この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コカコーラ好きのカジです。
先日、他部署の方から相談されて、考慮漏れしていたのでブログにまとめておきます。
Amazon Inspectorはざっくり言うと自動化されたセキュリティ評価サービスです。 EC2インスタンスに対してセキュリティ評価できます。チェックできる内容は以下です。
| チェック概要 | チェック内容 | Amazon Inspector Uese Guide の参照先 |
|---|---|---|
| CVE(共通脆弱性識別子) | CVEの該当有無チェック チェック対象リスト | 共通脆弱性識別子 |
| Center for Internet Security (CIS) ベンチマーク | 弊社ブログのあなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみたと、セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編)に記載 | Center for Internet Security (CIS) ベンチマーク |
| セキュリティのベストプラクティス | SSH 経由の root ログインを無効化、SSHv2、SSH経由のパスワード認証を無効化、パスワードの有効期限を設定、パスワードの最小文字数を設定、パスワードの複雑さを設定、DEPの有効化、アドレス空間配置のランダム化(ASLR)の有無、システムディレクトリに対するアクセス権限の設定 | セキュリティのベストプラクティス |
| 実行時の動作の分析 | 安全でないクライアントプロトコル (ログイン)、安全でないクライアントプロトコル (一般)、未使用のリッスンする TCP ポート、安全でないサーバープロトコル、DEP のないソフトウェア、スタック Cookie がないソフトウェア、安全でないアクセス権限を持つ Root プロセス | 実行時の動作の分析 |
*2017/06/30現在の情報です。
チェック対象のEC2インスタンスのOSによって、「CISベンチマーク」と「セキュリティのベストプラクティス」の検査可否が変化します。 以下がその一覧となります。
| サポートされるオペレーティングシステム | 共通脆弱性識別子 | CIS ベンチマーク | セキュリティのベストプラクティス | 実行時の動作の分析 |
|---|---|---|---|---|
| Amazon Linux 2017.03 | サポート対象 | サポート対象 | サポート対象 | |
| Amazon Linux 2016.09 | サポート対象 | サポート対象 | サポート対象 | |
| Amazon Linux 2016.03 | サポート対象 | サポート対象 | サポート対象 | |
| Amazon Linux 2015.09 | サポート対象 | サポート対象 | サポート対象 | |
| Amazon Linux 2015.03 | サポート対象 | サポート対象 | サポート対象 | サポート対象 |
| Ubuntu 16.04 LTS | サポート対象 | サポート対象 | サポート対象 | |
| Ubuntu 14.04 LTS | サポート対象 | サポート対象 | サポート対象 | |
| RHEL 6.2 - 6.9 and 7.2 - 7.3 | サポート対象 | サポート対象 | サポート対象 | |
| CentOS 6.2 - 6.9 and 7.2 - 7.3 | サポート対象 | サポート対象 | サポート対象 | |
| Windows Server 2012 R2 | サポート対象 | サポート対象 | サポート対象 | |
| Windows Server 2012 | サポート対象 | サポート対象 | サポート対象 | |
| Windows Server 2008 R2 | サポート対象 | サポート対象 | サポート対象 |
*2017/06/30現在の情報です。
まあ、ここ(Rules Packages Availability Across Supported Operating Systems)ページそのまんまです。
つまり、Amazon Inspectorでセキュリティ評価する場合は、対象のOSと、 セキュリティ評価要件にマッチしているか確認しましょう。
今後、アップデートで、すべて可能になることを期待しています。また、EC2のサポートOS追加に伴い変わっていくと思います。事前に確認するようにしましょう。
どなたかのお役に立てれば光栄です。
1
