Agentes do Amazon Inspector Classic - Amazon Inspector Classic

Este é o manual do usuário do Amazon Inspector Classic. Para obter informações sobre o novo Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. Para acessar o console do Amazon Inspector Classic, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ e escolha Amazon Inspector Classic no painel de navegação.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Agentes do Amazon Inspector Classic

O agente do Amazon Inspector Classic é uma entidade que coleta informações de pacotes instalados e a configuração de software para uma instância do Amazon EC2. Embora não seja necessário em todos os casos, você deve instalar o agente do Amazon Inspector Classic em cada uma das instâncias da meta do Amazon EC2 para avaliar totalmente sua segurança.

Para obter mais informações sobre como instalar, desinstalar e reinstalar o agente, como verificar se o agente instalado está em execução e como configurar o suporte de proxy do agente, consulte Trabalhar com agentes do Amazon Inspector Classic em sistemas operacionais baseados em Linux e Trabalhar com agentes do Amazon Inspector Classic em sistemas operacionais baseados em Windows.

nota

Um agente do Amazon Inspector Classic não é necessário para executar o pacote de regras da Acessibilidade de rede.

Importante

O agente do Amazon Inspector Classic depende dos metadados da instância do Amazon EC2 para funcionar corretamente. Ele acessa os metadados da instância usando a versão 1 ou a versão 2 do Serviço de Metadados da Instância (IMDSv1 ou IMDSv2). Consulte Metadados da instância e dados do usuário para saber mais sobre os metadados da instância do EC2 e os métodos de acesso.

Privilégios do agente do Amazon Inspector Classic

Você deve ter permissões administrativas ou de raiz para instalar o agente do Amazon Inspector Classic. Em sistemas operacionais baseados em Linux compatíveis, o agente consiste em um executável de modo de usuário que é executado com acesso raiz. Em sistemas operacionais compatíveis baseados em Windows, o agente consiste em um serviço atualizador e um serviço de agente, cada um em execução no modo de usuário com privilégios LocalSystem.

Segurança da rede e do agente do Amazon Inspector Classic

O agente do Amazon Inspector Classic inicia toda a comunicação com o serviço Amazon Inspector Classic. Isso significa que o agente deve ter um caminho de rede de saída para endpoints públicos, para que possa enviar dados de telemetria. Por exemplo, o agente pode se conectar a arsenal.<region>.amazonaws.com e o endpoint pode ser um bucket do Amazon S3 na s3.dualstack.<region>.amazonaws.com. Certifique-se de <region> substituir pela AWS região real em que você está executando o Amazon Inspector Classic. Para obter mais informações, consulte Intervalos de endereço IP da AWS. Como todas as conexões do agente são chamadas de saída estabelecidas, não é necessário abrir portas em seus grupos de segurança para permitir comunicações de entrada para o agente do Amazon Inspector Classic.

O agente se comunica periodicamente com o Amazon Inspector Classic por meio de um canal protegido por TLS, que é autenticado usando AWS a identidade associada à função da instância EC2 ou, se nenhuma função for atribuída, com o documento de metadados da instância. Uma vez autenticado, o agente envia mensagens de pulsação para o serviço e recebe instruções do serviço como resposta. Se uma avaliação tiver sido programada, o agente receberá as instruções para essa avaliação. Essas instruções são arquivos JSON estruturados, e informam o agente para habilitar ou desabilitar sensores específicos pré-configurados no agente. Cada ação da instrução é predefinida no agente. Instruções arbitrárias não podem ser executadas.

Durante uma avaliação, o agente reúne os dados de telemetria do sistema para enviá-los de volta ao Amazon Inspector Classic por meio de um canal protegido por TLS. O agente não faz alterações no sistema do qual ele coleta dados. Após coletar dados de telemetria, o agente envia os dados de volta ao Amazon Inspector Classic para processamento. Além dos dados de telemetria que ele gera, o agente não é capaz de coletar ou transmitir qualquer outro dado sobre o sistema ou os destinos de avaliação. No momento, não há nenhum método exposto para interceptar e examinar os dados de telemetria no agente.

Atualizações do agente do Amazon Inspector Classic

À medida que as atualizações do agente do Amazon Inspector Classic são disponibilizadas, elas são automaticamente obtidas por download do Amazon S3 e aplicadas. Isso também atualiza qualquer dependência necessária. O recurso de atualização automática elimina a necessidade de rastrear e manter manualmente o controle de versões dos agentes que você instalou em suas instâncias do EC2. Todas as atualizações estão sujeitas aos processos auditados de controle de alterações da Amazon para garantir a conformidade com as normas de segurança aplicáveis.

Para garantir ainda mais a segurança do agente, todas as comunicações entre o agente e o site de liberação de atualizações automáticas (S3) são realizadas por meio de uma conexão TLS e o servidor é autenticado. Todos os binários envolvidos no processo de atualização automática são assinados digitalmente e as assinaturas são verificadas pelo atualizador antes da instalação. O processo de atualização automática é executado somente durante os períodos sem avaliação. Se algum erro for detectado, o processo de atualização poderá ser revertido e tentará fazer a atualização novamente. Por fim, o processo de atualização do agente serve para atualizar somente os recursos do agente. Nenhuma de suas informações específicas é enviada do agente para o Amazon Inspector Classic como parte do fluxo de trabalho de atualização. A única informação comunicada como parte do processo de atualização é a telemetria básica de sucesso ou falha da instalação e, se aplicável, informações de diagnóstico de falha da atualização.

Ciclo de vida dos dados de telemetria

Os dados de telemetria que são gerados pelo agente do Amazon Inspector Classic durante execuções de avaliação são formatados em arquivos JSON. Os arquivos são entregues via TLS para near-real-time o Amazon Inspector Classic, onde são criptografados com per-assessment-run uma chave efêmera derivada do KMS. Os arquivos são armazenados com segurança em um bucket do Amazon S3 dedicado ao Amazon Inspector Classic. O mecanismo de regras do Amazon Inspector Classic acessa os dados de telemetria criptografados no bucket do S3, descriptografa os dados na memória e os processa com base nas regras de avaliação configuradas para gerar descobertas. Os dados de telemetria que são armazenados no S3 são retidos somente para permitir a assistência a solicitações de suporte. Eles não são usados ou agregados pela Amazon para qualquer outra finalidade. Após 30 dias, os dados de telemetria são excluídos permanentemente de acordo com a política de ciclo de vida padrão de um bucket do S3 para dados do Amazon Inspector Classic. No momento, o Amazon Inspector Classic não fornece uma API ou um mecanismo de acesso ao bucket do S3 para a telemetria coletada.

Controle de acesso do Amazon Inspector Classic em contas AWS

Como um serviço de segurança, o Amazon Inspector Classic acessa suas AWS contas e recursos somente quando precisa encontrar instâncias do EC2 para avaliar, consultando tags. Isso é feito por meio do acesso padrão do IAM pela função criada durante a configuração inicial do serviço Amazon Inspector Classic. Durante uma avaliação, todas as comunicações com seu ambiente são iniciadas pelo agente do Amazon Inspector Classic que está instalado localmente nas instâncias do EC2. Os objetos do serviço Amazon Inspector Classic que são criados, como os destinos de avaliação, os modelos de avaliação e as descobertas geradas pelo serviço, são armazenados em um banco de dados gerenciado pelo Amazon Inspector Classic e acessível somente por ele.

Limites do agente do Amazon Inspector Classic

Para obter mais informações sobre os limites do agente do Amazon Inspector Classic, consulte Limites do serviço do Amazon Inspector Classic.