Avviso di fine del supporto: il 20 maggio 2026, AWS terminerà il supporto per Amazon Inspector Classic. Dopo il 20 maggio 2026, non potrai più accedere alla console Amazon Inspector Classic o alle risorse di Amazon Inspector Classic. Amazon Inspector Classic non è più disponibile per i nuovi account e per gli account che non hanno completato una valutazione negli ultimi 6 mesi. Per tutti gli altri account, l'accesso rimarrà valido fino al 20 maggio 2026, dopodiché non potrai più accedere alla console Amazon Inspector Classic o alle risorse Amazon Inspector Classic. Per ulteriori informazioni, consulta la fine del supporto di Amazon Inspector Classic.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Agenti di Amazon Inspector Classic

L'agente Amazon Inspector Classic è un'entità che raccoglie informazioni sui pacchetti installati e sulla configurazione software per un'istanza Amazon. EC2 Sebbene non sia necessario in tutti i casi, è necessario installare l'agente Amazon Inspector Classic su ciascuna delle EC2 istanze Amazon di destinazione per valutarne appieno la sicurezza.

Per ulteriori informazioni su come installare, disinstallare e reinstallare l'agente, su come verificare se l'agente installato è in esecuzione e su come configurare il supporto proxy per l'agente, consulta Utilizzo degli agenti Amazon Inspector Classic su sistemi operativi basati su Linux e Utilizzo degli agenti Amazon Inspector Classic su sistemi operativi basati su Windows.

Privilegi di agente Amazon Inspector Classic

È necessario disporre delle autorizzazioni amministrative o di root per installare l'agente Amazon Inspector Classic. Nei sistemi operativi supportati basati su Linux, l'agente è costituito da un eseguibile in modalità utente eseguito con accesso root. Nei sistemi operativi basati su Windows supportati, l'agente è costituito da un servizio di aggiornamento e da un servizio agente eseguiti in modalità utente con privilegi LocalSystem.

Sicurezza della rete e degli agenti Amazon Inspector Classic

L'agente Amazon Inspector Classic avvia tutte le comunicazioni con il servizio Amazon Inspector Classic. Ciò significa che l'agente deve disporre di un percorso di rete in uscita verso un endpoint pubblico per poter inviare dati di telemetria. Ad esempio, l'agente potrebbe connettersi aarsenal.<region>.amazonaws.com, o l'endpoint potrebbe essere un bucket Amazon S3 in. s3.dualstack.<region>.amazonaws.com Assicurati di sostituirlo <region> con la AWS regione effettiva in cui utilizzi Amazon Inspector Classic. Per ulteriori informazioni, consulta l'articolo sugli intervalli di indirizzi IP AWS. Poiché tutte le connessioni dall'agente vengono stabilite in uscita, non è necessario aprire le porte dei gruppi di sicurezza per consentire le comunicazioni in entrata verso l'agente da Amazon Inspector Classic.

L'agente comunica periodicamente con Amazon Inspector Classic tramite un canale protetto da TLS, che viene autenticato utilizzando l'identità associata al ruolo AWS dell'istanza o, se non viene assegnato alcun ruolo, con EC2 il documento di metadati dell'istanza. Una volta autenticato, l'agente invia messaggi di heartbeat al servizio e riceve istruzioni dal servizio in risposta. Se una valutazione è stata pianificata, l'agente riceve le istruzioni per tale valutazione. Queste istruzioni sono file JSON strutturati e indicano all'agente di abilitare o disabilitare specifici sensori preconfigurati nell'agente. Ogni azione di istruzione è predefinita all'interno dell'agente. Non è possibile eseguire istruzioni arbitrarie.

Durante una valutazione, l'agente raccoglie i dati di telemetria dal sistema per inviarli ad Amazon Inspector Classic tramite un canale protetto da TLS. L'agente non modifica il sistema da cui raccoglie dati. Dopo aver raccolto i dati di telemetria, l'agente li invia nuovamente ad Amazon Inspector Classic per l'elaborazione. Oltre ai dati di telemetria generati, l'agente non è in grado di raccogliere o trasmettere altri dati relativi al sistema o ai target di valutazione. Al momento, non è disponibile alcun metodo esposto per l'intercettazione e l'analisi dei dati di telemetria a livello di agente.

Aggiornamenti degli agenti Amazon Inspector Classic

Man mano che gli aggiornamenti per l'agente Amazon Inspector Classic diventano disponibili, vengono scaricati automaticamente da Amazon S3 e applicati. Questa operazione aggiorna anche qualsiasi eventuale dipendenza obbligatoria. La funzionalità di aggiornamento automatico elimina la necessità di monitorare e gestire manualmente il controllo delle versioni degli agenti installati EC2 sulle istanze. Tutti gli aggiornamenti sono soggetti a processi Amazon di controllo delle modifiche per garantire la conformità con gli standard di sicurezza applicabili.

Per garantire la sicurezza dell'agente, tutte le comunicazioni tra l'agente e il sito di rilascio degli aggiornamenti automatici (S3) vengono eseguite tramite una connessione TLS e dopo l'autenticazione del server. Tutti i file binari coinvolti nel processo di aggiornamento automatico sono associati a una firma digitale e le firme vengono verificate dal servizio di aggiornamento prima dell'installazione. Il processo di aggiornamento automatico viene eseguito solo durante i periodi non di valutazione. Se vengono rilevati errori, il processo di aggiornamento può eseguire il rollback e un nuovo tentativo di aggiornamento. Infine, il processo di aggiornamento dell'agente si limita ad aggiornare le funzionalità dell'agente. Nessuna delle tue informazioni specifiche viene mai inviata dall'agente ad Amazon Inspector Classic come parte del flusso di lavoro di aggiornamento. Le uniche informazioni inviate durante il processo di aggiornamento sono i dati di telemetria di base relativi alla riuscita o meno dell'installazione e, se applicabile, qualsiasi informazione sulla diagnostica degli errori di aggiornamento.

Ciclo di vita dei dati telemetrici

I dati di telemetria generati dall'agente Amazon Inspector Classic durante le esecuzioni di valutazione sono formattati in file JSON. I file vengono near-real-time consegnati tramite TLS ad Amazon Inspector Classic, dove vengono crittografati con per-assessment-run una chiave temporanea derivata da KMS. I file vengono archiviati in modo sicuro in un bucket Amazon S3 dedicato ad Amazon Inspector Classic. Il motore di regole di Amazon Inspector Classic accede ai dati di telemetria crittografati nel bucket S3, li decrittografa in memoria ed elabora i dati in base alle regole di valutazione configurate per generare risultati. I dati di telemetria archiviati in S3 vengono conservati solo con finalità di assistenza per le richieste di supporto. Non vengono usati né aggregati da Amazon per altri scopi. Dopo 30 giorni, i dati di telemetria vengono eliminati definitivamente in base a una politica standard sul ciclo di vita dei bucket S3 per i dati di Amazon Inspector Classic. Attualmente, Amazon Inspector Classic non fornisce un'API o un meccanismo di accesso ai bucket S3 per la telemetria raccolta.

Controllo degli accessi da Amazon Inspector Classic agli account AWS

Come servizio di sicurezza, Amazon Inspector Classic accede ai tuoi AWS account e alle tue risorse solo quando deve trovare EC2 istanze da valutare tramite query per i tag. Ciò avviene tramite l'accesso IAM standard tramite il ruolo creato durante la configurazione iniziale del servizio Amazon Inspector Classic. Durante una valutazione, tutte le comunicazioni con l'ambiente vengono avviate dall'agente Amazon Inspector Classic installato localmente EC2 sulle istanze. Gli oggetti di servizio Amazon Inspector Classic che vengono creati, come obiettivi di valutazione, modelli di valutazione e risultati generati dal servizio, vengono archiviati in un database gestito e accessibile solo da Amazon Inspector Classic.

Limiti per gli agenti di Amazon Inspector Classic

Per informazioni sui limiti degli agenti di Amazon Inspector Classic, consulta. Limiti del servizio Amazon Inspector Classic