Agents Amazon Inspector Classic - Amazon Inspector Classic

Il s'agit du guide de l'utilisateur d'Amazon Inspector Classic. Pour plus d'informations sur le nouvel Amazon Inspector, consultez le guide de l'utilisateur d'Amazon Inspector. Pour accéder à la console Amazon Inspector Classic, ouvrez la console Amazon Inspector à l'adresse https://console.aws.amazon.com/inspector/, puis choisissez Amazon Inspector Classic dans le volet de navigation.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Agents Amazon Inspector Classic

L'agent Amazon Inspector Classic est une entité qui collecte les informations relatives au package installé et à la configuration logicielle d'une instance Amazon EC2. Bien que cela ne soit pas obligatoire dans tous les cas, vous devez installer l'agent Amazon Inspector Classic sur chacune de vos instances Amazon EC2 cibles afin d'évaluer pleinement leur sécurité.

Pour plus d'informations sur l'installation, la désinstallation et la réinstallation de l'agent, et pour savoir comment vérifier si l'agent installé est en cours d'exécution et comment configurer la prise en charge du proxy pour l'agent, consultez Utilisation des agents Amazon Inspector Classic sur des systèmes d'exploitation basés sur Linux et Utilisation des agents Amazon Inspector Classic sur les systèmes d'exploitation Windows.

Note

Un agent Amazon Inspector Classic n'est pas nécessaire pour exécuter le package de règles d'accessibilité réseau.

Important

L'agent Amazon Inspector Classic s'appuie sur les métadonnées de l'instance Amazon EC2 pour fonctionner correctement. Il accède aux métadonnées d'instance à l'aide de la version 1 ou 2 du service de métadonnées d'instance (IMDSv1ou IMDSv2). Consultez Métadonnées d'instance et données utilisateur pour en savoir plus sur les métadonnées d'instance EC2 et les méthodes d'accès.

Privilèges d'agent Amazon Inspector Classic

Vous devez disposer d'autorisations administratives ou root pour installer l'agent Amazon Inspector Classic. Sur les systèmes d'exploitation Linux pris en charge, l'agent se compose d'un exécutable en mode utilisateur qui s'exécute avec un accès racine. Sur les systèmes d'exploitation Windows pris en charge, l'agent se compose d'un service de mise à jour et d'un service d'agent, qui s'exécutent chacun en mode utilisateur avec les privilèges LocalSystem.

Sécurité du réseau et des agents Amazon Inspector Classic

L'agent Amazon Inspector Classic initie toutes les communications avec le service Amazon Inspector Classic. Cela signifie que l'agent doit avoir un chemin réseau sortant vers des points de terminaison publics afin de pouvoir envoyer des données télémétriques. Par exemple, l'agent peut se connecter àarsenal.<region>.amazonaws.com, ou le point de terminaison peut être un compartiment Amazon S3 situé às3.dualstack.<region>.amazonaws.com. Assurez-vous de le remplacer <region> par la AWS région dans laquelle vous exécutez Amazon Inspector Classic. Pour plus d'informations, consultez Plages d'adresses IP AWS. Comme toutes les connexions provenant de l'agent sont établies en sortie, il n'est pas nécessaire d'ouvrir des ports dans vos groupes de sécurité pour autoriser les communications entrantes avec l'agent depuis Amazon Inspector Classic.

L'agent communique régulièrement avec Amazon Inspector Classic via un canal protégé par TLS, qui est authentifié en utilisant soit l' AWS identité associée au rôle de l'instance EC2, soit, si aucun rôle n'est attribué, avec le document de métadonnées de l'instance. Une fois authentifié, l'agent envoie des messages de pulsation au service et reçoit des instructions du service en réponse. Si une évaluation a été planifiée, l'agent reçoit les instructions la concernant. Ces instructions sont des fichiers JSON structurés, qui indiquent à l'agent d'activer ou désactiver des capteurs préconfigurés spécifiques dans l'agent. Chaque action d'instruction est prédéfinie au sein de l'agent. Les instructions arbitraires ne peuvent pas être exécutées.

Au cours d'une évaluation, l'agent collecte les données de télémétrie du système pour les renvoyer à Amazon Inspector Classic via un canal protégé par TLS. L'agent n'apporte aucune modification au système à partir duquel il collecte les données. Une fois que l'agent a collecté les données de télémétrie, il les renvoie à Amazon Inspector Classic pour traitement. Au-delà des données télémétriques qu'il génère, l'agent n'est pas capable de collecter ni de transmettre d'autres données sur le système ou les objectifs d'évaluation qu'il évalue. À l'heure actuelle, il n'existe aucune méthode exposée pour intercepter et étudier les données télémétriques au niveau de l'agent.

Mises à jour des agents Amazon Inspector Classic

Dès que les mises à jour de l'agent Amazon Inspector Classic sont disponibles, elles sont automatiquement téléchargées depuis Amazon S3 et appliquées. Cela permet également de mettre à jour toutes les dépendances nécessaires. La fonctionnalité de mise à jour automatique vous évite d'avoir à suivre et à gérer manuellement le contrôle des versions des agents que vous avez installés sur vos instances EC2. Toutes les mises à jour sont soumises à des processus de contrôle des modifications Amazon audités afin de garantir la conformité aux normes de sécurité applicables.

Afin de garantir la sécurité de l'agent, toutes les communications entre l'agent et le site de publication des mises à jour automatiques (S3) sont effectuées via une connexion TLS, et le serveur est authentifié. Tous les fichiers binaires impliqués dans le processus de mise à jour automatique sont signés numériquement et les signatures sont vérifiées par le programme de mise à jour avant l'installation. Le processus de mise à jour automatique est exécuté uniquement en dehors des périodes d'évaluation. Si des erreurs sont détectées, le processus de mise à jour peut effectuer une restauration et retenter la mise à jour. Enfin, le processus de mise à jour de l'agent sert uniquement à mettre à niveau les fonctionnalités de l'agent. Aucune de vos informations spécifiques n'est jamais envoyée par l'agent à Amazon Inspector Classic dans le cadre du flux de mise à jour. Les seules informations communiquées dans le cadre du processus de mise à jour sont les données télémétriques de réussite ou d'échec de l'installation de base et, le cas échéant, les informations de diagnostic de l'échec de la mise à jour.

Cycle de vie des données télémétriques

Les données de télémétrie générées par l'agent Amazon Inspector Classic lors des tests d'évaluation sont formatées dans des fichiers JSON. Les fichiers sont transmis near-real-time via TLS à Amazon Inspector Classic, où ils sont chiffrés à l'aide d'une clé éphémère per-assessment-run dérivée du KMS. Les fichiers sont stockés en toute sécurité dans un compartiment Amazon S3 dédié à Amazon Inspector Classic. Le moteur de règles d'Amazon Inspector Classic accède aux données de télémétrie chiffrées du compartiment S3, les déchiffre en mémoire et traite les données conformément aux règles d'évaluation configurées pour générer des résultats. Les données télémétriques qui sont stockées dans S3 sont conservées uniquement pour permettre l'assistance en cas de demandes de support. Elles ne sont pas utilisées ni regroupées par Amazon à d'autres fins. Après 30 jours, les données de télémétrie sont définitivement supprimées conformément à une politique de cycle de vie des compartiments S3 standard pour les données Amazon Inspector Classic. À l'heure actuelle, Amazon Inspector Classic ne fournit pas d'API ni de mécanisme d'accès au compartiment S3 pour la télémétrie collectée.

Contrôle d'accès aux AWS comptes depuis Amazon Inspector Classic

En tant que service de sécurité, Amazon Inspector Classic accède à vos AWS comptes et à vos ressources uniquement lorsqu'il a besoin de trouver des instances EC2 à évaluer en demandant des balises. Pour ce faire, il utilise un accès IAM standard via le rôle créé lors de la configuration initiale du service Amazon Inspector Classic. Au cours d'une évaluation, toutes les communications avec votre environnement sont initiées par l'agent Amazon Inspector Classic installé localement sur les instances EC2. Les objets de service Amazon Inspector Classic créés, tels que les cibles d'évaluation, les modèles d'évaluation et les résultats générés par le service, sont stockés dans une base de données gérée par Amazon Inspector Classic et accessible uniquement à celui-ci.

Limites relatives aux agents Amazon Inspector Classic

Pour plus d'informations sur les limites des agents Amazon Inspector Classic, consultezLimites de service Amazon Inspector Classic.