Ini adalah panduan pengguna untuk Amazon Inspector Classic. Untuk informasi tentang Amazon Inspector yang baru, lihat Panduan Pengguna Amazon Inspector. Untuk mengakses konsol Amazon Inspector Classic, buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/, lalu pilih Amazon Inspector Classic di panel navigasi.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Agen Amazon Inspector Classic

Agen Amazon Inspector Classic adalah entitas yang mengumpulkan informasi paket yang diinstal dan konfigurasi perangkat lunak untuk instans Amazon EC2. Meskipun tidak diperlukan dalam semua kasus, Anda harus menginstal agen Amazon Inspector Classic pada setiap instans Amazon EC2 target Anda untuk menilai keamanannya sepenuhnya.

Untuk informasi lebih lanjut tentang cara menginstal, menghapus instalasi, dan menginstal ulang agen, cara memverifikasi apakah agen terinstal berjalan, dan cara mengonfigurasi dukungan proksi untuk agen, lihat Bekerja dengan agen Amazon Inspector Classic pada sistem operasi berbasis Linux dan Bekerja dengan agen Amazon Inspector pada sistem operasi berbasis Windows.

Hak istimewa agen Amazon Inspector Classic

Anda harus memiliki izin administratif atau root untuk menginstal agen Amazon Inspector Classic. Pada sistem operasi berbasis Linux yang didukung, agen terdiri dari mode pengguna dapat dijalankan yang berjalan dengan akses root. Pada sistem operasi berbasis Windows yang didukung, agen terdiri dari layanan pembaru dan layanan agen, masing-masing berjalan dalam mode pengguna dengan hak istimewa LocalSystem.

Keamanan agen Jaringan dan Amazon Inspector Classic

Agen Amazon Inspector Classic memulai semua komunikasi dengan layanan Amazon Inspector Classic. Hal ini berarti bahwa agen harus memiliki jalur jaringan keluar ke titik akhir publik sehingga dapat mengirim data telemetri. Sebagai contoh, agen mungkin terhubung ke arsenal.<region>.amazonaws.com, atau titik akhirnya mungkin bucket Amazon S3 di s3.dualstack.<region>.amazonaws.com. Pastikan untuk mengganti <region> dengan AWS Wilayah sebenarnya tempat Anda menjalankan Amazon Inspector Classic. Untuk informasi lebih lanjut, lihat Rentang Alamat IP AWS. Karena semua koneksi dari agen dibuat keluar, tidak perlu membuka port di grup keamanan Anda untuk memungkinkan komunikasi masuk ke agen dari Amazon Inspector Classic.

Agen berkomunikasi secara berkala dengan Amazon Inspector Classic melalui saluran yang dilindungi TLS, yang diautentikasi menggunakan identitas yang terkait dengan peran instans EC2, atau, jika tidak ada peran yang ditetapkan, dengan dokumen metadata instans. AWS Ketika diautentikasi, agen mengirimkan pesan detak jantung ke layanan dan menerima instruksi dari layanan sebagai tanggapan. Jika penilaian telah dijadwalkan, agen menerima instruksi untuk penilaian tersebut. Instruksi ini adalah file JSON terstruktur, dan mereka memberi tahu agen untuk mengaktifkan atau menonaktifkan sensor yang telah dikonfigurasi tertentu di agen. Setiap tindakan instruksi telah ditetapkan dalam agen. Instruksi sewenang-wenang tidak dapat dijalankan.

Selama penilaian, agen mengumpulkan data telemetri dari sistem untuk dikirim kembali ke Amazon Inspector Classic melalui saluran yang dilindungi TLS. Agen tidak membuat perubahan pada sistem tempatnya mengumpulkan data. Setelah agen mengumpulkan data telemetri, ia mengirimkan data kembali ke Amazon Inspector Classic untuk diproses. Di luar data telemetri yang dihasilkannya, agen tidak mampu mengumpulkan atau mentransmisikan data lain tentang sistem atau target penilaian. Saat ini, tidak ada metode yang terekspos untuk mencegat dan memeriksa data telemetri di agen.

Pembaruan agen Amazon Inspector Classic

Saat pembaruan untuk agen Amazon Inspector Classic tersedia, pembaruan tersebut diunduh secara otomatis dari Amazon S3 dan diterapkan. Hal ini juga memperbarui dependensi yang diperlukan. Fitur pembaruan otomatis menghilangkan kebutuhan untuk melacak dan secara manual mempertahankan versioning agen yang telah Anda instal pada instans EC2 Anda. Semua pembaruan tunduk pada proses kontrol perubahan Amazon yang diaudit untuk memastikan kepatuhan terhadap standar keamanan yang berlaku.

Untuk lebih memastikan keamanan agen, semua komunikasi antara agen dan situs rilis pembaruan otomatis (S3) dilakukan melalui koneksi TLS, dan server diautentikasi. Semua biner yang terlibat dalam proses pembaruan otomatis ditandatangani secara digital, dan tanda tangan diverifikasi oleh pembaru sebelum instalasi. Proses pembaruan otomatis dijalankan hanya selama periode non-penilaian. Jika ada kesalahan yang terdeteksi, proses pembaruan dapat melakukan rollback dan kembali mencoba pembaruan. Akhirnya, proses pembaruan agen berfungsi untuk meningkatkan kemampuan agen saja. Tak satu pun dari informasi spesifik Anda yang pernah dikirim dari agen ke Amazon Inspector Classic sebagai bagian dari alur kerja pembaruan. Satu-satunya informasi yang dikomunikasikan sebagai bagian dari proses pembaruan adalah keberhasilan instalasi dasar atau gagal telemetri dan, jika berlaku, informasi diagnostik kegagalan pembaruan.

Siklus hidup data telemetri

Data telemetri yang dihasilkan oleh agen Amazon Inspector Classic selama penilaian dijalankan diformat dalam file JSON. File dikirimkan near-real-time melalui TLS ke Amazon Inspector Classic, di mana file tersebut dienkripsi dengan kunci turunan KMS per-assessment-run sesaat. File disimpan dengan aman di bucket Amazon S3 yang didedikasikan untuk Amazon Inspector Classic. Mesin aturan Amazon Inspector Classic mengakses data telemetri terenkripsi di bucket S3, mendekripsi dalam memori, dan memproses data berdasarkan aturan penilaian yang dikonfigurasi untuk menghasilkan temuan. Data telemetri yang disimpan di S3 dipertahankan hanya untuk memungkinkan bantuan dengan permintaan dukungan. Hal ini tidak digunakan atau dikumpulkan oleh Amazon untuk tujuan lain. Setelah 30 hari, data telemetri dihapus secara permanen sesuai dengan kebijakan siklus hidup bucket S3 standar untuk data Amazon Inspector Classic. Saat ini, Amazon Inspector Classic tidak menyediakan API atau mekanisme akses bucket S3 ke telemetri yang dikumpulkan.

Kontrol akses dari Amazon Inspector Classic ke dalam akun AWS

Sebagai layanan keamanan, Amazon Inspector Classic mengakses AWS akun dan sumber daya Anda hanya jika perlu menemukan instans EC2 untuk dinilai dengan menanyakan tag. Ini dilakukan melalui akses IAM standar melalui peran yang dibuat selama penyiapan awal layanan Amazon Inspector Classic. Selama penilaian, semua komunikasi dengan lingkungan Anda dimulai oleh agen Amazon Inspector Classic yang diinstal secara lokal pada instans EC2. Objek layanan Amazon Inspector Classic yang dibuat, seperti target penilaian, templat penilaian, dan temuan yang dihasilkan oleh layanan, disimpan dalam database yang dikelola oleh dan hanya dapat diakses oleh Amazon Inspector Classic.

Batas agen Amazon Inspector Classic

Untuk informasi tentang batas agen Amazon Inspector Classic, lihat. Batas layanan Amazon Inspector Classic