Amazon Inspector 入門

Amazon Inspectorって?

自動化されたセキュリティ評価サービス。 Amazon EC2 インスタンスのネットワークアクセスと、そのインスタンスで実行しているアプリケーションのセキュリティ状態をテストできる。

Amazon Inspector を使用すると、どのようなことができるのですか?

開発およびデプロイパイプライン全体で、または静的な本番システムに対してセキュリティ上の脆弱性の評価を自動化することができます。これにより、セキュリティテストを開発および IT オペレーションの通常の一部にすることができます。

評価結果はリストが作成される。 Amazon InspectorコンソールやAPIを介して詳細な評価レポートを入手できる。

Amazon Inspector の利点

  • 自動セキュリティチェックを通常のデプロイおよび本番プロセスに統合

フォレンジックトラブルシューティング、またはアクティブな監査目的のために AWS リソースのセキュリティを評価します。

  • アプリケーションのセキュリティ問題を発見

アプリケーションのセキュリティ評価を自動化し、脆弱性を予防的に特定しますこれにより、新しいアプリケーションの開発と反復実行を迅速に行い、ベストプラクティスやポリシーへのコンプライアンス状況を評価できます。

  • AWS リソースのより深い理解

mazon Inspector が生み出す調査結果を確認して、AWS リソースのアクティビティおよび設定データについて常に情報を入手できる。

Amazon Inspector の評価

事前に定義されたルールパッケージを使用でき、こうしたルールパッケージは一般的なセキュリティのベストプラクティスと脆弱性の定義にマッピングされています。

Amazon Inspector の評価テンプレート

評価の実行を定義するために、ユーザーは Amazon Inspector で評価テンプレートを作成する。この評価テンプレートには、以下を割り当てる。

  • 評価ターゲットを評価するためのルールパッケージ
  • 評価実行時間
    • 15 分
    • 1 時間 (推奨)
    • 8 時間
    • 12 時間
    • 24 時間
  • 評価の実行状態と結果に関する通知の送信先である Amazon SNS トピック
  • 評価の実行によって生成された結果を割り当てることができる Amazon Inspector 固有の属性 (キー/値のペア)

ルールパッケージとは何ですか?

ルールパッケージは、評価テンプレートと評価の実行の一部として構成されるセキュリティチェックのコレクションです。Amazon Inspector のルールパッケージには、Amazon EC2 インスタンスについてネットワークのアクセス可能性をチェックするネットワークの到達可能性ルールパッケージと、Amazon EC2 インスタンス脆弱性と問題のある設定をチェックするホスト評価のルールパッケージの 2 種類があります

Amazon Inspector の評価の実行とは?

評価の実行は、指定したルールパッケージを使用して評価ターゲットの構成、インストールされたソフトウェア、動作を分析し、潜在的なセキュリティ上の問題を発見するプロセスです。

Amazon Inspector の評価実行中にパフォーマンスへの影響はありますか?

ネットワークの到達可能性のルールパッケージを使用してエージェントレス型の評価を実行する場合、アプリケーションのパフォーマンスに対する影響はありません。Amazon Inspector エージェントを使用すると、評価実行時のデータ収集フェーズにおけるパフォーマンスへの影響を最小限に抑えることができます。

評価ターゲットとは?

評価対象となる Amazon EC2 インスタンスの集合。 すべてのインスタンスを評価ターゲットに含めることも、Amazon EC2 タグを使用して一部のインスタンスを指定することもできます。

評価の実行中に検出された潜在的なセキュリティ上の問題を所見と呼ぶ。 所見は Amazon Inspector コンソールに表示されるか、API を介して検索、およびセキュリティの問題の詳細な説明およびそれを修正する方法についての推奨事項の両方を含んでいます。

脆弱性の分析対象となるソフトウェア

OSのパッケージマネージャーでインストールされたソフトウェアの脆弱性を評価する。

  • 評価できる
  • 評価できない
    • make config
    • make install
    • Puppet
    • Ansible

評価について

評価の種類 ルールパッケージの種類 内容 EC2インスタンスのエージェントの有無
ネットワーク評価 ネットワークの到達可能性 EC2 インスタンスについてネットワークのアクセス可能性をチェックする 不要 (有ればより詳細な評価レポートを生成)
ホスト評価 共通脆弱性識別子、Center for Internet Security (CIS) ベンチマークAmazon Inspector のセキュリティのベストプラクティス、実行時の動作の分析 EC2 インスタンス脆弱性と問題のある設定をチェックする 必要
  • NAT を使用しているインスタンスの評価もサポートしており、ユーザーの設定は必要ない。
  • プロキシ環境はLinuxならHTTPSプロキシを、WindowsならWinHTTPプロキシがサポートされている。

エージェントの導入方法

  • マニュアルでインストール
  • AWS Systems Manager Run Command ドキュメント (AmazonInspector-ManageAWSAgent) を用いて一回きりのロード
  • EC2 User Data Function を用いて自動エージェントインストール
  • AWS Lambda を用いてエージェントの自動インストール
  • EC2 コンソールまたは AWS Marketplace から予めインストールされた Amazon Inspector エージェントと共にAmazon Linux AMI を用いて EC2 インスタンスを起動

制限

リソース デフォルトの制限
評価ターゲット 50
実行しているエージェント 500
評価点プレートの数 500
評価の実行の作成数 50,000