這是 Amazon Inspector 經典的用戶指南。如需有關新 Amazon Inspector 查器的資訊,請參閱 Amazon Inspector 使用者指南。若要存取 Amazon Inspector 經典主控台,請在 https://console.aws.amazon.com/inspector/
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 經典代理
Amazon Inspector 經典代理程式是收集 Amazon EC2 執行個體的已安裝套件資訊和軟體組態的實體。雖然在所有情況下都不需要,但您應該在每個目標 Amazon EC2 執行個體上安裝 Amazon Inspector 經典代理程式,以便完全評估其安全性。
如需進一步了解如何安裝、解除安裝、重新安裝代理程式、確認已安裝代理程式是否運作,以及設定代理程式的 Proxy 支援,請參閱在 Linux 作業系統上使用 Amazon Inspector 經典代理程式 和 在基於 Windows 的操作系統上使用 Amazon Inspector 經典代理。
注意
執行網路連線規則套件不需要 Amazon Inspector 經典代理程式。
重要
Amazon Inspector 經典代理程式仰賴 Amazon EC2 執行個體中繼資料才能正常運作。它使用執行個體中繼資料服務 (IMDSv1 或 IMDSv2) 的第 1 版或第 2 版存取執行個體中繼資料。請參閱執行個體中繼資料和使用者資料,以進一步了解 EC2 執行個體中繼資料和存取方法。
主題
- Amazon Inspector 經典代理特權
- 網路和 Amazon Inspector 經典代理程式
- Amazon Inspector 經典代理更新
- 遙測資料生命週期
- 從 Amazon Inspector 經典到 AWS 帳戶的訪問控制
- Amazon Inspector 經典代理限制
- 安裝 Amazon Inspector 經典代理
- 在 Linux 作業系統上使用 Amazon Inspector 經典代理程式
- 在基於 Windows 的操作系統上使用 Amazon Inspector 經典代理
- (選擇性) 確認 Linux 作業系統上 Amazon Inspector 典型代理程式安裝指令碼的簽章
- (選擇性) 驗證 Windows 作業系統上 Amazon Inspector 典型代理程式安裝指令碼的簽章
Amazon Inspector 經典代理特權
您必須具有管理許可或根許可,才能安裝 Amazon Inspector 經典代理程式。在支援的 Linux 作業系統上,代理程式是由以根存取權執行的使用者模式執行檔所組成。在支援的 Windows 作業系統上,代理程式是由更新程式服務和代理程式服務所組成,兩者都在使用者模式中以 LocalSystem 許可執行。
網路和 Amazon Inspector 經典代理程式
Amazon Inspector 經典代理啟動與 Amazon Inspector 經典服務的所有通信。這表示代理程式必須有前往公有端點的對外網路路徑,才能傳送遙測資料。例如,代理程式可能會連線到arsenal.<region>.amazonaws.com,或端點可能是位於的 Amazon S3 儲存貯體s3.dualstack.<region>.amazonaws.com。確保更換<region>為您正在運行 Amazon Inspector 經典的實際 AWS 區域。如需更多資訊,請參閱 AWS IP Address Ranges (AWS IP 位址範圍)。由於來自代理程式的所有連線都是輸出建立的,因此您不需要開啟安全群組中的連接埠,以允許從 Amazon Inspector Classic 與代理程式進行輸入通訊。
代理程式會定期透過受 TLS 保護的通道與 Amazon Inspector Classic 通訊,該通道會使用與 EC2 執行個體角色相關聯的 AWS 身分進行驗證,或者如果未指派角色,則使用執行個體的中繼資料文件進行驗證。經過驗證後,代理程式會傳送心跳訊號訊息給服務,並接收服務回應傳回的指示。若已排程評估,代理程式會接收該評估的指示。這些指示為結構化 JSON 檔案,可告知代理程式啟用或停用代理程式中預先設定的特定感應器。代理程式內已預先定義每個指示動作。無法執行任意指示。
在評估期間,代理程式會從系統收集遙測資料,以便透過受 TLS 保護的通道傳送回 Amazon Inspector 經典版。代理程式不會變更其從中收集資料的系統。代理程式收集遙測資料之後,會將資料傳回 Amazon Inspector 傳統版進行處理。除了代理程式產生的遙測資料之外,代理程式無法收集或傳輸系統或評估目標相關的其他任何資料。目前,沒有公開任何方法可攔截或檢查代理程式上的遙測資料。
Amazon Inspector 經典代理更新
當 Amazon Inspector 經典代理程式的更新可供使用時,系統會自動從 Amazon S3 下載並套用這些更新。這樣也會更新任何必要的相依性。自動更新功能讓您無需追蹤和手動維護已安裝在 EC2 執行個體上的代理程式版本控制。所有更新均依循經審核的 Amazon 變更控制流程,以確保符合其適用之安全標準的規範。
為了進一步確保代理程式的安全性,代理程式與自動更新發佈網站 (S3) 之間的通訊是透過 TLS 連線執行,且伺服器會經過驗證。所有涉及自動更新流程的二進位檔案會經過數位簽署,且在安裝之前會由更新程式驗證簽章。自動更新程序只會在非評估期間執行。如果偵測到任何錯誤,更新程序可以轉返和重試更新。最後,代理程式更新程序僅支援升級代理程式功能。您的任何特定資訊都不會從代理程式傳送至 Amazon Inspector 傳統版,做為更新工作流程的一部分。在更新過程中傳輸的資訊只有基本安裝成功或失敗遙測資料,以及 (如適用) 任何更新失敗診斷資訊。
遙測資料生命週期
Amazon Inspector 典型代理程式在評估執行期間產生的遙測資料會格式化為 JSON 檔案。這些檔案會透 near-real-time 過 TLS 傳送至 Amazon Inspector 經典版,在那裡使用暫時性 KMS 衍生的金鑰加密。 per-assessment-run這些文件安全地存儲在 Amazon S3 存儲桶中,這是專用於 Amazon Inspector 經典。Amazon Inspector Classic 的規則引擎會存取 S3 儲存貯體中的加密遙測資料、在記憶體中將其解密,然後根據設定的評估規則處理資料以產生發現項目。保留 S3 中存放的遙測資料只是以防需要透過支援請求取得協助。Amazon 不會在任何其他用途上使用或彙總之。30 天後,遙測資料會根據 Amazon Inspector 經典資料的標準 S3 儲存貯體生命週期政策永久刪除。目前,Amazon Inspector 經典版不提供 API 或 S3 儲存貯體存取機制來收集的遙測。
從 Amazon Inspector 經典到 AWS 帳戶的訪問控制
作為一項安全服務,Amazon Inspector 經典版只有在需要尋找要評估的 EC2 執行個體時,才會存取您的 AWS 帳戶和資源,以查詢標籤。它透過 Amazon Inspector 經典服務初始設定期間建立的角色,透過標準 IAM 存取來執行此作業。在評估期間,所有與環境的通訊都是由安裝在 EC2 執行個體本機的 Amazon Inspector 傳統代理程式啟動。所建立的 Amazon Inspector 經典服務物件 (例如評估目標、評估範本和服務產生的發現項目) 會儲存在由 Amazon Inspector 經典版管理的資料庫中,且只能由 Amazon Inspector 經典版存取。
Amazon Inspector 經典代理限制
如需 Amazon Inspector 典型代理程式限制的資訊,請參閱Amazon Inspector 經典服務限制。
