Amazon Inspector エージェント - Amazon Inspector

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

Amazon Inspector エージェント

Amazon Inspector エージェントは、Amazon EC2 インスタンスのインストール済みパッケージ情報とソフトウェア設定を収集するエンティティです。すべてのケースで必要ではありませんが、セキュリティを完全に評価するためには、ターゲットの各 Amazon EC2 インスタンスに Amazon Inspector エージェントをインストールする必要があります。

エージェントのインストール、アンインストール、再インストール、インストールされたエージェントが実行されているかどうかを確認する方法、エージェントのプロキシサポートの設定方法の詳細については、「Linux ベースのオペレーティングシステムでの Amazon Inspector エージェントの操作」および「Windows ベースのオペレーティングシステムでの Amazon Inspector エージェントの操作」を参照してください。

注記

Amazon Inspector エージェントは、ネットワーク到達可能性ルールパッケージを実行する必要はありません。

重要

Amazon Inspector エージェントは、正常に機能するために Amazon EC2 インスタンスメタデータに依存します。インスタンスメタデータにアクセスするために、Instance Metadata Service のバージョン 1 または 2 (IMDSv1 または IMDSv2) を使用します。EC2 インスタンスメタデータおよびアクセス方法の詳細については、「インスタンスメタデータとユーザーデータ」を参照してください。

Amazon Inspector エージェントのアクセス許可

Amazon Inspector エージェントをインストールするには、管理者権限または root 権限が必要です。サポートされている Linux ベースのオペレーティングシステムでは、エージェントは root アクセスで実行されるユーザーモード実行可能ファイルで構成されます。サポートされている Windows ベースのオペレーティングシステムでは、エージェントはアップデータサービスとエージェントサービスで構成され、それぞれ LocalSystem の特権を持つユーザーモードで実行されます。

ネットワークと Amazon Inspector エージェントセキュリティ

Amazon Inspector エージェントは、Amazon Inspector サービスとのすべての通信を開始します。つまりエージェントには、テレメトリデータをエンドポイントに送信できるように、パブリックエンドポイントへのアウトバウンドネットワークパスが必要です。たとえば、エージェントが arsenal.<region>.amazonaws.com に接続し、エンドポイントが s3.dualstack.<region>.amazonaws.com の Amazon S3 バケットである場合です。<region> は、Amazon Inspector を実行している実際の AWS リージョンに置き換えてください。詳細については、「AWS IP アドレスの範囲」を参照してください。さらに、エージェントからのすべての接続はアウトバウンドで確立されるため、セキュリティグループでポートを開き、Amazon Inspector からエージェントへのインバウンド通信を許可する必要はありません。

エージェントは、EC2 instance のロール、またはロールが割り当てられていない場合はインスタンスのメタデータドキュメントに関連付けられた AWS ID を使用して認証される TLS 保護チャネル経由で Amazon Inspector と定期的に通信します。認証されると、エージェントはサービスにハートビートメッセージを送信し、レスポンスとしてサービスから手順を受信します。評価がスケジュールされている場合、エージェントはその評価の手順を受信します。これらの手順は構造化された JSON ファイルであり、エージェントで事前設定された特定のセンサーを有効または無効にするようにエージェントに指示します。それぞれの手順のアクションはエージェント内で事前に定義されています。任意の手順を実行することはできません。

評価中に、エージェントはシステムからテレメトリデータを収集し、TLS 保護チャネル経由で Amazon Inspector に送り返します。エージェントは、データの収集元のシステムに変更を行いません。データを収集したら、エージェントはテレメトリデータを処理のために Amazon Inspector に送信します。エージェントには、生成するテレメトリデータ以外には、評価するシステムまたは評価ターゲットに関するその他のデータを収集または送信する機能はありません。現在、エージェントでテレメトリデータを傍受して検査するために公開されているメソッドはありません。

Amazon Inspector エージェントの更新:

Amazon Inspector エージェントの更新が利用可能になると、Amazon S3 から自動的にダウンロードされ、適用されます。これにより、必要な依存関係も更新されます。自動更新機能により、EC2 instances にインストールしたエージェントのバージョニングを追跡して手動で維持する必要がなくなります。すべての更新は、該当するセキュリティ基準に準拠するため、監査された Amazon 変更管理プロセスに従っています。

さらにエージェントのセキュリティを確保するため、エージェントと自動更新リリースサイト (S3) 間のすべての通信は TLS 接続で実行され、サーバーが認証されます。自動更新プロセスに関連するすべてのバイナリはデジタル署名され、署名はインストール前にアップデータによって確認されます。自動更新プロセスは、評価以外の期間中にのみ実行されます。何らかのエラーが検出された場合、更新プロセスは更新をロールバックして再試行することができます。最後に、エージェント更新プロセスは、エージェント機能のみをアップグレードするのに役立ちます。アップデートワークフローの一部として、特定の情報がエージェントから Amazon Inspector に送信されることはありません。更新プロセスの一部として通信される唯一の情報は基本的なインストールの成功/失敗のテレメトリであり、該当する場合は更新失敗の診断情報が含まれます。

テレメトリデータのライフサイクル

評価を実行中に Amazon Inspector エージェントによって生成されるテレメトリデータは JSON ファイルにフォーマットされています。ファイルは TLS を介してほぼリアルタイムで Amazon Inspector に配信され、そこで評価実行ごとにエフェメラル KMS 派生キーで暗号化されます。ファイルは、Amazon Inspector 専用の Amazon S3 バケットに安全に保存されます。Amazon Inspector のルールエンジンは S3 バケットの暗号化テレメトリデータにアクセスし、これをメモリに復号します。設定された評価ルールに対してデータを処理し、結果を生成します。S3 に保存されているテレメトリデータは、サポートリクエストによる支援を可能にするためにのみ保持されます。これを他の目的のために Amazon が使用または集計することはありません。30 日後、テレメトリデータは Amazon Inspector データの標準 S3 バケットライフサイクルポリシーに従って完全に削除されます。現在、Amazon Inspector は収集したテレメトリに対して API または S3 バケットアクセスメカニズムを提供していません。

Amazon Inspector から AWS アカウントへのアクセス制御

セキュリティサービスである Amazon Inspector は、評価する EC2 instances を見つけるために必要な場合のみ、タグのクエリを実行して AWS アカウントおよびリソースにアクセスします。これは、Amazon Inspector サービスの初期セットアップ中に作成されたロールにより、標準の IAM アクセスを使って行われます。評価の間、環境とのすべての通信は、EC2 instances にインストールされた Amazon Inspector エージェントによって開始されます。評価ターゲット、評価テンプレート、サービスによって生成される結果など、ユーザーが作成するオブジェクトは、Amazon Inspector によって管理され、Amazon Inspector のみにアクセス可能なデータベースに保存されます。

Amazon Inspector エージェントの制限

Amazon Inspector エージェントの制限数の詳細については「Amazon Inspector サービスの制限」を参照してください。