Amazon Inspector Classic의 사용 설명서입니다. 새로운 Amazon Inspector에 대한 자세한 내용은 Amazon Inspector 사용 설명서를 참고하십시오. Amazon Inspector Classic 콘솔에 액세스하려면에서 Amazon Inspector 콘솔을 연 https://console.aws.amazon.com/inspector/다음 탐색 창에서 Amazon Inspector Classic을 선택합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector Classic 에이전트

Amazon Inspector Classic 에이전트는 Amazon EC2 인스턴스에 대해 설치된 패키지 정보 및 소프트웨어 구성을 수집하는 엔터티입니다. 모든 경우에 요구되진 않지만, 보안성을 완전히 평가하기 위해선 대상 Amazon EC2 인스턴스마다 Amazon Inspector Classic 에이전트를 설치해야 합니다.

에이전트를 설치, 제거 및 다시 설치하는 방법, 설치된 에이전트가 실행 중인지 확인하는 방법 및 에이전트에 대한 프록시 지원을 구성하는 방법에 대한 자세한 내용은 Linux 기반 운영 체제에서 Amazon Inspector Classic 에이전트 작업 및 Windows 기반 운영 체제에서 Amazon Inspector Classic 에이전트 작업 섹션을 참조하십시오.

Amazon Inspector Classic 에이전트 권한

Amazon Inspector Classic 에이전트를 설치하려면 관리자 권한이나 루트 권한이 필요합니다. 지원되는 Linux 기반 운영 체제에서 에이전트는 루트 액세스 권한으로 실행되는 사용자 모드 실행 파일로 구성됩니다. 지원되는 Windows 기반 운영 체제에서 에이전트는 각각 LocalSystem 권한이 있는 사용자 모드로 실행되는 업데이터 서비스 및 에이전트 서비스로 구성됩니다.

네트워크 및 Amazon Inspector Classic 에이전트 보안

Amazon Inspector Classic 에이전트는 Amazon Inspector Classic 서비스와의 모든 통신을 시작합니다. 이는 에이전트가 원격 측정 데이터를 전송할 수 있도록 퍼블릭 엔드포인트에 대한 아웃바운드 네트워크 경로를 가져야 한다는 것을 의미합니다. 예를 들어, 에이전트가 arsenal.<region>.amazonaws.com에 연결할 수 있거나 엔드포인트가 s3.dualstack.<region>.amazonaws.com의 Amazon S3 버킷일 수 있습니다. 반드시 Amazon Inspector Classic을 실행 중인 실제 AWS 지역으로 교체하십시오<region>. 자세한 내용은 AWS IP 주소 범위를 참조하십시오. 에이전트의 모든 연결이 아웃바운드로 설정되므로 Amazon Inspector Classic에서 에이전트로 인바운드 통신을 허용하도록 보안 그룹의 포트를 열 필요는 없습니다.

에이전트는 TLS 보호 채널을 통해 Amazon Inspector Classic과 정기적으로 통신합니다. 이 채널은 EC2 인스턴스 역할과 관련된 ID를 사용하여 인증되거나 AWS 역할이 할당되지 않은 경우 인스턴스의 메타데이터 문서로 인증됩니다. 에이전트가 인증되면 에이전트는 서비스에 하트비트 메시지를 보내고 그에 대한 응답으로 서비스에서 명령을 받습니다. 평가가 예약된 경우 에이전트는 해당 평가에 대한 명령을 받습니다. 이 명령은 구조화된 JSON 파일이며 에이전트에서 미리 구성된 특정 센서를 활성화 또는 비활성화하도록 에이전트에 지시합니다. 각 명령 작업은 에이전트 내에서 미리 정의됩니다. 임의의 명령은 실행할 수 없습니다.

평가 중에 에이전트는 시스템에서 원격 측정 데이터를 수집하여 TLS로 보호된 채널을 통해 Amazon Inspector Classic에 다시 보냅니다. 에이전트는 자신이 데이터를 수집하는 시스템을 변경하지 않습니다. 에이전트는 원격 측정 데이터를 수집한 후 Amazon Inspector Classic에 원격 측정 데이터를 다시 보내서 처리합니다. 에이전트가 생성하는 원격 측정 데이터 이외에 에이전트는 평가하는 시스템 또는 평가 대상에 대한 다른 데이터를 수집하거나 전송할 수 없습니다. 현재 에이전트에서 원격 측정 데이터를 가로채서 검사하기 위해 노출된 메서드는 없습니다.

Amazon Inspector Classic 에이전트 업데이트

Amazon Inspector Classic 에이전트에 대한 업데이트를 사용할 수 있게 되면 Amazon S3에서 자동으로 다운로드되어 적용됩니다. 이때 필수 종속성도 업데이트됩니다. 자동 업데이트 기능의 경우 EC2 인스턴스에 설치한 에이전트를 추적하거나 해당 에이전트의 버전 관리를 수동으로 유지할 필요가 없습니다. 모든 업데이트는 관련 보안 표준을 준수하기 위해 감사된 Amazon 변경 제어 프로세스의 적용을 받습니다.

에이전트의 보안을 강화하기 위해 에이전트와 자동 업데이트 릴리스 사이트(S3) 사이의 모든 통신은 TLS 연결을 통해 수행되며 서버는 인증됩니다. 자동 업데이트 프로세스와 관련된 모든 바이너리는 디지털 서명되며 서명은 설치 전에 업데이터가 확인합니다. 자동 업데이트 프로세스는 평가 기간이 아닌 동안에만 실행됩니다. 오류가 감지되면 업데이트 프로세스가 롤백하여 업데이트를 다시 시도할 수 있습니다. 마지막으로, 에이전트 업데이트 프로세스는 에이전트 기능만 업그레이드하는 역할을 합니다. 어떤 특정 정보도 업데이트 워크플로의 일부로 에이전트에서 Amazon Inspector Classic으로 전송되지 않습니다. 업데이트 프로세스의 일부로 전달되는 유일한 정보는 기본 설치 성공/실패 원격 측정이며, 해당되는 경우 업데이트 실패 진단 정보가 전달됩니다.

원격 측정 데이터 수명 주기

평가 실행 중에 Amazon Inspector Classic 에이전트에서 생성하는 원격 측정 데이터는 JSON 파일로 형식이 지정됩니다. 파일은 TLS를 near-real-time 통해 Amazon Inspector Classic으로 전송되며, 여기서 임시 KMS 파생 키로 per-assessment-run 암호화됩니다. 그런 다음 Amazon Inspector Classic 전용 Amazon S3 버킷에 안전하게 저장됩니다. Amazon Inspector Classic의 규칙 엔진은 S3 버킷의 암호화된 원격 측정 데이터에 액세스하고, 메모리에서 암호를 해독하며, 구성된 평가 규칙에 따라 데이터를 처리하여 결과를 생성합니다. S3에 저장된 원격 측정 데이터는 지원 요청을 지원하는 용도로만 보관됩니다. Amazon에서 다른 용도를 위해 사용하거나 집계하지 않습니다. 원격 측정 데이터는 Amazon Inspector Classic 데이터에 대한 표준 S3 버킷 수명 주기 정책에 따라 30일 후에 영구적으로 삭제됩니다. 현재 Amazon Inspector Classic은 수집된 원격 측정에 API 또는 S3 버킷 액세스 메커니즘을 제공하지 않습니다.

Amazon Inspector Classic에서 AWS 계정으로 액세스 제어

보안 서비스인 Amazon Inspector Classic은 태그를 쿼리하여 평가할 EC2 인스턴스를 찾아야 하는 경우에만 AWS 계정과 리소스에 액세스합니다. 이 작업은 Amazon Inspector Classic 서비스의 초기 설정 중에 생성된 역할에 의한 표준 IAM 액세스를 통해 수행됩니다. 평가하는 중에 환경과의 모든 통신은 EC2 인스턴스에 로컬로 설치된 Amazon Inspector Classic 에이전트에 의해 시작됩니다. Amazon Inspector Classic 서비스에서 생성한 평가 대상, 평가 템플릿 및 결과 등의 서비스 객체는 Amazon Inspector Classic에서 관리하고 액세스할 수 있는 데이터베이스에만 저장됩니다.

Amazon Inspector Classic 에이전트 제한

Amazon Inspector Classic 에이전트 제한에 대한 자세한 내용은 Amazon Inspector Classic 서비스 한도 섹션을 참조하십시오.