この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、コカコーラが大好きなカジです。
はじめに
本日、Inspectorが正式リリースされました。
早速、ドキュメントをざっくり見て、プレビュー時との違いについて調べてみました。
Amazon Inspectorとは
そもそも、Inspectorとは何か?という方は以下をプレビュー時の以下のブログをご参照ください。
プレビュー時との違い
利用可能なリージョン
プレビュー時はオレゴンだけでしたが、4つに増えました。東京リージョンで使えます。
- US West (Oregon)
- US East (N. Virginia)
- EU (Ireland)
- Asia Pacific (Tokyo)
対応OS
プレビュー時はAmazon Linuxと、Ubuntuのみでしたが、Redhat、CentOS、Windowsが加わってます。
- Amazon Linux (2015.03 or later)
- Ubuntu (14.04 LTS or later)
- Red Hat Enterprise Linux (7.2 or later)
- CentOS (7.2 or later)
- Windows Server 2008 R2 and Windows Server 2012
チェック内容
プレビューから表記に複数あった項目が、「CIS Operating System Security Configuration Benchmarks」にまとめられているようです。 詳細まで確認できていませんが概要としては以下となります。
| チェック概要 | チェック内容 | Amazon Inspector User Guideの参照先 |
|---|---|---|
| CVE | CVEの該当有無チェック チェック対象リスト | Common Vulnerabilities and Exposures |
| セキュリティベストプラクティス | sshによるダイレクトrootログインの有無、SSHv1の有無チェック、SSHのパスワード認証有無(有効期限・文字数制限・複雑度)、DEPの有効化、アドレス空間配置のランダム化(ASLR)の有無、システムディレクトリでのroot以外のユーザ書き込み権限有無 | Security Best Practices |
| CIS Operating System Security Configuration Benchmarks | 弊社ブログのあなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみたと、セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編)に記載 | CIS Operating System Security Configuration Benchmarks |
| ランタイム動作解析 | 安全でないクライアントプロトコル(ログイン)、安全でないクライアントプロトコル(一般)の有無、未使用Listen TCP Portの有無、安全ではないサーバプロトコル、DEPのサポート有無プロセスチェック、Stack cookiesのサポート有無チェック、権限のないユーザーによる高特権のモジュールロードの可否 | Runtime Behavior Analysis |
CVEの説明は、Linuxで脆弱性が見つかった場合の対応方法 まとめに記載がありますので、読んでみましょう。
CIS Operating System Security Configuration Benchmarksの説明は、あなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみたと、セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編)に記載がありますので、読んでみましょう。
Amazon Inspector使い方
ドキュメントをざっくり読んだところ、プレビュー時と利用方法に大きな変更はなさそうです。
- Amazon Inspector AgentをEC2へインストール
- チェック対象のEC2インスタンスへTagを設定(アプリケーション指定)
- Amazon Inspectorのアプリケーション(Tag)と監査内容を設定
詳細は Amazon Inspector プレビューを試してみた
最後に
今後は、チェック内容の確認とAmazon LinuxとUbuntuでテストしていましたが、対応OSが増えたので試してみたいと思います。
1
