Amazon Inspector VS Elastic Workload Protector

Amazon Inspector VS Elastic Workload ProtectorAmazon Inspector VS Elastic Workload Protector

Amazon Web Services (AWS) a su s’imposer comme le leader du marché du Cloud IaaS. Sa promesse d’une infrastructure flexible, sécurisée et disponible en est une des principales raisons. AWS est responsable de la protection de l’infrastructure mondiale qui exécute tous les services offerts dans le cloud AWS. Cette infrastructure comprend le matériel, les logiciels, les réseaux et les installations qui permettent l’exécution des services AWS. Reste à la charge des entreprises de s’assurer des bonnes configurations de leurs installations ainsi que de l’absence de vulnérabilités sur leurs serveurs.

Les principaux problèmes rencontrés par les entreprises sur AWS sont :

  • Les solutions de sécurité traditionnelles (scanners, tests d’intrusion, FIM…) ne sont plus adaptées au rythme de développement d’AWS
  • Les développeurs qui connaissent et respectent les bonnes pratiques de sécurité d’AWS sont peu nombreux.
  • L’environnement des utilisateurs AWS change trop rapidement pour effectuer toutes les remédiations.

Des solutions additionnelles sont donc nécessaires pour obtenir une sécurité optimale. Nous allons voir comment la solution d’AWS – Amazon Inspector – permet de répondre à ce besoin et quelles sont les différences avec Elastic Workload Protector. Une des autres solutions de sécurité proposée par AWS – Trusted Advisor – sera, quant à elle, développée dans un prochain article.

 

Amazon Inspector

Amazon Inspector permet d’analyser le comportement des ressources des utilisateurs AWS afin d’identifier les problèmes de sécurité potentiels. Chaque ressource peut être dissociée des autres pour une évaluation plus précise. Cette dernière va collecter un ensemble de données (activités réseau, fichiers, configurations des OS…) qui seront corrélées, analysées puis comparées avec les bonnes pratiques de sécurité préconisées par AWS. Tous les points jugés comme étant des problèmes de sécurité seront remontés afin d’intervenir au plus vite. Amazon Inspector se base sur la base CVE référençant l’ensemble des vulnérabilités connues, les bonnes pratiques de sécurité du CIS Benchmarks et le” Runtime Behavior Analytics” pour effectuer ses analyses. Il fonctionne avec des agents, ce qui signifie qu’une fois installés, ils peuvent effectuer les modifications directement dans les serveurs du client.

 

Elastic Workload Protector

Elastic Workload Protector est une solution de gestion des vulnérabilités sur les infrastructures Cloud mais également traditionnelles et hybrides. La solution va vérifier le respect des bonnes pratiques de sécurité préconisées par le Center for Internet Security, le Cloud Security Alliance et AWS. Toutes configurations présentant une faille de sécurité potentiellement exploitable vont être immédiatement remontées. De même, le scanner de vulnérabilités intégré va analyser plus de 60 000 vulnérabilités connues grâce à une base enrichie chaque jour. Elle va également effectuer des évaluations basées sur l’OWASP pour les applications web, analyser les règles de pare-feu et s’appuyer sur la conformité PCI-DSS pour vérifier le niveau de cyber-risque. Les rapports complets et personnalisés sont basés sur 3 standards de sécurité : le guide d’hygiène de l’ANSSI, l’OWASP et PCI-DSS. Fonctionnant sans agent, toutes les nouvelles machines intégrées à l’infrastructure existante vont entrer automatiquement dans le périmètre des analyses autonomes et continues.

 

Différenciateurs Amazon Inspector VS Elastic Workload Protector

Amazon Inspector fonctionne avec des agents. Les solutions basées sur des agents et celles sans agent sont fondamentalement différentes les unes des autres dans la façon dont elles collectent des informations et fournissent un contrôle sur les entités dans votre environnement Cloud (réseaux / groupes de sécurité, serveurs, bases de données…). En recourant à Amazon Inspector, vous installez un petit agent logiciel dans chacun de vos serveurs. L’agent est responsable de la collecte des informations pertinentes du serveur sur lequel il est installé, de l’envoi des informations à un système de contrôle central et de la possibilité de contrôler la sécurité du serveur.

Les solutions sans agent, par contre, communiquent directement avec la plate-forme Cloud sous-jacente (AWS, Azure, OVH, Ikoula, CloudStack…) grâce à l’API du fournisseur de services pour obtenir des informations sur les serveurs, services, réseau, et contrôler la sécurité. Aucune installation ni modification des ressources de votre environnement est nécessaire. C’est pour cette raison que les solutions sans agent sont complètement transparentes pour les applications et les Cloud Workloads. Le périmètre d’analyse est donc beaucoup plus large puisqu’il ne se limite pas seulement aux serveurs où l’agent est installable.

Les solutions avec agents analysent en profondeur les ressources dans lesquelles ils sont installés mais ne voient pas l’ensemble des briques de sécurité présentent dans l’environnement Cloud. Le temps d’installation doit donc être pris en compte dans son plan d’action tout comme la maintenance et la gestion des agents. Ces derniers peuvent seulement être installés sur un nombre limité de systèmes d’exploitation ce qui laissera quelques RSSI sur leur faim.

Elastic Workload Protector de son côté est sans agent. Son champ d’intervention est plus spécifique à la détection de vulnérabilités et mauvaises configurations mais permet un déploiement sur tout le parc informatique de l’utilisateur. De même, il n’est pas limité aux seules infrastructures AWS car il peut être déployé sur plusieurs Cloud dans le cas où l’entreprise utilisatrice aurait un parc multi cloud et hybride. Il embarque plus de 200 analyses automatiques appelées « auto-checks ». Ces dernières alertent les RSSI automatiquement des failles de sécurité sans avoir besoin de lancer des analyses. Enfin, sa technologie brevetée de clonage lui permet de faire des tests très poussés sans affecter les machines en production.

Il faut noter qu’Amazon Inspector supporte un nombre limité de systèmes d’exploitation (Linux, Ubuntu, RedHat et certains serveurs Windows). Cela restreint les évaluations CIS et des bonnes pratiques de sécurité qui ne sont pas toujours disponibles selon le serveur utilisé. De son côté, le périmètre d’intervention d’Elastic Workload Protector est beaucoup plus large en supportant tous les systèmes d’exploitation.

Ces deux solutions complémentaires répondent au même besoin de sécurisation des ressources sur votre infrastructure AWS. On notera que la solution développée par les experts sécurité de SecludIT depuis 2011, inclut un ensemble de fonctionnalités rendant l’analyse plus poussée que sur Amazon Inspector. Elle se pose comme une solution à même de répondre aux nouveaux besoins des RSSI en termes de sécurité continue et de respect des nouvelles réglementations comme la RGPD.

Pour en savoir plus sur la sécurité de votre infrastructure AWS, effectuer dès maintenant une analyse gratuite de votre environnement Cloud et découvrez comment renforçons la sécurité des entreprises à travers cette étude de cas.

 

Sources

https://docs.aws.amazon.com/inspector/latest/userguide/inspector_rule-packages_across_os.html

http://docs.aws.amazon.com/fr_fr/inspector/latest/userguide/inspector_introduction.html#InspectorPricing

https://www.cloudcomputing-news.net/news/2016/oct/31/agentless-vs-agent-based-architectures-why-does-it-matter/

Leave a Reply