24 heures, tandis que les analyses de vulnérabilité des packages sont effectuées à une cadence variable en fonction de la méthode d'analyse associée à l'instance.

Méthodes de numérisation

Les analyses de vulnérabilité des packages peuvent être effectuées à l'aide d'une méthode d'analyse basée sur un agent ou sans agent. Ces méthodes d'analyse déterminent comment et quand Amazon Inspector collecte l'inventaire des logiciels à partir d'une instance EC2 pour les analyses de vulnérabilité des packages. La méthode basée sur un agent repose sur l'agent SSM pour collecter l'inventaire des logiciels, tandis que la méthode sans agent utilise des instantanés Amazon EBS au lieu d'un agent.

Les méthodes de scan utilisées par Amazon Inspector dépendent du paramètre du mode de scan de votre compte. Pour plus d'informations, consultez,Gestion du mode de numérisation.

Pour activer les scans Amazon EC2, consultez. Activation d'un type de scan

Numérisation basée sur un agent

Les scans basés sur des agents sont effectués en continu à l'aide de l'agent SSM sur toutes les instances éligibles. Pour les scans basés sur des agents, Amazon Inspector utilise des associations SSM et des plug-ins installés par le biais de ces associations pour collecter l'inventaire des logiciels à partir de vos instances. Outre les analyses de vulnérabilité des packages pour les packages de système d'exploitation, l'analyse basée sur l'agent Amazon Inspector peut également détecter les vulnérabilités des packages de langage de programmation d'applications dans les instances basées sur Linux via. Inspection approfondie d'Amazon Inspector pour les instances Linux Amazon EC2

Le processus suivant explique comment Amazon Inspector utilise SSM pour collecter l'inventaire et effectuer des scans basés sur des agents :

  1. Amazon Inspector crée des associations SSM dans votre compte pour collecter le stock de vos instances. Pour certains types d'instances (Windows et Linux), ces associations installent des plug-ins sur des instances individuelles afin de collecter un inventaire.

  2. À l'aide de SSM, Amazon Inspector extrait l'inventaire des packages d'une instance.

  3. Amazon Inspector évalue l'inventaire extrait et génère des résultats pour détecter toute vulnérabilité détectée.

Instances éligibles

Amazon Inspector utilisera la méthode basée sur un agent pour scanner une instance si elle répond aux conditions suivantes :

  • L'instance possède un système d'exploitation compatible. Pour obtenir la liste des systèmes d'exploitation pris en charge, consultez la colonne Support du scan basé sur un agent de. Systèmes d'exploitation pris en charge : Amazon EC2 scanning

  • L'instance n'est pas exclue des scans par les balises d'exclusion Amazon Inspector EC2.

  • L'instance est gérée par SSM. Pour obtenir des instructions sur la vérification et la configuration de l'agent, consultezConfiguration de l'agent SSM.

Comportements de scan basés sur les agents

Lorsque vous utilisez la méthode d'analyse basée sur un agent, Amazon Inspector lance de nouvelles analyses de vulnérabilité sur les instances EC2 dans les situations suivantes :

  • Lorsque vous lancez une nouvelle instance EC2.

  • Lorsque vous installez un nouveau logiciel sur une instance EC2 existante (Linux et Mac).

  • Lorsqu'Amazon Inspector ajoute un nouvel élément Common Vulnerabilities and Exposures (CVE) à sa base de données, et que ce CVE est pertinent pour votre instance EC2 (Linux et Mac).

Amazon Inspector met à jour le champ Dernière analyse pour une instance EC2 lorsqu'une analyse initiale est terminée. Ensuite, le champ Dernière analyse est mis à jour lorsqu'Amazon Inspector évalue l'inventaire SSM (toutes les 30 minutes par défaut) ou lorsqu'une instance est scannée à nouveau parce qu'un nouveau CVE ayant un impact sur cette instance a été ajouté à la base de données Amazon Inspector.

Vous pouvez vérifier la date à laquelle une instance EC2 a été analysée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Instances de la page de gestion du compte ou en utilisant la ListCoveragecommande.

Configuration de l'agent SSM

Pour qu'Amazon Inspector puisse détecter les vulnérabilités logicielles d'une instance Amazon EC2 à l'aide de la méthode de scan basée sur les agents, l'instance doit être une instance gérée dans Amazon EC2 Systems Manager (SSM). L'agent SSM est installé et exécuté sur une instance gérée par SSM, et SSM est autorisé à gérer l'instance. Si vous utilisez déjà SSM pour gérer vos instances, aucune autre étape n'est nécessaire pour les scans basés sur des agents.

L'agent SSM est installé par défaut sur les instances EC2 créées à partir de certaines Amazon Machine Images (AMI). Pour plus d'informations, consultez la section À propos de l'agent SSM dans le guide de AWS Systems Manager l'utilisateur. Toutefois, même s'il est installé, vous devrez peut-être activer l'agent SSM manuellement et accorder à SSM l'autorisation de gérer votre instance.

La procédure suivante décrit comment configurer une instance Amazon EC2 en tant qu'instance gérée à l'aide d'un profil d'instance IAM. La procédure fournit également des liens vers des informations plus détaillées dans le guide de AWS Systems Manager l'utilisateur.

AmazonSSMManagedInstanceCoreest la politique recommandée à utiliser lorsque vous attachez un profil d'instance. Cette politique dispose de toutes les autorisations nécessaires à l'analyse par Amazon Inspector EC2.

Note

Vous pouvez également automatiser la gestion SSM de toutes vos instances EC2, sans utiliser de profils d'instance IAM à l'aide de la configuration de gestion d'hôte par défaut SSM. Pour de plus amples informations, consultez Gestion de l'enregistreur de configuration.

Pour configurer SSM pour une instance Amazon EC2

  1. S'il n'est pas déjà installé par le fournisseur de votre système d'exploitation, installez l'agent SSM. Pour plus d'informations, consultez la section Utilisation de l'agent SSM.

  2. Utilisez le AWS CLI pour vérifier que l'agent SSM est en cours d'exécution. Pour plus d’informations, consultez Vérification du statut de l’SSM Agent et démarrage de l’agent.

  3. Autorisez SSM à gérer votre instance. Vous pouvez accorder une autorisation en créant un profil d'instance IAM et en l'attachant à votre instance. Nous vous recommandons d'utiliser cette AmazonSSMManagedInstanceCorepolitique, car elle dispose des autorisations nécessaires pour le distributeur SSM, l'inventaire SSM et le gestionnaire d'état SSM, dont Amazon Inspector a besoin pour les scans. Pour obtenir des instructions sur la création d'un profil d'instance avec ces autorisations et sur le rattachement à une instance, consultez la section Configurer les autorisations d'instance pour Systems Manager Systems Manager.

  4. (Facultatif) Activez les mises à jour automatiques pour l'agent SSM. Pour plus d'informations, consultez Automatisation des mises à jour de l'agent SSM.

  5. (Facultatif) Configurez Systems Manager pour utiliser un point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Pour plus d'informations, consultez Créer des points de terminaison Amazon VPC.

Important

Amazon Inspector nécessite une association Systems Manager State Manager dans votre compte pour collecter l'inventaire des applications logicielles. Amazon Inspector crée automatiquement une association appelée InspectorInventoryCollection-do-not-delete s'il n'en existe pas déjà une.

Amazon Inspector nécessite également une synchronisation des données des ressources et en crée automatiquement une appelée InspectorResourceDataSync-do-not-delete s'il n'en existe pas déjà une. Pour plus d'informations, consultez la section Configuration de la synchronisation des données des ressources pour l'inventaire dans le guide de AWS Systems Manager l'utilisateur. Chaque compte peut disposer d'un nombre défini de synchronisations de données de ressources par région. Pour plus d'informations, voir Nombre maximal de synchronisations de données de ressources ( Compte AWS par région) dans les points de terminaison et quotas SSM. Si vous avez atteint ce maximum, vous devrez supprimer une synchronisation des données des ressources, voir Gestion des synchronisations des données des ressources.

Ressources SSM créées pour la numérisation

Amazon Inspector a besoin d'un certain nombre de ressources SSM dans votre compte pour exécuter les scans Amazon EC2. Les ressources suivantes sont créées lorsque vous activez pour la première fois le scan Amazon Inspector EC2 :

Note

Si l'une de ces ressources SSM est supprimée alors que le scan Amazon EC2 par Amazon Inspector est activé pour votre compte, Amazon Inspector tentera de les recréer lors du prochain intervalle d'analyse.

InspectorInventoryCollection-do-not-delete

Il s'agit d'une association Systems Manager State Manager (SSM) qu'Amazon Inspector utilise pour collecter l'inventaire des applications logicielles à partir de vos instances Amazon EC2. Si votre compte possède déjà une association SSM pour collecter le stockInstanceIds*, Amazon Inspector l'utilisera au lieu de créer la sienne.

InspectorResourceDataSync-do-not-delete

Il s'agit d'une synchronisation des données de ressources qu'Amazon Inspector utilise pour envoyer les données d'inventaire collectées depuis vos instances Amazon EC2 vers un compartiment Amazon S3 appartenant à Amazon Inspector. Pour plus d'informations, consultez la section Configuration de la synchronisation des données des ressources pour l'inventaire dans le guide de AWS Systems Manager l'utilisateur.

InspectorDistributor-do-not-delete

Il s'agit d'une association SSM utilisée par Amazon Inspector pour scanner les instances Windows. Cette association installe le plug-in Amazon Inspector SSM sur vos instances Windows. Si le fichier du plugin est supprimé par inadvertance, cette association le réinstallera au prochain intervalle d'association.

InvokeInspectorSsmPlugin-do-not-delete

Il s'agit d'une association SSM utilisée par Amazon Inspector pour scanner les instances Windows. Cette association permet à Amazon Inspector de lancer des scans à l'aide du plugin. Vous pouvez également l'utiliser pour définir des intervalles personnalisés pour les scans des instances Windows. Pour plus d’informations, consultez Définition de plannings personnalisés pour les scans Windows par exemple.

InspectorLinuxDistributor-do-not-delete

Il s'agit d'une association SSM qu'Amazon Inspector utilise pour l'inspection approfondie d'Amazon EC2 Linux. Cette association installe le plugin Amazon Inspector SSM sur vos instances Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Il s'agit d'une association SSM utilisée par Amazon Inspector pour l'inspection approfondie d'Amazon EC2 Linux. Cette association permet à Amazon Inspector de lancer des scans à l'aide du plugin.

Note

Lorsque vous désactivez l'analyse ou l'inspection approfondie Amazon EC2 par Amazon Inspector, toutes les ressources SSM sont automatiquement désinstallées des hôtes Linux correspondants.

Numérisation sans agent

Amazon Inspector utilise une méthode d'analyse sans agent sur les instances éligibles lorsque votre compte est en mode de numérisation hybride (qui inclut à la fois les scans avec et sans agent). Pour les scans sans agent, Amazon Inspector utilise des instantanés EBS pour collecter un inventaire logiciel à partir de vos instances. Les instances scannées à l'aide de la méthode sans agent sont analysées à la fois pour détecter les vulnérabilités des packages du système d'exploitation et des packages de langage de programmation d'applications.

Note

Lorsque vous analysez des instances Linux pour détecter les vulnérabilités des packages de langage de programmation d'applications, la méthode sans agent analyse tous les chemins disponibles, tandis que l'analyse basée sur un agent analyse uniquement les chemins par défaut et les chemins supplémentaires que vous spécifiez dans le cadre desquels vous les spécifiez. Inspection approfondie d'Amazon Inspector pour les instances Linux Amazon EC2 Cela peut entraîner des résultats différents pour la même instance selon qu'elle est scannée à l'aide de la méthode à base d'agent ou de la méthode sans agent.

Le processus suivant explique comment Amazon Inspector utilise les instantanés EBS pour collecter des stocks et effectuer des scans sans agent :

  1. Amazon Inspector crée un instantané EBS de tous les volumes attachés à l'instance. Pendant qu'Amazon Inspector l'utilise, l'instantané est stocké dans votre compte et étiqueté InspectorScan comme clé de balise, et un identifiant de scan unique comme valeur de balise.

  2. Amazon Inspector extrait les données des instantanés à l'aide des API directes d'EBS et les évalue pour détecter les vulnérabilités. Des résultats sont générés pour toutes les vulnérabilités détectées.

  3. Amazon Inspector supprime les instantanés EBS qu'il a créés dans votre compte.

Instances éligibles

Amazon Inspector utilisera la méthode sans agent pour scanner une instance si elle répond aux conditions suivantes :

  • L'instance possède un système d'exploitation compatible. Pour obtenir la liste des systèmes d'exploitation pris en charge, consultez la colonne Support du scan basé sur un agent de. Systèmes d'exploitation pris en charge : Amazon EC2 scanning

  • L'instance n'est pas exclue des scans par les balises d'exclusion Amazon Inspector EC2.

  • Le statut de l'instance est Unmanaged EC2 instanceStale inventory, ouNo inventory.

  • L'instance est basée sur EBS et possède l'un des formats de système de fichiers suivants :

    • ext3

    • ext4

    • xfs

Comportements de scan sans agent

Lorsque votre compte est configuré pour le scan hybride, Amazon Inspector effectue des scans sans agent sur les instances éligibles toutes les 24 heures. Amazon Inspector détecte et analyse les nouvelles instances éligibles toutes les heures, y compris les nouvelles instances sans agents SSM ou les instances préexistantes dont le statut est passé à. SSM_UNMANAGED

Amazon Inspector met à jour le champ Dernière analyse pour une instance Amazon EC2 chaque fois qu'il analyse des instantanés extraits d'une instance après un scan sans agent.

Vous pouvez vérifier la date à laquelle une instance EC2 a été analysée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Instances de la page de gestion du compte ou en utilisant la ListCoveragecommande.

Gestion du mode de numérisation

Votre mode de scan EC2 détermine les méthodes de scan qu'Amazon Inspector utilisera pour effectuer des scans EC2 sur votre compte. Vous pouvez consulter le mode de numérisation de votre compte sur la page des paramètres de numérisation EC2 sous Paramètres généraux. Les comptes autonomes ou les administrateurs délégués d'Amazon Inspector peuvent modifier le mode de numérisation. Lorsque vous définissez le mode de numérisation en tant qu'administrateur délégué d'Amazon Inspector, ce mode de numérisation est défini pour tous les comptes membres de votre organisation. Amazon Inspector propose les modes de numérisation suivants :

Analyse basée sur un agent : dans ce mode de numérisation, Amazon Inspector utilisera exclusivement la méthode de numérisation basée sur un agent pour détecter les vulnérabilités des packages. Ce mode d'analyse analyse uniquement les instances gérées par SSM dans votre compte, mais présente l'avantage de fournir des analyses continues en réponse aux nouveaux CVE ou aux modifications apportées aux instances. Le scan basé sur un agent fournit également une inspection approfondie par Amazon Inspector pour les instances éligibles. Il s'agit du mode de scan par défaut pour les comptes nouvellement activés.

Analyse hybride : dans ce mode de numérisation, Amazon Inspector utilise une combinaison de méthodes basées sur un agent et de méthodes sans agent pour détecter les vulnérabilités des packages. Pour les instances EC2 éligibles sur lesquelles l'agent SSM est installé et configuré, Amazon Inspector utilise la méthode basée sur l'agent. Pour les instances éligibles qui ne sont pas gérées par SSM, Amazon Inspector utilisera la méthode sans agent pour les instances éligibles soutenues par EBS.

Pour modifier le mode de numérisation

  1. Ouvrez la console Amazon Inspector à l'adresse https://console.aws.amazon.com/inspector/v2/home.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier le mode de numérisation EC2.

  3. Dans le panneau de navigation latéral, sous Paramètres généraux, sélectionnez Paramètres de numérisation EC2.

  4. Sous Mode de numérisation, sélectionnez Modifier.

  5. Choisissez un mode de numérisation, puis sélectionnez Enregistrer les modifications.

Exclure les instances des scans Amazon Inspector

Vous pouvez étiqueter certaines instances pour les exclure des scans Amazon Inspector. L'exclusion des instances des scans permet d'éviter les alertes inexploitables. Les instances exclues ne vous sont pas facturées.

Pour exclure une instance EC2 des scans, balisez cette instance avec la clé suivante :

  • InspectorEc2Exclusion

La valeur est facultative.

Pour plus d'informations sur l'ajout de balises, consultez Marquer vos ressources Amazon EC2.

En outre, vous pouvez exclure un volume EBS chiffré des analyses sans agent en étiquetant la AWS KMS clé utilisée pour chiffrer ce volume avec cette balise. InspectorEc2Exclusion Pour plus d'informations, consultez la section Balisage des clés

Systèmes d’exploitation pris en charge

Amazon Inspector analyse les instances EC2 Mac, Windows et Linux prises en charge à la recherche de vulnérabilités dans les packages du système d'exploitation. Pour les instances Linux, Amazon Inspector peut produire des résultats pour les packages de langage de programmation d'applications à l'aide deInspection approfondie d'Amazon Inspector pour les instances Linux Amazon EC2. Pour les instances Mac et Windows, seuls les packages du système d'exploitation sont analysés.

Pour plus d'informations sur les systèmes d'exploitation pris en charge, notamment sur les systèmes d'exploitation pouvant être analysés sans agent SSM, consultezSystèmes d'exploitation pris en charge pour le scan Amazon EC2.