Numérisation d'EC2instances Amazon avec Amazon Inspector - Amazon Inspector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation d'EC2instances Amazon avec Amazon Inspector

Amazon Inspector Le EC2 scan par Amazon extrait les métadonnées de votre EC2 instance avant de les comparer aux règles collectées à partir des avis de sécurité. Amazon Inspector analyse les instances pour détecter les vulnérabilités des packages et les problèmes d'accessibilité au réseau afin de produire des résultats. Amazon Inspector effectue des analyses d'accessibilité au réseau toutes les 24 heures et des analyses de vulnérabilité des packages à une cadence variable qui dépend de la méthode d'analyse associée à l'instance. EC2

Les analyses de vulnérabilité des packages peuvent être effectuées à l'aide d'une méthode d'analyse basée sur un agent ou sans agent. Ces deux méthodes d'analyse déterminent comment et quand Amazon Inspector collecte l'inventaire des logiciels à partir d'une EC2 instance pour les analyses de vulnérabilité des packages. L'analyse basée sur un agent collecte l'inventaire des logiciels à l'aide de l'SSMagent, et l'analyse sans agent collecte l'inventaire des logiciels à l'aide de snapshots Amazon. EBS

Amazon Inspector utilise les méthodes de scan que vous activez pour votre compte. Lorsque vous activez Amazon Inspector pour la première fois, votre compte est automatiquement inscrit au scan hybride, qui utilise les deux méthodes de scan. Vous pouvez toutefois modifier ce paramètre à tout moment. Pour plus d'informations sur l'activation d'un type de scan, voir Activation d'un type de scan. Cette section fournit des informations sur le EC2 scan Amazon.

Numérisation basée sur un agent

Les scans basés sur l'agent sont effectués en continu à l'aide de l'SSMagent sur toutes les instances éligibles. Pour les scans basés sur des agents, Amazon Inspector utilise des SSM associations, et des plug-ins installés par le biais de ces associations, pour collecter l'inventaire des logiciels à partir de vos instances. Outre les analyses de vulnérabilité des packages pour les packages de système d'exploitation, l'analyse basée sur l'agent Amazon Inspector peut également détecter les vulnérabilités des packages de langage de programmation d'applications dans les instances basées sur Linux via. Inspection approfondie d'Amazon Inspector pour les instances Amazon basées sur Linux EC2

Le processus suivant explique comment Amazon Inspector collecte l'SSMinventaire et effectue des scans basés sur des agents :

  1. Amazon Inspector crée SSM des associations dans votre compte pour collecter le stock de vos instances. Pour certains types d'instances (Windows et Linux), ces associations installent des plug-ins sur des instances individuelles afin de collecter un inventaire.

  2. À l'aide deSSM, Amazon Inspector extrait l'inventaire des colis d'une instance.

  3. Amazon Inspector évalue l'inventaire extrait et génère des résultats pour détecter toute vulnérabilité détectée.

Instances éligibles

Amazon Inspector utilisera la méthode basée sur un agent pour scanner une instance si elle répond aux conditions suivantes :

  • L'instance possède un système d'exploitation compatible. Pour obtenir la liste des systèmes d'exploitation pris en charge, consultez la colonne Support du scan basé sur un agent de. Systèmes d'exploitation pris en charge : Amazon EC2 Scanning

  • L'instance n'est pas exclue des scans par les balises d'EC2exclusion Amazon Inspector.

  • L'instance est SSM gérée. Pour obtenir des instructions sur la vérification et la configuration de l'agent, consultezConfiguration de l'SSMagent.

Comportements de scan basés sur les agents

Lorsque vous utilisez la méthode d'analyse basée sur un agent, Amazon Inspector lance de nouvelles analyses de vulnérabilité des EC2 instances dans les situations suivantes :

  • Lorsque vous lancez une nouvelle EC2 instance.

  • Lorsque vous installez un nouveau logiciel sur une EC2 instance existante (Linux et Mac).

  • Lorsqu'Amazon Inspector ajoute un nouvel élément commun relatif aux vulnérabilités et aux expositions (CVE) à sa base de données, qui CVE est pertinent pour votre EC2 instance (Linux et Mac).

Amazon Inspector met à jour le champ Dernière analyse pour une EC2 instance lorsqu'une analyse initiale est terminée. Ensuite, le champ Dernière analyse est mis à jour lorsqu'Amazon Inspector évalue l'SSMinventaire (toutes les 30 minutes par défaut) ou lorsqu'une instance est scannée à nouveau parce qu'une nouvelle instance ayant un CVE impact sur cette instance a été ajoutée à la base de données Amazon Inspector.

Vous pouvez vérifier la date à laquelle une EC2 instance a été analysée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Instances de la page de gestion du compte, ou en utilisant le ListCoveragecommande.

Configuration de l'SSMagent

Pour qu'Amazon Inspector puisse détecter les vulnérabilités logicielles d'une EC2 instance Amazon à l'aide de la méthode de scan basée sur un agent, l'instance doit être une instance gérée dans Amazon EC2 Systems Manager ()SSM. L'SSMagent est installé et en cours d'exécution sur une instance SSM gérée, et SSM est autorisée à gérer l'instance. Si vous utilisez déjà SSM pour gérer vos instances, aucune autre étape n'est nécessaire pour les scans basés sur des agents.

L'SSMagent est installé par défaut sur les EC2 instances créées à partir de certaines Amazon Machine Images (AMIs). Pour plus d'informations, consultez la section À propos de SSM l'agent dans le guide de AWS Systems Manager l'utilisateur. Toutefois, même s'il est installé, vous devrez peut-être activer l'SSMagent manuellement et SSM autoriser la gestion de votre instance.

La procédure suivante décrit comment configurer une EC2 instance Amazon en tant qu'instance gérée à l'aide d'un profil d'IAMinstance. La procédure fournit également des liens vers des informations plus détaillées dans le guide de AWS Systems Manager l'utilisateur.

AmazonSSMManagedInstanceCoreest la politique recommandée à utiliser lorsque vous attachez un profil d'instance. Cette politique dispose de toutes les autorisations nécessaires à la EC2 numérisation par Amazon Inspector.

Note

Vous pouvez également automatiser SSM la gestion de toutes vos EC2 instances, sans utiliser de profils d'IAMinstance à l'aide de la configuration de gestion d'hôte SSM par défaut. Pour de plus amples informations, consultez Gestion de l'enregistreur de configuration.

SSMPour configurer une EC2 instance Amazon
  1. S'il n'est pas déjà installé par le fournisseur de votre système d'exploitation, installez l'SSMagent. Pour plus d'informations, consultez la section Utilisation de SSM l'agent.

  2. Utilisez le AWS CLI pour vérifier que l'SSMagent est en cours d'exécution. Pour plus d'informations, voir Vérification de SSM l'état de l'agent et démarrage de l'agent.

  3. Accordez l'autorisation SSM de gérer votre instance. Vous pouvez accorder une autorisation en créant un profil d'IAMinstance et en l'attachant à votre instance. Nous vous recommandons d'utiliser le AmazonSSMManagedInstanceCorepolitique, car cette politique prévoit les autorisations nécessaires pour le SSM distributeur, le responsable de l'SSMinventaire et le responsable de SSM l'État, dont Amazon Inspector a besoin pour les scans. Pour savoir comment créer un profil d'instance avec ces autorisations et comment l'associer à une instance, consultez Configurer les autorisations d'instance pour Systems Manager Systems Manager.

  4. (Facultatif) Activez les mises à jour automatiques pour l'SSMagent. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSMagent.

  5. (Facultatif) Configurez Systems Manager pour utiliser un point de terminaison Amazon Virtual Private Cloud (AmazonVPC). Pour plus d'informations, consultez Create Amazon VPC endpoints.

Important

Amazon Inspector nécessite une association Systems Manager State Manager dans votre compte pour collecter l'inventaire des applications logicielles. Amazon Inspector crée automatiquement une association appelée InspectorInventoryCollection-do-not-delete s'il n'en existe pas déjà une.

Amazon Inspector nécessite également une synchronisation des données des ressources et en crée automatiquement une appelée InspectorResourceDataSync-do-not-delete si elle n'existe pas déjà. Pour plus d'informations, consultez la section Configuration de la synchronisation des données des ressources pour l'inventaire dans le guide de AWS Systems Manager l'utilisateur. Chaque compte peut disposer d'un nombre défini de synchronisations de données de ressources par région. Pour plus d'informations, voir Nombre maximal de synchronisations de données sur les ressources ( Compte AWS par région) dans les SSMpoints de terminaison et les quotas.

SSMressources créées pour la numérisation

Amazon Inspector a besoin d'un certain nombre de SSM ressources sur votre compte pour exécuter les EC2 scans Amazon. Les ressources suivantes sont créées lorsque vous activez pour la première fois le EC2 scan Amazon Inspector :

Note

Si l'une de ces SSM ressources est supprimée alors qu'Amazon Inspector est activé pour le EC2 scan Amazon de votre compte, Amazon Inspector tentera de les recréer lors du prochain intervalle d'analyse.

InspectorInventoryCollection-do-not-delete

Il s'agit d'une association Systems Manager State Manager (SSM) qu'Amazon Inspector utilise pour collecter l'inventaire des applications logicielles à partir de vos EC2 instances Amazon. Si votre compte possède déjà une SSM association permettant de collecter le stockInstanceIds*, Amazon Inspector l'utilisera au lieu de créer la sienne.

InspectorResourceDataSync-do-not-delete

Il s'agit d'une synchronisation des données de ressources qu'Amazon Inspector utilise pour envoyer les données d'inventaire collectées depuis vos EC2 instances Amazon vers un compartiment Amazon S3 appartenant à Amazon Inspector. Pour plus d'informations, consultez la section Configuration de la synchronisation des données des ressources pour l'inventaire dans le guide de AWS Systems Manager l'utilisateur.

InspectorDistributor-do-not-delete

Il s'agit d'une SSM association utilisée par Amazon Inspector pour analyser les instances Windows. Cette association installe le SSM plug-in Amazon Inspector sur vos instances Windows. Si le fichier du plugin est supprimé par inadvertance, cette association le réinstallera au prochain intervalle d'association.

InvokeInspectorSsmPlugin-do-not-delete

Il s'agit d'une SSM association utilisée par Amazon Inspector pour analyser les instances Windows. Cette association permet à Amazon Inspector de lancer des scans à l'aide du plugin. Vous pouvez également l'utiliser pour définir des intervalles personnalisés pour les scans des instances Windows. Pour de plus amples informations, veuillez consulter Définition de plannings personnalisés pour Windows scans d'instances.

InspectorLinuxDistributor-do-not-delete

Il s'agit d'une SSM association qu'Amazon Inspector utilise pour l'inspection approfondie d'Amazon EC2 Linux. Cette association installe le SSM plugin Amazon Inspector sur vos instances Linux.

InvokeInspectorLinuxSsmPlugin-do-not-delete

Il s'agit d'une SSM association utilisée par Amazon Inspector pour l'inspection approfondie d'Amazon EC2 Linux. Cette association permet à Amazon Inspector de lancer des scans à l'aide du plugin.

Note

Lorsque vous désactivez le EC2 scan Amazon ou l'inspection approfondie d'Amazon Inspector, la SSM ressource n'InvokeInspectorLinuxSsmPlugin-do-not-deleteest plus invoquée.

Numérisation sans agent

Amazon Inspector utilise la méthode d'analyse sans agent sur les instances éligibles lorsque votre compte est en mode de numérisation hybride. Le mode de numérisation hybride inclut des scans avec ou sans agent et est automatiquement activé lorsque vous activez le scan Amazon. EC2

Pour les scans sans agent, Amazon Inspector utilise des EBS instantanés pour collecter un inventaire logiciel à partir de vos instances. L'analyse sans agent analyse les instances pour détecter les vulnérabilités du système d'exploitation et des packages de langage de programmation d'applications.

Note

Lorsque vous analysez des instances Linux pour détecter les vulnérabilités des packages de langage de programmation d'applications, la méthode sans agent analyse tous les chemins disponibles, tandis que l'analyse basée sur un agent analyse uniquement les chemins par défaut et les chemins supplémentaires que vous spécifiez dans le cadre desquels vous les spécifiez. Inspection approfondie d'Amazon Inspector pour les instances Amazon basées sur Linux EC2 Cela peut entraîner des résultats différents pour la même instance selon qu'elle est scannée à l'aide de la méthode à base d'agent ou de la méthode sans agent.

Le processus suivant explique comment Amazon Inspector utilise les EBS instantanés pour collecter des stocks et effectuer des scans sans agent :

  1. Amazon Inspector crée un EBS instantané de tous les volumes attachés à l'instance. Pendant qu'Amazon Inspector l'utilise, l'instantané est stocké dans votre compte et étiqueté InspectorScan comme clé de balise, et un identifiant de scan unique comme valeur de balise.

  2. Amazon Inspector extrait les données des instantanés EBSdirectement APIs et les évalue pour détecter les vulnérabilités. Des résultats sont générés pour toutes les vulnérabilités détectées.

  3. Amazon Inspector supprime les EBS instantanés créés dans votre compte.

Instances éligibles

Amazon Inspector utilisera la méthode sans agent pour scanner une instance si elle répond aux conditions suivantes :

  • L'instance possède un système d'exploitation compatible. Pour plus d'informations, consultez la colonne >Support du scan basé sur un agent de. Systèmes d'exploitation pris en charge : Amazon EC2 Scanning

  • Le statut de l'instance est Unmanaged EC2 instanceStale inventory, ouNo inventory.

  • L'instance est soutenue par Amazon EBS et possède l'un des formats de système de fichiers suivants :

    • ext3

    • ext4

    • xfs

  • L'instance n'est pas exclue des scans via les balises EC2 d'exclusion Amazon.

  • Le nombre de volumes attachés à l'instance est inférieur à 8 et leur taille combinée est inférieure ou égale à 1 200 Go.

Comportements de scan sans agent

Lorsque votre compte est configuré pour le scan hybride, Amazon Inspector effectue des scans sans agent sur les instances éligibles toutes les 24 heures. Amazon Inspector détecte et analyse les nouvelles instances éligibles toutes les heures, y compris les nouvelles instances sans SSM agent ou les instances préexistantes dont le statut est passé à. SSM_UNMANAGED

Amazon Inspector met à jour le champ Dernière analyse pour une EC2 instance Amazon chaque fois qu'il analyse des instantanés extraits d'une instance après un scan sans agent.

Vous pouvez vérifier la date à laquelle une EC2 instance a été analysée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Instances de la page de gestion du compte, ou en utilisant le ListCoveragecommande.

Gestion du mode de numérisation

Votre mode de EC2 scan détermine les méthodes de scan qu'Amazon Inspector utilisera pour effectuer des EC2 scans sur votre compte. Vous pouvez consulter le mode de numérisation de votre compte EC2 sur la page des paramètres de numérisation sous Paramètres généraux. Les comptes autonomes ou les administrateurs délégués d'Amazon Inspector peuvent modifier le mode de numérisation. Lorsque vous définissez le mode de numérisation en tant qu'administrateur délégué d'Amazon Inspector, ce mode de numérisation est défini pour tous les comptes membres de votre organisation. Amazon Inspector propose les modes de numérisation suivants :

Analyse basée sur un agent : dans ce mode de numérisation, Amazon Inspector utilisera exclusivement la méthode de numérisation basée sur un agent pour détecter les vulnérabilités des packages. Ce mode d'analyse analyse uniquement les instances SSM gérées de votre compte, mais présente l'avantage de fournir des analyses continues en réponse aux nouvelles CVE instances ou aux modifications apportées à celles-ci. Le scan basé sur un agent fournit également une inspection approfondie par Amazon Inspector pour les instances éligibles. Il s'agit du mode de scan par défaut pour les comptes nouvellement activés.

Analyse hybride : dans ce mode de numérisation, Amazon Inspector utilise une combinaison de méthodes basées sur un agent et de méthodes sans agent pour détecter les vulnérabilités des packages. Pour les EC2 instances éligibles sur lesquelles l'SSMagent est installé et configuré, Amazon Inspector utilise la méthode basée sur l'agent. Pour les instances éligibles qui ne sont pas SSM gérées, Amazon Inspector utilisera la méthode sans agent pour les instances EBS soutenues par des critères éligibles.

Pour modifier le mode de numérisation
  1. Connectez-vous à l'aide de vos informations d'identification, puis ouvrez la console Amazon Inspector sur https://console.aws.amazon.com/inspector/v2/home.

  2. À l'aide du Région AWS sélecteur situé dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez modifier le mode de numérisation. EC2

  3. Dans le panneau de navigation latéral, sous Paramètres généraux, sélectionnez Paramètres de EC2 numérisation.

  4. Sous Mode de numérisation, sélectionnez Modifier.

  5. Choisissez un mode de numérisation, puis sélectionnez Enregistrer les modifications.

Exclure les instances des scans Amazon Inspector

Vous pouvez exclure Linux and Windows les instances d'Amazon Inspector les scannent en les étiquetant avec la InspectorEc2Exclusion clé. L'inclusion d'une valeur de balise est facultative. Pour plus d'informations sur l'ajout de balises, consultez la section Marquer vos EC2 ressources Amazon.

Lorsque vous balisez une instance pour qu'elle soit exclue des scans Amazon Inspector, Amazon Inspector marque l'instance comme exclue et ne crée pas de résultats pour elle. Cependant, le SSM plug-in Amazon Inspector continuera d'être invoqué. Pour empêcher le plugin d'être invoqué, vous devez autoriser l'accès aux balises dans les métadonnées de l'instance.

Note

Les instances exclues ne vous sont pas facturées.

En outre, vous pouvez exclure un EBS volume chiffré des analyses sans agent en étiquetant la AWS KMS clé utilisée pour chiffrer ce volume avec cette balise. InspectorEc2Exclusion Pour plus d'informations, consultez la section Balisage des clés.

Systèmes d’exploitation pris en charge

Amazon Inspector analyse les EC2 instances Mac, Windows et Linux prises en charge à la recherche de vulnérabilités dans les packages du système d'exploitation. Pour les instances Linux, Amazon Inspector peut produire des résultats pour les packages de langage de programmation d'applications à l'aide deInspection approfondie d'Amazon Inspector pour les instances Amazon basées sur Linux EC2. Pour les instances Mac et Windows, seuls les packages du système d'exploitation sont analysés.

Pour plus d'informations sur les systèmes d'exploitation pris en charge, notamment sur les systèmes d'exploitation pouvant être analysés sans SSM agent, consultezValeurs de statut des EC2 instances Amazon.