Le Center for Internet Security (CIS) analyse les systèmes d'exploitation des EC2 instances Amazon

Les scans CIS (scans CIS) d'Amazon Inspector évaluent les systèmes d'exploitation de vos EC2 instances Amazon pour s'assurer que vous les avez configurés conformément aux recommandations des meilleures pratiques établies par le Center for Internet Security. CIS Security Benchmarks fournit des bases de configuration conformes aux normes du secteur et les meilleures pratiques pour configurer un système en toute sécurité. Vous pouvez effectuer ou planifier des scans CIS après avoir activé le EC2 scan Amazon Inspector pour un compte. Pour plus d'informations sur la façon d'activer le EC2 scan Amazon, consultez Activation d'un type de scan.

Note

Les normes CIS sont destinées aux systèmes d'exploitation x86_64. Certaines vérifications peuvent ne pas être évaluées ou renvoyer des instructions de correction non valides sur les ressources basées sur ARM.

Amazon Inspector effectue des analyses CIS sur les EC2 instances Amazon cibles en fonction des balises d'instance et du calendrier d'analyse que vous avez défini. Amazon Inspector effectue une série de vérifications d'instance sur chaque instance ciblée. Chaque contrôle permet d'évaluer si la configuration de votre système répond aux recommandations spécifiques du CIS Benchmark. Chaque contrôle possède un identifiant et un titre de contrôle CIS, qui correspondent à une recommandation CIS Benchmark pour cette plate-forme. Lorsqu'une analyse CIS est terminée, vous pouvez consulter les résultats pour voir quelles vérifications d'instance ont été réussies, ignorées ou ont échoué pour ce système.

Note

Pour effectuer ou planifier des scans CIS, vous devez disposer d'une connexion Internet sécurisée. Toutefois, si vous souhaitez exécuter des scans CIS sur des instances privées, vous devez utiliser un point de terminaison VPC.

Rubriques

• Exigences relatives aux EC2 instances Amazon pour les scans Amazon Inspector CIS

• Exécution de scans CIS

• Considérations relatives à la gestion des scans Amazon Inspector CIS avec AWS Organizations

• Compartiments Amazon S3 appartenant à Amazon Inspector et utilisés pour les scans CIS par Amazon Inspector

• Création d'une configuration de scan CIS

• Affichage des résultats du scan CIS

• Modification d'une configuration de scan CIS

• Téléchargement des résultats d'un scan CIS

Exigences relatives aux EC2 instances Amazon pour les scans Amazon Inspector CIS

Pour exécuter un scan CIS sur votre EC2 EC2 instance Amazon, celle-ci doit répondre aux critères suivants :

• Le système d'exploitation de l'instance est l'un des systèmes d'exploitation pris en charge pour les scans CIS. Pour plus d'informations, consultez Systèmes d'exploitation et langages de programmation pris en charge par Amazon Inspector.

• L'instance est une instance Amazon EC2 Systems Manager. Pour plus d'informations, consultez la section Utilisation de l'agent SSM dans le guide de l'AWS Systems Manager utilisateur.

• Le plug-in Amazon Inspector SSM est installé sur l'instance. Amazon Inspector installe automatiquement ce plugin sur les instances gérées.

• L'instance possède un profil d'instance qui autorise SSM à gérer l'instance et Amazon Inspector à exécuter des scans CIS pour cette instance. Pour accorder ces autorisations, associez les ManagedCisPolicy politiques Amazon SSMManaged InstanceCore et AmazonInspector2 à un rôle IAM. Attachez ensuite le rôle IAM à votre instance en tant que profil d'instance. Pour obtenir des instructions sur la création et l'attachement d'un profil d'instance, consultez la section Travailler avec les rôles IAM dans le guide de EC2 l'utilisateur Amazon.

Note

Vous n'êtes pas obligé d'activer l'inspection approfondie d'Amazon Inspector avant d'exécuter un scan CIS sur votre EC2 instance Amazon. Si vous désactivez l'inspection approfondie d'Amazon Inspector, Amazon Inspector installe automatiquement l'agent SSM, mais celui-ci ne sera plus invoqué pour exécuter une inspection approfondie. Cependant, de ce fait, l'InspectorLinuxDistributor-do-not-deleteassociation est présente dans votre compte.

Exigences relatives aux terminaux Amazon Virtual Private Cloud pour exécuter des scans CIS sur des EC2 instances Amazon privées

Vous pouvez exécuter des scans CIS sur EC2 des instances Amazon via un réseau Amazon. Toutefois, si vous souhaitez exécuter des scans CIS sur des EC2 instances Amazon privées, vous devez créer des points de terminaison Amazon VPC. Les points de terminaison suivants sont requis lorsque vous créez des points de terminaison Amazon VPC pour Systems Manager :

• com.amazonaws.region.ec2messages

• com.amazonaws.region.inspector2

• com.amazonaws.region.s3

• com.amazonaws.region.ssm

• com.amazonaws.region.ssmmessages

Pour plus d'informations, consultez la section Création de points de terminaison Amazon VPC pour Systems Manager dans le guide de l'AWS Systems Manager utilisateur.

Note

Actuellement, certains Régions AWS ne prennent pas en charge le amazonaws.com.region.inspector2 point de terminaison.

Exécution de scans CIS

Vous pouvez exécuter une analyse CIS une seule fois à la demande ou sous la forme d'une analyse récurrente planifiée. Pour exécuter une analyse, vous devez d'abord créer une configuration de numérisation.

Lorsque vous créez une configuration de scan, vous spécifiez les paires clé-valeur de balise à utiliser pour cibler les instances. Si vous êtes l'administrateur délégué d'Amazon Inspector pour une organisation, vous pouvez spécifier plusieurs comptes dans la configuration de scan, et Amazon Inspector recherchera les instances avec les balises spécifiées dans chacun de ces comptes. Vous choisissez le niveau de référence CIS pour le scan. Pour chaque référence, CIS prend en charge un profil de niveau 1 et de niveau 2 conçu pour fournir des bases de référence pour les différents niveaux de sécurité requis par différents environnements.

• Niveau 1 : recommande les paramètres de sécurité de base essentiels qui peuvent être configurés sur n'importe quel système. La mise en œuvre de ces paramètres ne devrait entraîner que peu ou pas d'interruption du service. L'objectif de ces recommandations est de réduire le nombre de points d'entrée dans vos systèmes, réduisant ainsi les risques globaux de cybersécurité.

• Niveau 2 : recommande des paramètres de sécurité plus avancés pour les environnements de haute sécurité. La mise en œuvre de ces paramètres nécessite une planification et une coordination afin de minimiser le risque d'impact sur l'entreprise. L'objectif de ces recommandations est de vous aider à vous conformer à la réglementation.

Le niveau 2 étend le niveau 1. Lorsque vous choisissez le niveau 2, Amazon Inspector vérifie toutes les configurations recommandées pour les niveaux 1 et 2.

Après avoir défini les paramètres de votre analyse, vous pouvez choisir de l'exécuter sous la forme d'une analyse ponctuelle, qui s'exécute une fois la configuration terminée, ou d'une analyse récurrente. Les analyses récurrentes peuvent être effectuées tous les jours, toutes les semaines ou tous les mois, à l'heure de votre choix.

Astuce

Nous vous recommandons de choisir le jour et l'heure les moins susceptibles d'avoir un impact sur votre système pendant l'exécution de l'analyse.

Considérations relatives à la gestion des scans Amazon Inspector CIS avec AWS Organizations

Lorsque vous exécutez des scans CIS dans une organisation, les administrateurs délégués et les comptes membres d'Amazon Inspector interagissent différemment avec les configurations de scan CIS et les résultats des scans.

Comment les administrateurs délégués d'Amazon Inspector peuvent interagir avec les configurations de scan CIS et les résultats des scans

Lorsque l'administrateur délégué crée une configuration de numérisation, que ce soit pour tous les comptes ou pour un compte de membre spécifique, l'organisation est propriétaire de la configuration. Les configurations de scan détenues par une organisation possèdent un ARN spécifiant l'ID de l'organisation en tant que propriétaire :

arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId

L'administrateur délégué peut gérer les configurations de scan détenues par une organisation, même si elles ont été créées par un autre compte.

L'administrateur délégué peut consulter les résultats du scan pour n'importe quel compte de son organisation.

Si l'administrateur délégué crée une configuration de scan et indique SELF qu'il s'agit du compte cible, il est propriétaire de la configuration de scan, même s'il quitte l'organisation. Toutefois, l'administrateur délégué ne peut pas modifier la cible d'une configuration de scan SELF en la désignant comme cible.

Note

L'administrateur délégué ne peut pas ajouter de balises aux configurations de scan CIS détenues par l'organisation.

Comment les comptes membres d'Amazon Inspector peuvent interagir avec les configurations de scan CIS et les résultats des scans

Lorsqu'un compte membre crée une configuration de scan CIS, il en est propriétaire. Toutefois, l'administrateur délégué peut consulter la configuration. Si un compte membre quitte l'organisation, l'administrateur délégué ne pourra pas consulter la configuration.

Note

L'administrateur délégué ne peut pas modifier une configuration de scan créée par le compte membre.

Les comptes membres, les administrateurs délégués SELF ayant pour cible et les comptes autonomes possèdent tous leurs propres configurations de scan qu'ils créent. Ces configurations de scan ont un ARN qui indique l'ID du compte en tant que propriétaire :

arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId

Un compte membre peut consulter les résultats des scans sur son compte, y compris les résultats des scans CIS planifiés par l'administrateur délégué.

Compartiments Amazon S3 appartenant à Amazon Inspector et utilisés pour les scans CIS par Amazon Inspector

L'Open Vulnerability and Assessment Language (OVAL) est un effort de sécurité de l'information qui normalise la manière d'évaluer et de signaler l'état des machines des systèmes informatiques. Le tableau suivant répertorie tous les compartiments Amazon S3 appartenant à Amazon Inspector dotés de définitions OVAL utilisés pour les scans CIS. Amazon Inspector prépare les fichiers de définition OVAL requis pour les scans CIS. Les compartiments Amazon S3 appartenant à Amazon Inspector doivent être autorisés VPCs si nécessaire.

Note

Les détails de chacun des compartiments Amazon S3 suivants appartenant à Amazon Inspector ne sont pas sujets à modification. Cependant, le tableau peut être mis à jour pour refléter les nouvelles fonctionnalités prises en charge Régions AWS. Vous ne pouvez pas utiliser les compartiments Amazon S3 appartenant à Amazon Inspector pour d'autres opérations Amazon S3 ou dans vos propres compartiments Amazon S3.

seau CIS	Région AWS
cis-datasets-prod-arn-5908f6f	Europe (Stockholm)
cis-datasets-prod-bah-8f88801	Moyen-Orient (Bahreïn)
cis-datasets-prod-bjs-0f40506	Chine (Beijing)
cis-datasets-prod-bom-435a167	Asie-Pacifique (Mumbai)
cis-datasets-prod-cdg-f3a9c58	Europe (Paris)
cis-datasets-prod-cgk-09eb12f	Asie-Pacifique (Jakarta)
cis-datasets-prod-cmh-63030b9	USA Est (Ohio)
cis-datasets-prod-cpt-02c5c6f	Afrique (Le Cap)
cis-datasets-prod-dub-984936f	Europe (Irlande)
cis-datasets-prod-fra-6eb96eb	Europe (Francfort)
cis-datasets-prod-gru-de69f99	Amérique du Sud (São Paulo)
cis-datasets-prod-hkg-8e30800	Asie-Pacifique (Hong Kong)
cis-datasets-prod-iad-8438411	USA Est (Virginie du Nord)
cis-datasets-prod-icn-f4eff1c	Asie-Pacifique (Séoul)
cis-datasets-prod-kix-5743b21	Asie-Pacifique (Osaka)
cis-datasets-prod-lhr-8b1fbd0	Europe (Londres)
cis-datasets-prod-mxp-7b1bbce	Europe (Milan)
cis-datasets-prod-nrt-464f684	Asie-Pacifique (Tokyo)
cis-datasets-prod-osu-5bead6f	AWS GovCloud (USA Est)
cis-datasets-prod-pdt-adadf9c	AWS GovCloud (US-Ouest)
cis-datasets-prod-pdx-acfb052	USA Ouest (Oregon)
cis-datasets-prod-sfo-1515ba8	USA Ouest (Californie du Nord)
cis-datasets-prod-sin-309725b	Asie-Pacifique (Singapour)
cis-datasets-prod-syd-f349107	Asie-Pacifique (Sydney)
cis-datasets-prod-yul-5e0c95e	Canada (Centre)
cis-datasets-prod-zhy-5a8eacb	Chine (Ningxia)
cis-datasets-prod-zrh-67e0e3d	Europe (Zurich)