Amazon Inspector Classic エージェント - Amazon Inspector

これは、Amazon Inspector Classic のユーザーガイドです。新しい Amazon Inspector の詳細については、Amazon Inspector ユーザーガイド を参照してください。AAmazon Inspector Classic コンソールにアクセスするには、Amazon Inspector コンソール (https://console.aws.amazon.com/inspector/) を開き、ナビゲーションペインで Amazon Inspector Classic を選択します。

Amazon Inspector Classic エージェント

Amazon Inspector Classic エージェントは、Amazon EC2 インスタンスのインストール済みパッケージ情報とソフトウェア設定を収集するエンティティです。すべてのケースで必要というわけではありませんが、セキュリティを完全に評価するためには、ターゲットの Amazon EC2 インスタンスに Amazon Inspector Classic エージェントをインストールする必要があります。

エージェントのインストール、アンインストール、再インストール、インストールされたエージェントが実行されているかどうかを確認する方法、エージェントのプロキシサポートの設定方法の詳細については、「Linux ベースのオペレーティングシステムでの Amazon Inspector Classic エージェントの操作」および「Windows ベースのオペレーティングシステムでの Amazon Inspector Classic エージェントの操作」を参照してください。

注記

Amazon Inspector エージェントは、ネットワーク到達可能性ルールパッケージを実行する必要はありません。

重要

Amazon Inspector Classic エージェントは、正常に機能するために Amazon EC2 インスタンスメタデータに依存します。インスタンスメタデータにアクセスするために、Instance Metadata Service のバージョン 1 または 2 (IMDSv1 または IMDSv2) を使用します。EC2 インスタンスメタデータおよびアクセス方法の詳細については、「インスタンスメタデータとユーザーデータ」を参照してください。

Amazon Inspector Classic エージェントの権限

Amazon Inspector Classic エージェントをインストールするには、管理者権限または root 権限が必要です。サポートされている Linux ベースのオペレーティングシステムでは、エージェントは root アクセスで実行されるユーザーモード実行可能ファイルで構成されます。サポートされている Windows ベースのオペレーティングシステムでは、エージェントはアップデータサービスとエージェントサービスで構成され、それぞれ LocalSystem の特権を持つユーザーモードで実行されます。

ネットワークと Amazon Inspector Classic エージェントのセキュリティ

Amazon Inspector Classic エージェントは、Amazon Inspector Classic サービスとのすべての通信を開始します。つまりエージェントには、テレメトリデータをエンドポイントに送信できるように、パブリックエンドポイントへのアウトバウンドネットワークパスが必要です。たとえば、エージェントが arsenal.<region>.amazonaws.com に接続するか、エンドポイントが の s3.dualstack.<region>.amazonaws.com Amazon S3 バケットである場合です。<region> は、Amazon Inspector Classic を実行している実際の AWS リージョンに置き換えてください。詳細については、「AWS IP アドレスの範囲」を参照してください。さらに、エージェントからのすべての接続はアウトバウンドで確立されるため、セキュリティグループでポートを開き、Amazon Inspector Classic からエージェントへのインバウンド通信を許可する必要はありません。

エージェントは、EC2 インスタンスのロール、またはロールが割り当てられていない場合はインスタンスのメタデータドキュメントに関連付けられた AWS ID を使用して認証される TLS 保護チャネル経由で Amazon Inspector Classic と定期的に通信します。認証されると、エージェントはサービスにハートビートメッセージを送信し、レスポンスとしてサービスから手順を受信します。評価がスケジュールされている場合、エージェントはその評価の手順を受信します。これらの手順は構造化された JSON ファイルであり、エージェントで事前設定された特定のセンサーを有効または無効にするようにエージェントに指示します。それぞれの手順のアクションはエージェント内で事前に定義されています。任意の手順を実行することはできません。

評価中に、エージェントはシステムからテレメトリデータを収集し、TLS 保護チャネル経由で Amazon Inspector Classic に送り返します。エージェントは、データの収集元のシステムに変更を行いません。データを収集したら、エージェントはテレメトリデータを処理のために Amazon Inspector Classic に送信します。エージェントには、生成するテレメトリデータ以外には、評価するシステムまたは評価ターゲットに関するその他のデータを収集または送信する機能はありません。現在、エージェントでテレメトリデータを傍受して検査するために公開されているメソッドはありません。

Amazon Inspector Classic エージェントの更新

Amazon Inspector Classic エージェントの更新が利用可能になると、Amazon S3 から自動的にダウンロードされ、適用されます。これにより、必要な依存関係も更新されます。 自動更新機能により、EC2 インスタンスにインストールしたエージェントのバージョニングを追跡して手動で維持する必要がなくなります。すべての更新は、該当するセキュリティ基準に準拠するため、監査された Amazon 変更管理プロセスに従っています。

さらにエージェントのセキュリティを確保するため、エージェントと自動更新リリースサイト (S3) 間のすべての通信は TLS 接続で実行され、サーバーが認証されます。自動更新プロセスに関連するすべてのバイナリはデジタル署名され、署名はインストール前にアップデータによって確認されます。自動更新プロセスは、評価以外の期間中にのみ実行されます。何らかのエラーが検出された場合、更新プロセスは更新をロールバックして再試行することができます。最後に、エージェント更新プロセスは、エージェント機能のみをアップグレードするのに役立ちます。アップデートワークフローの一部として、特定の情報がエージェントから Amazon Inspector Classic に送信されることはありません。更新プロセスの一部として通信される唯一の情報は基本的なインストールの成功/失敗のテレメトリであり、該当する場合は更新失敗の診断情報が含まれます。

テレメトリデータのライフサイクル

評価を実行中に Amazon Inspector Classic エージェントによって生成されるテレメトリデータは JSON ファイルにフォーマットされています。ファイルは TLS を介してほぼリアルタイムで Amazon Inspector Classic に配信され、そこで評価実行ごとにエフェメラル KMS 派生キーで暗号化されます。ファイルは、 Amazon Inspector Classic 専用の Amazon S3 バケットに安全に保存されます。Amazon Inspector Classic のルールエンジンは S3 バケットの暗号化テレメトリデータにアクセスし、これをメモリに復号します。設定された評価ルールに対してデータを処理し、結果を生成します。S3 に保存されているテレメトリデータは、サポートリクエストによる支援を可能にするためにのみ保持されます。これを他の目的のために Amazon が使用または集計することはありません。30 日後、テレメトリデータは Amazon Inspector Classic データの標準 S3 バケットライフサイクルポリシーに従って完全に削除されます。現在、Amazon Inspector Classic は収集したテレメトリに対して API または S3 バケットアクセスメカニズムを提供していません。

Amazon Inspector Classic から AWS アカウントへのアクセスコントロール

セキュリティサービスである Amazon Inspector Classic は、評価する EC2 インスタンスを見つけるために必要な場合のみ、タグのクエリを実行して AWS アカウントおよびリソースにアクセスします。これは、Amazon Inspector Classic サービスの初期セットアップ中に作成されたロールにより、標準 IAM アクセスを使って行われます。評価の間、環境とのすべての通信は、EC2 インスタンスにローカルでインストールされた Amazon Inspector Classic エージェントによって開始されます。評価ターゲット、評価テンプレート、サービスによって生成される結果など、ユーザーが作成する Amazon Inspector Classic サービスオブジェクトは、Amazon Inspector Classic によって管理され、Amazon Inspector Classic のみにアクセス可能なデータベースに保存されます。

Amazon Inspector Classic エージェントの制限

Amazon Inspector Classic エージェントの制限については「Amazon Inspector Classic サービスの制限」を参照してください。