Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon Inspector Classic-Agenten
Der Amazon Inspector Classic-Agent ist eine Einheit, die Informationen über installierte Pakete und Softwarekonfigurationen für eine Amazon EC2 EC2-Instance sammelt. Obwohl nicht in allen Fällen erforderlich, sollten Sie den Amazon Inspector Classic-Agenten auf jeder Ihrer Amazon EC2 EC2-Zielinstanzen installieren, um deren Sicherheit umfassend beurteilen zu können.
Weitere Informationen darüber, wie der Agent installiert, deinstalliert und neu installiert wird, wie Sie sicherstellen, dass der Agent ausgeführt wird, und wie Sie Proxy-Unterstützung für den Agenten konfigurieren, finden Sie unter Arbeiten mit Amazon Inspector Classic-Agenten auf Linux-basierten Betriebssystemen und Arbeiten mit Amazon Inspector Classic-Agenten auf Windows-basierten Betriebssystemen.
Anmerkung
Für die Ausführung des Regelpakets zur Netzwerkerreichbarkeit ist kein Amazon Inspector Classic-Agent erforderlich.
Wichtig
Der Amazon Inspector Classic-Agent stützt sich auf Amazon EC2 EC2-Instance-Metadaten, um korrekt zu funktionieren. Er greift auf Instance-Metadaten mithilfe von Version 1 oder Version 2 des Instance Metadata Service (IMDSv1 oder IMDSv2) zu. Weitere Informationen zu EC2-Instance-Metadaten und Zugriffsmethoden finden Sie unter Instance-Metadaten und Benutzerdaten.
Themen
- Agentenrechte für Amazon Inspector Classic
- Netzwerk- und Amazon Inspector Classic-Agentensicherheit
- Agenten-Updates für Amazon Inspector Classic
- Telemetriedaten-Lebenszyklus
- Zugriffskontrolle von Amazon Inspector Classic auf AWS Konten
- Beschränkungen für Amazon Inspector Classic-Agenten
- Amazon Inspector Classic-Agenten installieren
- Arbeiten mit Amazon Inspector Classic-Agenten auf Linux-basierten Betriebssystemen
- Arbeiten mit Amazon Inspector Classic-Agenten auf Windows-basierten Betriebssystemen
- (Optional) Überprüfen Sie die Signatur des Amazon Inspector Classic-Agenten-Installationsskripts auf Linux-basierten Betriebssystemen
- (Optional) Überprüfen Sie die Signatur des Amazon Inspector Classic-Agenteninstallationsskripts auf Windows-Betriebssystemen
Agentenrechte für Amazon Inspector Classic
Sie benötigen Administrator- oder Root-Rechte, um den Amazon Inspector Classic-Agenten zu installieren. Auf unterstützten Linux-basierten Betriebssystemen besteht der Agent aus einer ausführbaren Datei im Benutzermodus, die mit Root-Zugriff ausgeführt wird. Auf unterstützten Windows-basierten Betriebssystemen besteht der Agent aus einem Updater Service und einem Agent Service. Beide werden im Benutzermodus mit LocalSystem
-Berechtigungen ausgeführt.
Netzwerk- und Amazon Inspector Classic-Agentensicherheit
Der Amazon Inspector Classic-Agent initiiert die gesamte Kommunikation mit dem Amazon Inspector Classic-Service. Dies bedeutet, dass der Agent über einen ausgehenden Netzwerkpfad an öffentliche Endpunkte verfügen muss, um Telemetriedaten an sie senden zu können. Beispielsweise könnte der Agent eine Verbindung zu arsenal.<region>.amazonaws.com
einem Amazon S3-Bucket herstellen oder der Endpunkt könnte ein Amazon S3 S3-Bucket seins3.dualstack.<region>.amazonaws.com
. Stellen Sie sicher, dass Sie es durch die tatsächliche AWS Region <region>
ersetzen, in der Sie Amazon Inspector Classic ausführen. Weitere Informationen finden Sie unter AWS IP-Adressbereiche. Da alle Verbindungen vom Agenten ausgehend hergestellt werden, ist es nicht erforderlich, Ports in Ihren Sicherheitsgruppen zu öffnen, um eingehende Kommunikation mit dem Agenten von Amazon Inspector Classic aus zu ermöglichen.
Der Agent kommuniziert regelmäßig mit Amazon Inspector Classic über einen TLS-geschützten Kanal, der entweder anhand der AWS Identität authentifiziert wird, die der Rolle der EC2-Instance zugeordnet ist, oder, falls keine Rolle zugewiesen ist, anhand des Metadatendokuments der Instance. Sobald er authentifiziert ist, sendet der Agent Heartbeat-Nachrichten an den Service und empfängt Anweisungen vom Service als Antworten auf die Heartbeat-Nachrichten. Wenn eine Bewertung geplant wurde, erhält der Agent die Anweisungen für diese Bewertung. Diese Anleitungen sind strukturierte JSON-Dateien und informieren den Agenten, um bestimmte vorkonfigurierte Sensoren im Agenten zu aktivieren oder zu deaktivieren. Jede Anweisungsaktion ist innerhalb des Agenten vorab definiert. Es können keine beliebigen Anweisungen ausgeführt werden.
Während einer Bewertung sammelt der Agent Telemetriedaten vom System, um sie über einen TLS-geschützten Kanal an Amazon Inspector Classic zurückzuschicken. Der Agent macht keine Änderungen am System, von dem er Daten sammelt. Nachdem der Agent die Telemetriedaten erfasst hat, sendet er die Daten zur Verarbeitung an Amazon Inspector Classic zurück. Über die von ihm generierten Telemetriedaten hinaus ist der Agent nicht in der Lage, andere Daten über das System oder die Bewertungsziele zu sammeln oder zu übermitteln. Derzeit gibt es beim Agenten keine Methode zum Abfangen und Untersuchen von Telemetriedaten.
Agenten-Updates für Amazon Inspector Classic
Sobald Updates für den Amazon Inspector Classic-Agenten verfügbar sind, werden sie automatisch von Amazon S3 heruntergeladen und angewendet. Dadurch werden auch alle erforderlichen Abhängigkeiten aktualisiert. Dank der automatischen Aktualisierungsfunktion müssen Sie die Versionierung der Agenten, die Sie auf Ihren EC2-Instances installiert haben, nicht mehr nachverfolgen und manuell verwalten. Alle Updates unterliegen den geprüften Amazon-Change-Control-Prozessen, um die Einhaltung der geltenden Sicherheitsstandards zu gewährleisten.
Um die Sicherheit des Agenten weiter zu gewährleisten, wird die gesamte Kommunikation zwischen dem Agenten und der Auto-Update Release Site (S3) über eine TLS-Verbindung durchgeführt und der Server authentifiziert. Alle Binärdateien, die an dem automatischen Update beteiligt sind, werden digital signiert, und die Signaturen werden vor der Installation vom Updater überprüft. Der automatische Aktualisierungsprozess wird nur während der Nicht-Bewertungsperioden ausgeführt. Wenn Fehler erkannt werden, kann der Aktualisierungsvorgang einen Rollback und Neuversuch der Aktualisierung durchführen. Schließlich dient der Aktualisierungsvorgang des Agenten zum Aktualisieren nur der Fähigkeiten des Agenten. Keine Ihrer spezifischen Informationen wird im Rahmen des Aktualisierungs-Workflows jemals vom Agenten an Amazon Inspector Classic gesendet. Die einzige Information, die als Teil des Aktualisierungsprozesses übertragen wird, ist die grundlegende Installations-Erfolgs-/Fehler-Telemetrie und ggf. eine Update-Fehler-Diagnoseinformation.
Telemetriedaten-Lebenszyklus
Die Telemetriedaten, die vom Amazon Inspector Classic-Agenten während der Bewertungsläufe generiert werden, sind in JSON-Dateien formatiert. Die Dateien werden near-real-time über TLS an Amazon Inspector Classic übermittelt, wo sie mit einem kurzlebigen per-assessment-run, von KMS abgeleiteten Schlüssel verschlüsselt werden. Die Dateien werden sicher in einem Amazon S3 S3-Bucket gespeichert, der speziell für Amazon Inspector Classic vorgesehen ist. Die Regel-Engine von Amazon Inspector Classic greift auf die verschlüsselten Telemetriedaten im S3-Bucket zu, entschlüsselt sie im Speicher und verarbeitet die Daten anhand der konfigurierten Bewertungsregeln, um Ergebnisse zu generieren. Die Telemetriedaten, die in S3 gespeichert werden, werden nur beibehalten, um Hilfe bei Supportanfragen zuzulassen. Sie werden von Amazon nicht für andere Zwecke verwendet oder aggregiert. Nach 30 Tagen werden Telemetriedaten gemäß einer standardmäßigen S3-Bucket-Lebenszyklusrichtlinie für Amazon Inspector Classic-Daten dauerhaft gelöscht. Derzeit bietet Amazon Inspector Classic weder eine API noch einen S3-Bucket-Zugriffsmechanismus für gesammelte Telemetriedaten.
Zugriffskontrolle von Amazon Inspector Classic auf AWS Konten
Als Sicherheitsservice greift Amazon Inspector Classic nur dann auf Ihre AWS Konten und Ressourcen zu, wenn es EC2-Instances zur Bewertung finden muss, indem es nach Tags fragt. Dies erfolgt über den standardmäßigen IAM-Zugriff über die Rolle, die bei der Ersteinrichtung des Amazon Inspector Classic-Service erstellt wurde. Während einer Bewertung wird die gesamte Kommunikation mit Ihrer Umgebung durch den Amazon Inspector Classic-Agenten initiiert, der lokal auf EC2-Instances installiert ist. Die erstellten Amazon Inspector Classic-Serviceobjekte, wie Bewertungsziele, Bewertungsvorlagen und vom Service generierte Ergebnisse, werden in einer Datenbank gespeichert, die von Amazon Inspector Classic verwaltet wird und nur für Amazon Inspector Classic zugänglich ist.
Beschränkungen für Amazon Inspector Classic-Agenten
Informationen zu den Agentenlimits von Amazon Inspector Classic finden Sie unterAmazon Inspector Classic Service-Limits.