SlideShare une entreprise Scribd logo
1  sur  27
Télécharger pour lire hors ligne
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Inspector
Julien Simon
Principal Technical Evangelist, AWS
julsimon@amazon.fr
@julsimon
Agenda
Qu'est-ce qu'Inspector peut faire pour vous ?
Disponibilité et tarification
Installation
Démonstration
Conseils et ressources
Questions et réponses
Amazon Inspector
Inspector vous permet d’analyser vos instances EC2 et d’identifier des failles
de sécurité.

1.  Définissez la liste des instances avec un tag
2.  Déployez l’agent Inspector sur les instances concernées
3.  Lancez une évaluation, basée sur une liste de règles pré-établie.
4.  Analysez les résultats.
Note : Inspector ne change rien au modèle de sécurité partagée.
https://aws.amazon.com/inspector/
AWS se charge
de la sécurité "
DU cloud
Vous
AWS Inspector vous aide à sécuriser votre plate-forme
Services de base AWS
Calcul
 Stockage
 Base de données
 Mise en réseau
Infrastructure globale AWS
Régions
Zones de disponibilité
Emplacements
périphériques
Chiffrement des données
côté client
Chiffrement des données
côté serveur
Protection du "
trafic réseau
Gestion de plateforme, d'applications, d'identité et d'accès
Configuration du système d'exploitation, du réseau et du pare-feu
Applications et contenu client
Vous devez définir
vos contrôles
DANS le cloud
Terminologie Inspector
Evaluation (Assessment)
•  Analyse d’une application afin de détecter les failles de sécurité
Cible d’évaluation (Assessment Target)
•  Ensemble d'instances EC2 que vous voulez évaluer
Groupe de règles (Rule Package)
•  Ensemble de vérifications de sécurité (« règles »)
Modèle d’évaluation (Assessement Template)
•  Cible + groupe de règles + durée
Résultats (Findings)
•  Problème de sécurité potentiel dans votre application
•  Les données collectées lors de l’évaluation correspondent à une règle
•  Description détaillée, contexte et étapes de résolution
Groupes de règles
•  Common Vulnerabilities and Exposures
•  Vulnérabilités CVE http://cve.mitre.org
•  https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt (43,819)
•  CIS Operating System Security Configuration Benchmarks
•  Vulnérabilités du Center for Internet Security http://cisecurity.org 
•  http://benchmarks.cisecurity.org 
•  Security Best Practices
•  Bonnes pratiques SSH, mots de passe, etc. (Linux uniquement)
•  https://docs.aws.amazon.com/fr_fr/inspector/latest/userguide/inspector_security-best-
practices.html
•  Runtime Behavior Analysis
•  Comportement des instances pendant l’évaluation (protocoles réseau, etc.)
•  https://docs.aws.amazon.com/fr_fr/inspector/latest/userguide/inspector_runtime-behavior-
analysis.html
Disponibilité et prix
•  Inspector est disponible dans les régions suivantes : 
•  US: Oregon, N. Virginia
•  EU: Irlande
•  Asia Pacific: Corée du Sud, Inde, Japon, Australie
•  Tarif dégressif : de $0.30 à $0.05 par évaluation
•  Niveau d’usage gratuit : 250 évaluations pendant 90 jours
Agent Inspector – Linux 
•  Amazon Linux (>= 2015.03), Ubuntu (14.04 LTS), RHEL (7.2), CentOS (7.2)
•  Versions de noyau Linux supportées :
https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/supported_versions.json
$ wget https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install
$ sudo bash install
$ sudo /opt/aws/awsagent/bin/awsagent status
$ sudo /etc/init.d/awsagent [ stop | start ]
Attention : l’agent dépend du noyau. Il est prudent de le mettre à jour après chaque mise à jour du noyau
Agent Inspector – Windows
•  Windows Server 2008 R2, Windows Server 2012 et 2012 R2
•  Téléchargez et exécutez le fichier suivant :"
"
https://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/
AWSAgentInstall.exe 
•  Lancement et arrêt via services.msc :
•  AWS Agent Service
•  AWS Agent Updater Service
Utiliser Inspector
•  Console AWS (uniquement en Anglais)
•  Ligne de commande AWS https://docs.aws.amazon.com/cli/latest/reference/inspector/index.html
•  SDK AWS https://aws.amazon.com/tools
•  Java https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/inspector/AmazonInspector.html 
•  Python https://boto3.readthedocs.org/en/latest/reference/services/inspector.html 
•  Documentation de l'API https://docs.aws.amazon.com/inspector/latest/APIReference/Welcome.html
Démonstration
3 instances Linux
•  Ubuntu 14.04.02 LTS (Avril 2014)
•  Amazon Linux 2015.03
•  Amazon Linux 2016.09
à  Packages PHP, MySQL, Java,
Apache, Bind, etc.
1 instance Windows Server 2012
Pré-requis
Définir une cible d’évaluation
Définir un modèle d’évaluation
Récapitulatif du modèle d’évaluation
Lancer l’évaluation
Pendant l’évaluation
Lister les résultats dans la console
Lister les résultats avec la ligne de commande AWS
$ aws inspector list-assessment-runs
{
"assessmentRunArns": [
"arn:aws:inspector:us-west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/
0-6e7dOXgG"
]
}
$ aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-
west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG”
…
"findingArns": [
"arn:aws:inspector:us-west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG/
finding/0-01Eg2UgO",
…
$ aws inspector describe-findings --finding-arns "arn:aws:inspector:us-
west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG/finding/0-01Eg2UgO"
Le résultat de notre évaluation
Ubuntu 14.04.02
aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0-
aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG" --filter '{"severities":["High"], "agentIds":
["i-04e963f9395279434"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l
242
Amazon Linux 2015.03
aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0-
aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG" --filter '{"severities":["High"], "agentIds":
["i-02c89c928eb8f3a62"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l
69
Amazon Linux 2016.09
aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0-
aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG" --filter '{"severities":["High"], "agentIds":
["i-0c8c9f709dd7f7cfd"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l
4
CVE-2015-8325 (OpenSSH)"
CVE-2016-7039 / CVE-2016-8666 / CVE-2016-9083 (Linux kernel)
Comment corriger les problèmes ?

Mettez à jour vos instances régulièrement !
$ sudo yum update --cves=… -y
$ sudo yum update --security -y
$ sudo yum update -y
Evaluons à nouveau l’instance Amazon Linux
2016.09
Après mise à jour et scan de 24 heures J
Ubuntu 14.04.02
aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0-
aiPGypOn/template/0-KQ1FrZu6/run/0-Ixqaicyh" --filter '{"severities":["High"], "agentIds":
["i-04e963f9395279434"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l
52
Amazon Linux 2015.03
aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0-
aiPGypOn/template/0-KQ1FrZu6/run/0-Ixqaicyh" --filter '{"severities":["High"], "agentIds":
["i-02c89c928eb8f3a62"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l
0
Amazon Linux 2016.09
aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0-
aiPGypOn/template/0-KQ1FrZu6/run/0-Ixqaicyh" --filter '{"severities":["High"], "agentIds":
["i-0c8c9f709dd7f7cfd"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l
0
Quelques conseils
•  Attention aux vieilles AMI et à leurs vieux packages
•  Amazon Linux est bien mise à jour, mais pensez à utiliser la dernière AMI en date
•  Scannez régulièrement vos instances
•  Comparez la liste des instances scannées avec la liste des instances qui tournent !
•  Appliquez systématiquement les mises à jour de sécurité
•  Au redémarrage (script d’initialisation)
•  Attention : Pas dans User Data, qui n’est exécuté qu’à la création de l’instance
•  Tâche cron sur l’instance
•  Evénements CloudWatch programmés
•  EC2 Systems Manager
•  Mettez à jour l’agent Inspector à chaque changement de noyau
•  Au redémarrage (script d’initialisation)
•  Intégrez Inspector dans votre pipeline de déploiement continu

https://aws.amazon.com/blogs/compute/scheduling-ssh-jobs-using-aws-lambda/
https://aws.amazon.com/ec2/systems-manager/
Ressources complémentaires
‪Livres blancs AWS
https://aws.amazon.com/whitepapers/auditing-security-checklist-for-use-of-aws/ 
https://aws.amazon.com/blogs/security/new-whitepaper-security-at-scale-logging-in-aws/ 
https://aws.amazon.com/whitepapers/overview-of-risk-and-compliance/ 

‪AWS re:Invent 2015 | (SEC324) New! Introducing Amazon Inspector‬
https://www.youtube.com/watch?v=HjuEtMrWc_w 

https://aws.amazon.com/fr/blogs/aws/scale-your-security-vulnerability-testing-with-amazon-inspector/ 

https://aws.amazon.com/fr/about-aws/whats-new/2016/12/amazon-ec2-systems-manager-now-offers-
patch-management/ 

Slides et vidéos des webinaires : http://bit.ly/2hKPihB
Merci !
Julien Simon
Principal Technical Evangelist, AWS
julsimon@amazon.fr
@julsimon

Lundi
•  Bonnes pratiques d'authentification avec AWS IAM
•  Chiffrez vos données avec AWS
Mardi
•  Fireside chat avec Matthieu Bouthors et Julien Simon
•  Re:Invent update 1
Mercredi
•  Deep dive : Amazon Virtual Private Cloud
•  Bonnes pratiques anti-DDoS
Jeudi
•  Re:Invent update 2
•  Gérez les incidents de sécurité avec AWS CloudTrail
Vendredi
•  Automatisez vos audits de sécurité avec Amazon Inspector
•  Bonnes pratiques de sécurité sur AWS
Slides et vidéos des webinaires : http://bit.ly/2hKPihB 
Webinaires 2017 :
https://attendee.gotowebinar.com/
register/7239291589398918401

Contenu connexe

Tendances

Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par EdifixioTrack 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Amazon Web Services
 

Tendances (20)

Viadeo - Cost Driven Development
Viadeo - Cost Driven DevelopmentViadeo - Cost Driven Development
Viadeo - Cost Driven Development
 
Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test Un Voyage dans le Cloud - Dev & Test
Un Voyage dans le Cloud - Dev & Test
 
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPCAWS Paris Summit 2014 - T3 - Evolution des architectures VPC
AWS Paris Summit 2014 - T3 - Evolution des architectures VPC
 
Présentation des services AWS
Présentation des services AWSPrésentation des services AWS
Présentation des services AWS
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
 
AWS Paris Summit 2014 - T1 - Introduction à Amazon EC2
AWS Paris Summit 2014 - T1 - Introduction à Amazon EC2AWS Paris Summit 2014 - T1 - Introduction à Amazon EC2
AWS Paris Summit 2014 - T1 - Introduction à Amazon EC2
 
AWS Paris Summit 2014 - T1 - Services de bases de données
AWS Paris Summit 2014 - T1 - Services de bases de donnéesAWS Paris Summit 2014 - T1 - Services de bases de données
AWS Paris Summit 2014 - T1 - Services de bases de données
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
 
Track 3 - Atelier 4 - Tout savoir sur le support AWS
Track 3 - Atelier 4 - Tout savoir sur le support AWSTrack 3 - Atelier 4 - Tout savoir sur le support AWS
Track 3 - Atelier 4 - Tout savoir sur le support AWS
 
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybridesAWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
 
AWS Paris Summit 2014 - T3 - Du temps réel au data warehouse : capturez et an...
AWS Paris Summit 2014 - T3 - Du temps réel au data warehouse : capturez et an...AWS Paris Summit 2014 - T3 - Du temps réel au data warehouse : capturez et an...
AWS Paris Summit 2014 - T3 - Du temps réel au data warehouse : capturez et an...
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
 
AWS Summit Paris - Track 3 - Session 1 - IoT Partie 1 - Connectez vos objets ...
AWS Summit Paris - Track 3 - Session 1 - IoT Partie 1 - Connectez vos objets ...AWS Summit Paris - Track 3 - Session 1 - IoT Partie 1 - Connectez vos objets ...
AWS Summit Paris - Track 3 - Session 1 - IoT Partie 1 - Connectez vos objets ...
 
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévuAWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
AWS Summit Paris - Track 2 - Session 2 - Préparez-vous à l'imprévu
 
VPS vers IaaS AWS
VPS vers IaaS AWSVPS vers IaaS AWS
VPS vers IaaS AWS
 
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par EdifixioTrack 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
Track 1 - Atelier 3 - Implémentation de cloud d'entreprise par Edifixio
 
Track 2- Atelier 4 - Architecturez pour de la haute disponibilité
Track 2- Atelier 4 - Architecturez pour de la haute disponibilitéTrack 2- Atelier 4 - Architecturez pour de la haute disponibilité
Track 2- Atelier 4 - Architecturez pour de la haute disponibilité
 
Construire des Applications Web Performantes - Rule Book Webinar
Construire des Applications Web Performantes - Rule Book WebinarConstruire des Applications Web Performantes - Rule Book Webinar
Construire des Applications Web Performantes - Rule Book Webinar
 
AWS Summit Paris - Track 4 - Session 3 - Créez votre SaaS avec AWS
AWS Summit Paris - Track 4 - Session 3 - Créez votre SaaS avec AWSAWS Summit Paris - Track 4 - Session 3 - Créez votre SaaS avec AWS
AWS Summit Paris - Track 4 - Session 3 - Créez votre SaaS avec AWS
 

En vedette

Com clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtualCom clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtual
Edu Alias
 
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Kevin Penalva-Halpin
 
Filafat ilmu kepolisian
Filafat ilmu kepolisianFilafat ilmu kepolisian
Filafat ilmu kepolisian
rara wibowo
 
презентація впм технологія емалей 2017
презентація  впм технологія емалей 2017презентація  впм технологія емалей 2017
презентація впм технологія емалей 2017
metallurg056
 

En vedette (20)

Building Serverless APIs (January 2017)
Building Serverless APIs (January 2017)Building Serverless APIs (January 2017)
Building Serverless APIs (January 2017)
 
Continuous Deployment with Amazon Web Services
Continuous Deployment with Amazon Web ServicesContinuous Deployment with Amazon Web Services
Continuous Deployment with Amazon Web Services
 
The AWS DevOps combo (January 2017)
The AWS DevOps combo (January 2017)The AWS DevOps combo (January 2017)
The AWS DevOps combo (January 2017)
 
Devops with Amazon Web Services (January 2017)
Devops with Amazon Web Services (January 2017)Devops with Amazon Web Services (January 2017)
Devops with Amazon Web Services (January 2017)
 
Amazon AI (February 2017)
Amazon AI (February 2017)Amazon AI (February 2017)
Amazon AI (February 2017)
 
AWS re:Invent 2016 recap (part 2)
AWS re:Invent 2016 recap (part 2) AWS re:Invent 2016 recap (part 2)
AWS re:Invent 2016 recap (part 2)
 
Infrastructure as code with Amazon Web Services
Infrastructure as code with Amazon Web ServicesInfrastructure as code with Amazon Web Services
Infrastructure as code with Amazon Web Services
 
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
 
Presentación dia de andalucia pedro
Presentación dia de andalucia pedroPresentación dia de andalucia pedro
Presentación dia de andalucia pedro
 
Iot og personvern 2017
Iot og personvern 2017Iot og personvern 2017
Iot og personvern 2017
 
Com clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtualCom clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtual
 
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
 
Postmarxismo, post marxismo, post marxismo
Postmarxismo, post marxismo, post marxismoPostmarxismo, post marxismo, post marxismo
Postmarxismo, post marxismo, post marxismo
 
Filafat ilmu kepolisian
Filafat ilmu kepolisianFilafat ilmu kepolisian
Filafat ilmu kepolisian
 
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
 
An introduction to serverless architectures (February 2017)
An introduction to serverless architectures (February 2017)An introduction to serverless architectures (February 2017)
An introduction to serverless architectures (February 2017)
 
Developing and deploying serverless applications (February 2017)
Developing and deploying serverless applications (February 2017)Developing and deploying serverless applications (February 2017)
Developing and deploying serverless applications (February 2017)
 
IoT: it's all about Data!
IoT: it's all about Data!IoT: it's all about Data!
IoT: it's all about Data!
 
Big Data answers in seconds with Amazon Athena
Big Data answers in seconds with Amazon AthenaBig Data answers in seconds with Amazon Athena
Big Data answers in seconds with Amazon Athena
 
презентація впм технологія емалей 2017
презентація  впм технологія емалей 2017презентація  впм технологія емалей 2017
презентація впм технологія емалей 2017
 

Similaire à Amazon Inspector

[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
Christophe HERAL
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
Sergio Loureiro
 

Similaire à Amazon Inspector (20)

La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
La gouvernance, ou comment rapprocher les équipes de développement et d'infra...
 
20080923 04 - Selenium web application testing system
20080923 04 - Selenium web application testing system20080923 04 - Selenium web application testing system
20080923 04 - Selenium web application testing system
 
Codons notre infrastructure
Codons notre infrastructureCodons notre infrastructure
Codons notre infrastructure
 
Codons notre infrastructure
Codons notre infrastructureCodons notre infrastructure
Codons notre infrastructure
 
Orchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp DockerOrchestrating Docker in production - TIAD Camp Docker
Orchestrating Docker in production - TIAD Camp Docker
 
[DevTestday] Continuous Delivery d'une Infra Dev/Test Azure - Olivier Delmotte
[DevTestday] Continuous Delivery d'une Infra Dev/Test Azure - Olivier Delmotte[DevTestday] Continuous Delivery d'une Infra Dev/Test Azure - Olivier Delmotte
[DevTestday] Continuous Delivery d'une Infra Dev/Test Azure - Olivier Delmotte
 
Cerberus Testing
Cerberus TestingCerberus Testing
Cerberus Testing
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
AWS Summit Paris - Track 3 - Session 3 - Découvrez Amazon WorkSpaces et WorkS...
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
 
RefCard Tests sur tous les fronts
RefCard Tests sur tous les frontsRefCard Tests sur tous les fronts
RefCard Tests sur tous les fronts
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Capacity Planning : Pratiques et outils pour regarder la foudre tomber sans p...
Capacity Planning : Pratiques et outils pour regarder la foudre tomber sans p...Capacity Planning : Pratiques et outils pour regarder la foudre tomber sans p...
Capacity Planning : Pratiques et outils pour regarder la foudre tomber sans p...
 
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
[Scrum Day 2011] Outillage Agile dans un environnement Microsoft
 
Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french) Surveillance Amazon EC2 infrastructure (french)
Surveillance Amazon EC2 infrastructure (french)
 
Solutions linux ec2 surveillance
Solutions linux ec2 surveillanceSolutions linux ec2 surveillance
Solutions linux ec2 surveillance
 
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWSAWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
 

Plus de Julien SIMON

Plus de Julien SIMON (20)

An introduction to computer vision with Hugging Face
An introduction to computer vision with Hugging FaceAn introduction to computer vision with Hugging Face
An introduction to computer vision with Hugging Face
 
Reinventing Deep Learning
 with Hugging Face Transformers
Reinventing Deep Learning
 with Hugging Face TransformersReinventing Deep Learning
 with Hugging Face Transformers
Reinventing Deep Learning
 with Hugging Face Transformers
 
Building NLP applications with Transformers
Building NLP applications with TransformersBuilding NLP applications with Transformers
Building NLP applications with Transformers
 
Building Machine Learning Models Automatically (June 2020)
Building Machine Learning Models Automatically (June 2020)Building Machine Learning Models Automatically (June 2020)
Building Machine Learning Models Automatically (June 2020)
 
Starting your AI/ML project right (May 2020)
Starting your AI/ML project right (May 2020)Starting your AI/ML project right (May 2020)
Starting your AI/ML project right (May 2020)
 
Scale Machine Learning from zero to millions of users (April 2020)
Scale Machine Learning from zero to millions of users (April 2020)Scale Machine Learning from zero to millions of users (April 2020)
Scale Machine Learning from zero to millions of users (April 2020)
 
An Introduction to Generative Adversarial Networks (April 2020)
An Introduction to Generative Adversarial Networks (April 2020)An Introduction to Generative Adversarial Networks (April 2020)
An Introduction to Generative Adversarial Networks (April 2020)
 
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
 
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
 
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
 
A pragmatic introduction to natural language processing models (October 2019)
A pragmatic introduction to natural language processing models (October 2019)A pragmatic introduction to natural language processing models (October 2019)
A pragmatic introduction to natural language processing models (October 2019)
 
Building smart applications with AWS AI services (October 2019)
Building smart applications with AWS AI services (October 2019)Building smart applications with AWS AI services (October 2019)
Building smart applications with AWS AI services (October 2019)
 
Build, train and deploy ML models with SageMaker (October 2019)
Build, train and deploy ML models with SageMaker (October 2019)Build, train and deploy ML models with SageMaker (October 2019)
Build, train and deploy ML models with SageMaker (October 2019)
 
The Future of AI (September 2019)
The Future of AI (September 2019)The Future of AI (September 2019)
The Future of AI (September 2019)
 
Building Machine Learning Inference Pipelines at Scale (July 2019)
Building Machine Learning Inference Pipelines at Scale (July 2019)Building Machine Learning Inference Pipelines at Scale (July 2019)
Building Machine Learning Inference Pipelines at Scale (July 2019)
 
Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Train and Deploy Machine Learning Workloads with AWS Container Services (July...Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Train and Deploy Machine Learning Workloads with AWS Container Services (July...
 
Optimize your Machine Learning Workloads on AWS (July 2019)
Optimize your Machine Learning Workloads on AWS (July 2019)Optimize your Machine Learning Workloads on AWS (July 2019)
Optimize your Machine Learning Workloads on AWS (July 2019)
 
Deep Learning on Amazon Sagemaker (July 2019)
Deep Learning on Amazon Sagemaker (July 2019)Deep Learning on Amazon Sagemaker (July 2019)
Deep Learning on Amazon Sagemaker (July 2019)
 
Automate your Amazon SageMaker Workflows (July 2019)
Automate your Amazon SageMaker Workflows (July 2019)Automate your Amazon SageMaker Workflows (July 2019)
Automate your Amazon SageMaker Workflows (July 2019)
 
Build, train and deploy ML models with Amazon SageMaker (May 2019)
Build, train and deploy ML models with Amazon SageMaker (May 2019)Build, train and deploy ML models with Amazon SageMaker (May 2019)
Build, train and deploy ML models with Amazon SageMaker (May 2019)
 

Amazon Inspector

  • 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Inspector Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon
  • 2. Agenda Qu'est-ce qu'Inspector peut faire pour vous ? Disponibilité et tarification Installation Démonstration Conseils et ressources Questions et réponses
  • 3. Amazon Inspector Inspector vous permet d’analyser vos instances EC2 et d’identifier des failles de sécurité. 1.  Définissez la liste des instances avec un tag 2.  Déployez l’agent Inspector sur les instances concernées 3.  Lancez une évaluation, basée sur une liste de règles pré-établie. 4.  Analysez les résultats. Note : Inspector ne change rien au modèle de sécurité partagée. https://aws.amazon.com/inspector/
  • 4. AWS se charge de la sécurité " DU cloud Vous AWS Inspector vous aide à sécuriser votre plate-forme Services de base AWS Calcul Stockage Base de données Mise en réseau Infrastructure globale AWS Régions Zones de disponibilité Emplacements périphériques Chiffrement des données côté client Chiffrement des données côté serveur Protection du " trafic réseau Gestion de plateforme, d'applications, d'identité et d'accès Configuration du système d'exploitation, du réseau et du pare-feu Applications et contenu client Vous devez définir vos contrôles DANS le cloud
  • 5. Terminologie Inspector Evaluation (Assessment) •  Analyse d’une application afin de détecter les failles de sécurité Cible d’évaluation (Assessment Target) •  Ensemble d'instances EC2 que vous voulez évaluer Groupe de règles (Rule Package) •  Ensemble de vérifications de sécurité (« règles ») Modèle d’évaluation (Assessement Template) •  Cible + groupe de règles + durée Résultats (Findings) •  Problème de sécurité potentiel dans votre application •  Les données collectées lors de l’évaluation correspondent à une règle •  Description détaillée, contexte et étapes de résolution
  • 6. Groupes de règles •  Common Vulnerabilities and Exposures •  Vulnérabilités CVE http://cve.mitre.org •  https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt (43,819) •  CIS Operating System Security Configuration Benchmarks •  Vulnérabilités du Center for Internet Security http://cisecurity.org •  http://benchmarks.cisecurity.org •  Security Best Practices •  Bonnes pratiques SSH, mots de passe, etc. (Linux uniquement) •  https://docs.aws.amazon.com/fr_fr/inspector/latest/userguide/inspector_security-best- practices.html •  Runtime Behavior Analysis •  Comportement des instances pendant l’évaluation (protocoles réseau, etc.) •  https://docs.aws.amazon.com/fr_fr/inspector/latest/userguide/inspector_runtime-behavior- analysis.html
  • 7. Disponibilité et prix •  Inspector est disponible dans les régions suivantes : •  US: Oregon, N. Virginia •  EU: Irlande •  Asia Pacific: Corée du Sud, Inde, Japon, Australie •  Tarif dégressif : de $0.30 à $0.05 par évaluation •  Niveau d’usage gratuit : 250 évaluations pendant 90 jours
  • 8. Agent Inspector – Linux •  Amazon Linux (>= 2015.03), Ubuntu (14.04 LTS), RHEL (7.2), CentOS (7.2) •  Versions de noyau Linux supportées : https://s3.amazonaws.com/aws-agent.us-east-1/linux/support/supported_versions.json $ wget https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install $ sudo bash install $ sudo /opt/aws/awsagent/bin/awsagent status $ sudo /etc/init.d/awsagent [ stop | start ] Attention : l’agent dépend du noyau. Il est prudent de le mettre à jour après chaque mise à jour du noyau
  • 9. Agent Inspector – Windows •  Windows Server 2008 R2, Windows Server 2012 et 2012 R2 •  Téléchargez et exécutez le fichier suivant :" " https://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/ AWSAgentInstall.exe •  Lancement et arrêt via services.msc : •  AWS Agent Service •  AWS Agent Updater Service
  • 10. Utiliser Inspector •  Console AWS (uniquement en Anglais) •  Ligne de commande AWS https://docs.aws.amazon.com/cli/latest/reference/inspector/index.html •  SDK AWS https://aws.amazon.com/tools •  Java https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/inspector/AmazonInspector.html •  Python https://boto3.readthedocs.org/en/latest/reference/services/inspector.html •  Documentation de l'API https://docs.aws.amazon.com/inspector/latest/APIReference/Welcome.html
  • 11. Démonstration 3 instances Linux •  Ubuntu 14.04.02 LTS (Avril 2014) •  Amazon Linux 2015.03 •  Amazon Linux 2016.09 à  Packages PHP, MySQL, Java, Apache, Bind, etc. 1 instance Windows Server 2012
  • 13. Définir une cible d’évaluation
  • 14. Définir un modèle d’évaluation
  • 15. Récapitulatif du modèle d’évaluation
  • 18. Lister les résultats dans la console
  • 19. Lister les résultats avec la ligne de commande AWS $ aws inspector list-assessment-runs { "assessmentRunArns": [ "arn:aws:inspector:us-west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/ 0-6e7dOXgG" ] } $ aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us- west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG” … "findingArns": [ "arn:aws:inspector:us-west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG/ finding/0-01Eg2UgO", … $ aws inspector describe-findings --finding-arns "arn:aws:inspector:us- west-2:ACCOUNT:target/0-aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG/finding/0-01Eg2UgO"
  • 20. Le résultat de notre évaluation Ubuntu 14.04.02 aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0- aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG" --filter '{"severities":["High"], "agentIds": ["i-04e963f9395279434"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l 242 Amazon Linux 2015.03 aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0- aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG" --filter '{"severities":["High"], "agentIds": ["i-02c89c928eb8f3a62"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l 69 Amazon Linux 2016.09 aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0- aiPGypOn/template/0-BLQMAkoU/run/0-6e7dOXgG" --filter '{"severities":["High"], "agentIds": ["i-0c8c9f709dd7f7cfd"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l 4 CVE-2015-8325 (OpenSSH)" CVE-2016-7039 / CVE-2016-8666 / CVE-2016-9083 (Linux kernel)
  • 21.
  • 22. Comment corriger les problèmes ? Mettez à jour vos instances régulièrement ! $ sudo yum update --cves=… -y $ sudo yum update --security -y $ sudo yum update -y
  • 23. Evaluons à nouveau l’instance Amazon Linux 2016.09
  • 24. Après mise à jour et scan de 24 heures J Ubuntu 14.04.02 aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0- aiPGypOn/template/0-KQ1FrZu6/run/0-Ixqaicyh" --filter '{"severities":["High"], "agentIds": ["i-04e963f9395279434"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l 52 Amazon Linux 2015.03 aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0- aiPGypOn/template/0-KQ1FrZu6/run/0-Ixqaicyh" --filter '{"severities":["High"], "agentIds": ["i-02c89c928eb8f3a62"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l 0 Amazon Linux 2016.09 aws inspector list-findings --assessment-run-arns "arn:aws:inspector:us-west-2:ACCOUNT:target/0- aiPGypOn/template/0-KQ1FrZu6/run/0-Ixqaicyh" --filter '{"severities":["High"], "agentIds": ["i-0c8c9f709dd7f7cfd"]}' --max-results 1000 --output text | grep FINDINGARNS | wc –l 0
  • 25. Quelques conseils •  Attention aux vieilles AMI et à leurs vieux packages •  Amazon Linux est bien mise à jour, mais pensez à utiliser la dernière AMI en date •  Scannez régulièrement vos instances •  Comparez la liste des instances scannées avec la liste des instances qui tournent ! •  Appliquez systématiquement les mises à jour de sécurité •  Au redémarrage (script d’initialisation) •  Attention : Pas dans User Data, qui n’est exécuté qu’à la création de l’instance •  Tâche cron sur l’instance •  Evénements CloudWatch programmés •  EC2 Systems Manager •  Mettez à jour l’agent Inspector à chaque changement de noyau •  Au redémarrage (script d’initialisation) •  Intégrez Inspector dans votre pipeline de déploiement continu https://aws.amazon.com/blogs/compute/scheduling-ssh-jobs-using-aws-lambda/ https://aws.amazon.com/ec2/systems-manager/
  • 26. Ressources complémentaires ‪Livres blancs AWS https://aws.amazon.com/whitepapers/auditing-security-checklist-for-use-of-aws/ https://aws.amazon.com/blogs/security/new-whitepaper-security-at-scale-logging-in-aws/ https://aws.amazon.com/whitepapers/overview-of-risk-and-compliance/ ‪AWS re:Invent 2015 | (SEC324) New! Introducing Amazon Inspector‬ https://www.youtube.com/watch?v=HjuEtMrWc_w https://aws.amazon.com/fr/blogs/aws/scale-your-security-vulnerability-testing-with-amazon-inspector/ https://aws.amazon.com/fr/about-aws/whats-new/2016/12/amazon-ec2-systems-manager-now-offers- patch-management/ Slides et vidéos des webinaires : http://bit.ly/2hKPihB
  • 27. Merci ! Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon Lundi •  Bonnes pratiques d'authentification avec AWS IAM •  Chiffrez vos données avec AWS Mardi •  Fireside chat avec Matthieu Bouthors et Julien Simon •  Re:Invent update 1 Mercredi •  Deep dive : Amazon Virtual Private Cloud •  Bonnes pratiques anti-DDoS Jeudi •  Re:Invent update 2 •  Gérez les incidents de sécurité avec AWS CloudTrail Vendredi •  Automatisez vos audits de sécurité avec Amazon Inspector •  Bonnes pratiques de sécurité sur AWS Slides et vidéos des webinaires : http://bit.ly/2hKPihB Webinaires 2017 : https://attendee.gotowebinar.com/ register/7239291589398918401