Questa è la guida per l'utente di Amazon Inspector Classic. Per informazioni sul nuovo Amazon Inspector, consulta la Amazon Inspector User Guide. Per accedere alla console Amazon Inspector Classic, apri la console Amazon Inspector all'
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Agenti Amazon Inspector Classic
L'agente Amazon Inspector Classic è un'entità che raccoglie informazioni sui pacchetti installati e sulla configurazione software per un'istanza Amazon EC2. Sebbene non sia necessario in tutti i casi, è necessario installare l'agente Amazon Inspector Classic su ciascuna delle istanze Amazon EC2 di destinazione per valutarne appieno la sicurezza.
Per ulteriori informazioni su come installare, disinstallare e reinstallare l'agente, su come verificare se l'agente installato è in esecuzione e su come configurare il supporto proxy per l'agente, consulta Utilizzo degli agenti Amazon Inspector Classic su sistemi operativi basati su Linux e Collaborazione con gli agenti Amazon Inspector Classic su sistemi operativi basati su Windows.
Nota
Non è necessario un agente Amazon Inspector Classic per eseguire il pacchetto di regole di raggiungibilità della rete.
Importante
L'agente Amazon Inspector Classic si affida ai metadati delle istanze Amazon EC2 per funzionare correttamente. Accede ai metadati dell'istanza utilizzando la versione 1 o la versione 2 del servizio di metadati dell'istanza (IMDSv1 or IMDSv2). Vedere Metadati dell'istanza e dati utente per ulteriori informazioni sui metadati delle istanze EC2 e sui metodi di accesso.
Argomenti
- Privilegi di agente Amazon Inspector Classic
- Sicurezza della rete e degli agenti Amazon Inspector Classic
- Aggiornamenti degli agenti Amazon Inspector Classic
- Ciclo di vita dei dati telemetrici
- Controllo degli accessi da Amazon Inspector Classic agli account AWS
- Limiti per gli agenti di Amazon Inspector Classic
- Installazione degli agenti Amazon Inspector Classic
- Utilizzo degli agenti Amazon Inspector Classic su sistemi operativi basati su Linux
- Collaborazione con gli agenti Amazon Inspector Classic su sistemi operativi basati su Windows
- (Facoltativo) Verifica la firma dello script di installazione dell'agente Amazon Inspector Classic su sistemi operativi basati su Linux
- (Facoltativo) Verifica la firma dello script di installazione dell'agente Amazon Inspector Classic sui sistemi operativi basati su Windows
Privilegi di agente Amazon Inspector Classic
È necessario disporre delle autorizzazioni amministrative o di root per installare l'agente Amazon Inspector Classic. Nei sistemi operativi supportati basati su Linux, l'agente è costituito da un eseguibile in modalità utente eseguito con accesso root. Nei sistemi operativi basati su Windows supportati, l'agente è costituito da un servizio di aggiornamento e da un servizio agente eseguiti in modalità utente con privilegi LocalSystem
.
Sicurezza della rete e degli agenti Amazon Inspector Classic
L'agente Amazon Inspector Classic avvia tutte le comunicazioni con il servizio Amazon Inspector Classic. Ciò significa che l'agente deve disporre di un percorso di rete in uscita verso un endpoint pubblico per poter inviare dati di telemetria. Ad esempio, l'agente potrebbe connettersi aarsenal.<region>.amazonaws.com
, o l'endpoint potrebbe essere un bucket Amazon S3 in. s3.dualstack.<region>.amazonaws.com
Assicurati di sostituirlo <region>
con la AWS regione effettiva in cui utilizzi Amazon Inspector Classic. Per ulteriori informazioni, consulta l'articolo sugli intervalli di indirizzi IP AWS. Poiché tutte le connessioni dall'agente vengono stabilite in uscita, non è necessario aprire le porte dei gruppi di sicurezza per consentire le comunicazioni in entrata verso l'agente da Amazon Inspector Classic.
L'agente comunica periodicamente con Amazon Inspector Classic tramite un canale protetto da TLS, che viene autenticato utilizzando l'identità associata al ruolo AWS dell'istanza EC2 o, se non viene assegnato alcun ruolo, con il documento di metadati dell'istanza. Una volta autenticato, l'agente invia messaggi di heartbeat al servizio e riceve istruzioni dal servizio in risposta. Se una valutazione è stata pianificata, l'agente riceve le istruzioni per tale valutazione. Queste istruzioni sono file JSON strutturati e indicano all'agente di abilitare o disabilitare specifici sensori preconfigurati nell'agente. Ogni azione di istruzione è predefinita all'interno dell'agente. Non è possibile eseguire istruzioni arbitrarie.
Durante una valutazione, l'agente raccoglie i dati di telemetria dal sistema per inviarli ad Amazon Inspector Classic tramite un canale protetto da TLS. L'agente non modifica il sistema da cui raccoglie dati. Dopo aver raccolto i dati di telemetria, l'agente li invia nuovamente ad Amazon Inspector Classic per l'elaborazione. Oltre ai dati di telemetria generati, l'agente non è in grado di raccogliere o trasmettere altri dati relativi al sistema o ai target di valutazione. Al momento, non è disponibile alcun metodo esposto per l'intercettazione e l'analisi dei dati di telemetria a livello di agente.
Aggiornamenti degli agenti Amazon Inspector Classic
Man mano che gli aggiornamenti per l'agente Amazon Inspector Classic diventano disponibili, vengono scaricati automaticamente da Amazon S3 e applicati. Questa operazione aggiorna anche qualsiasi eventuale dipendenza obbligatoria. La funzionalità di aggiornamento automatico elimina la necessità di tracciare e gestire manualmente il controllo delle versioni degli agenti che hai installato sulle tue istanze EC2. Tutti gli aggiornamenti sono soggetti a processi Amazon di controllo delle modifiche per garantire la conformità con gli standard di sicurezza applicabili.
Per garantire la sicurezza dell'agente, tutte le comunicazioni tra l'agente e il sito di rilascio degli aggiornamenti automatici (S3) vengono eseguite tramite una connessione TLS e dopo l'autenticazione del server. Tutti i file binari coinvolti nel processo di aggiornamento automatico sono associati a una firma digitale e le firme vengono verificate dal servizio di aggiornamento prima dell'installazione. Il processo di aggiornamento automatico viene eseguito solo durante i periodi non di valutazione. Se vengono rilevati errori, il processo di aggiornamento può eseguire il rollback e un nuovo tentativo di aggiornamento. Infine, il processo di aggiornamento dell'agente si limita ad aggiornare le funzionalità dell'agente. Nessuna delle tue informazioni specifiche viene mai inviata dall'agente ad Amazon Inspector Classic come parte del flusso di lavoro di aggiornamento. Le uniche informazioni inviate durante il processo di aggiornamento sono i dati di telemetria di base relativi alla riuscita o meno dell'installazione e, se applicabile, qualsiasi informazione sulla diagnostica degli errori di aggiornamento.
Ciclo di vita dei dati telemetrici
I dati di telemetria generati dall'agente Amazon Inspector Classic durante le esecuzioni di valutazione sono formattati in file JSON. I file vengono near-real-time consegnati tramite TLS ad Amazon Inspector Classic, dove vengono crittografati con per-assessment-run una chiave temporanea derivata da KMS. I file vengono archiviati in modo sicuro in un bucket Amazon S3 dedicato ad Amazon Inspector Classic. Il motore di regole di Amazon Inspector Classic accede ai dati di telemetria crittografati nel bucket S3, li decrittografa in memoria ed elabora i dati in base alle regole di valutazione configurate per generare risultati. I dati di telemetria archiviati in S3 vengono conservati solo con finalità di assistenza per le richieste di supporto. Non vengono usati né aggregati da Amazon per altri scopi. Dopo 30 giorni, i dati di telemetria vengono eliminati definitivamente in base a una politica standard sul ciclo di vita dei bucket S3 per i dati di Amazon Inspector Classic. Attualmente, Amazon Inspector Classic non fornisce un'API o un meccanismo di accesso ai bucket S3 per la telemetria raccolta.
Controllo degli accessi da Amazon Inspector Classic agli account AWS
Come servizio di sicurezza, Amazon Inspector Classic accede ai tuoi AWS account e alle tue risorse solo quando deve trovare istanze EC2 da valutare tramite query per i tag. Ciò avviene tramite l'accesso IAM standard tramite il ruolo creato durante la configurazione iniziale del servizio Amazon Inspector Classic. Durante una valutazione, tutte le comunicazioni con l'ambiente vengono avviate dall'agente Amazon Inspector Classic installato localmente sulle istanze EC2. Gli oggetti di servizio Amazon Inspector Classic che vengono creati, come obiettivi di valutazione, modelli di valutazione e risultati generati dal servizio, vengono archiviati in un database gestito e accessibile solo da Amazon Inspector Classic.
Limiti per gli agenti di Amazon Inspector Classic
Per informazioni sui limiti degli agenti di Amazon Inspector Classic, consulta. Limiti del servizio Amazon Inspector Classic