Esta es la guía del usuario de Amazon Inspector Classic. Para obtener más información acerca de Amazon Inspector, consulte la Guía del usuario de Amazon Inspector. Para acceder a la consola de Amazon Inspector Classic, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/ y seleccione Amazon Inspector Classic en el panel de navegación.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Agentes de Amazon Inspector Classic

El agente de Amazon Inspector Classic es una entidad que recopila información de paquetes instalados y configuración de software en una instancia de Amazon EC2. Aunque no es obligatorio en todos los casos, debe instalar el agente de Amazon Inspector Classic en cada una de las instancias de Amazon EC2 de destino para evaluar su seguridad por completo.

Para obtener más información sobre cómo instalar, desinstalar y volver a instalar el agente, cómo verificar si el agente instalado se está ejecutando y cómo configurar el soporte del proxy para el agente, consulte Trabajar con agentes de Amazon Inspector en sistemas operativos basados en Linux y Trabajar con agentes de Amazon Inspector Classic en sistemas operativos basados en Windows.

Privilegios de los agentes de Amazon Inspector Classic

Debe tener permisos administrativos o raíz para instalar el agente de Amazon Inspector Classic. En los sistemas operativos compatibles basados en Linux, el agente es un archivo ejecutable de modo de usuario que se ejecuta con acceso raíz. En los sistemas operativos compatibles basados en Windows, el agente se compone de un servicio actualizador y un servicio de agente, cada uno de los cuales se ejecuta en modo de usuario con privilegios LocalSystem.

Seguridad de la red y del agente de Amazon Inspector Classic

El agente de Amazon Inspector Classic inicia todas las comunicaciones con el servicio de Amazon Inspector Classic. Esto significa que el agente debe tener una ruta de red de salida a puntos de enlace públicos de modo que pueda enviar datos de telemetría. Por ejemplo, el agente podría conectarse a arsenal.<region>.amazonaws.com, o el punto de conexión podría ser un bucket de Amazon S3 en s3.dualstack.<region>.amazonaws.com. Asegúrese de sustituirlo por <region> la AWS región real en la que está ejecutando Amazon Inspector Classic. Para obtener más información, consulte la sección Rangos de direcciones IP de AWS. Además, como todas las conexiones del agente que se establecen son de salida, no es necesario abrir puertos en los grupos de seguridad para permitir la comunicación entrante hacia el agente desde Amazon Inspector Classic.

El agente se comunica periódicamente con Amazon Inspector Classic a través de un canal protegido por TLS, que se autentica mediante la AWS identidad asociada a la función de la instancia de EC2 o, si no se ha asignado ninguna función, con el documento de metadatos de la instancia. Tras la autenticación, el agente envía mensajes de latido al servicio y recibe instrucciones desde el servicio como respuesta. Si se ha programado una evaluación, el agente recibe las instrucciones de dicha evaluación. Estas instrucciones son archivos JSON estructurados e indican al agente si debe habilitar o deshabilitar sensores preconfigurados específicos en el agente. Cada acción de instrucción está predefinida en el agente. Las instrucciones arbitrarias no se pueden ejecutar.

Durante una evaluación, el agente recopila datos de telemetría en el sistema para enviarlos de vuelta a Amazon Inspector Classic a través de un canal protegido por TLS. El agente no realiza cambios en el sistema del que recopila los datos. Una vez que el agente recopila los datos de telemetría, los envía de vuelta a Amazon Inspector Classic para su procesamiento. Aparte de los datos de telemetría que genera, el agente no es capaz de recopilar ni transmitir ningún otro dato sobre el sistema ni los objetivos de evaluación. En la actualidad, no se expone ningún método para interceptar y examinar los datos de telemetría en el agente.

Actualizaciones del agente de Amazon Inspector Classic

A medida que las actualizaciones del agente de Amazon Inspector Classic están disponibles, se descargan y aplican automáticamente desde Amazon S3. Esto también actualiza las dependencias requeridas. La característica de actualización automática elimina la necesidad de hacer un seguimiento y un mantenimiento manual del control de versiones de los agentes instalados en las instancias de EC2. Todas las actualizaciones están sujetas a los procesos de control de cambios auditados de Amazon para garantizar el cumplimiento con las reglas de seguridad pertinentes.

Para garantizar la seguridad del agente, todas las comunicaciones entre el agente y el sitio de publicación de actualizaciones automáticas (S3) se realizan mediante una conexión TLS, y el servidor está autenticado. Todos los archivos binarios implicados en el proceso de actualización automática incluyen una firma digital que el actualizador verifica antes de la instalación. El proceso de actualización automática se ejecuta solo durante los periodos en los que no se realizan evaluaciones. Si se detectan errores, el proceso de actualización puede deshacer la actualización y volver a intentarla. Por último, el proceso de actualización del agente solo sirve para actualizar las capacidades del agente. No se envía ninguna información específica desde el agente a Amazon Inspector Classic como parte del flujo de trabajo de actualización. La única información comunicada como parte del proceso de actualización es la telemetría básica sobre si la instalación se completa correctamente o no y, si procede, la información de diagnóstico de errores de actualización.

Ciclo de vida de los datos de telemetría

Los datos de telemetría generados por el agente de Amazon Inspector Classic durante las ejecuciones de evaluación tienen un formato de archivos JSON. Los archivos se envían a near-real-time través de TLS a Amazon Inspector Classic, donde se cifran con una clave efímera per-assessment-run derivada de KMS. Los archivos se almacenan de forma segura en un bucket de Amazon S3 dedicado para Amazon Inspector Classic. El motor de reglas de Amazon Inspector Classic obtiene acceso a los datos de telemetría cifrados que están en el bucket de S3, los descifra en la memoria y los procesa utilizando las reglas de evaluación configuradas para generar los resultados. Los datos de telemetría que se almacenan en S3 se conservan únicamente para permitir obtener ayuda con las solicitudes de soporte. Amazon no los utiliza ni los agrega para ningún otro fin. Después de 30 días, los datos de telemetría se borran definitivamente, según una política de ciclo de vida estándar de los buckets de S3 específica de Amazon Inspector Classic. En la actualidad, Amazon Inspector Classic no dispone de ningún mecanismo en la API ni el bucket de S3 que proporcione acceso a los datos de telemetría recopilados.

Control de acceso desde Amazon Inspector Classic a las cuentas de AWS

Como servicio de seguridad, Amazon Inspector Classic accede a sus AWS cuentas y recursos solo cuando necesita encontrar instancias de EC2 para evaluarlas mediante consultas de etiquetas. Esta operación se lleva a cabo utilizando un mecanismo de acceso estándar de IAM mediante un rol que se crea durante la configuración inicial del servicio de Amazon Inspector Classic. Durante una evaluación, el agente de Amazon Inspector Classic instalado localmente en las instancias de EC2 inicia las comunicaciones con su entorno. Los objetos de servicio de Amazon Inspector Classic que se crean, como los objetivos de evaluación, las plantillas de evaluación y los resultados generados por el servicio, se almacenan en una base de datos administrada por Amazon Inspector Classic a la que solamente este servicio puede obtener acceso.

Límites del agente de Amazon Inspector Classic

Para obtener información acerca de los límites de agentes de Amazon Inspector Classic, consulte Límites de servicio de Amazon Inspector Classic.