AWS Inspectorで脆弱性を検知させる

Inspector

はじめに

先月正式リリースされたAWS Inspector。皆さん使ってみましたでしょうか?EC2にAgentを入れておくだけで、ルールに基づいてセキュリティ評価を行ってくれる便利サービスです。全てのEC2にデフォルトで導入しちゃっても良いくらいのサービスだと思います。

今回は実際に脆弱性を内包したEC2を構築し、AWS Inspectorで脆弱性を検知させてみました。

やってみた

EC2を構築する

AWS Inspectorの検査対象となるのは以下のリージョンのEC2です。

  • US West (Oregon)
  • US East (N. Virginia)
  • EU (Ireland)
  • Asia Pacific (Tokyo)

検査対象として対応しているOSは以下の通りです。

  • Amazon Linux (2015.03 or later)
  • Ubuntu (14.04 LTS)
  • Red Hat Enterprise Linux (7.2)
  • CentOS (7.2)
  • Windows Server 2008 R2 and Windows Server 2012

今回はオレゴンリージョンで、OSはUbuntu 14.04 LTSを使用しました。

EC2_Management_Console 2

AWS Inspectorの検査対象はタグによって判別させます。今回はInspector=Trueというタグを付与しました。

EC2_Management_Console

対象EC2にAmazon Inspector エージェントをインストールします。インストールスクリプトを取得し実行します。

$ curl -O https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install
$ sudo bash install

インストールすると、以下のようにAmazon Inspector エージェントが起動しています。

$ ps aux | grep inspector
root      1464  0.0  0.9 323372  9276 ?        Sl   03:40   0:00 /opt/aws/inspector/bin/inspector

次に脆弱性の内包です。AWS InspectorのQuickstartにある通り、CVE-2014-1424を内包した古いバージョンのAppArmorパッケージをインストールします。

$ sudo apt-get install apparmor=2.8.95~2430-0ubuntu5

これでEC2側の準備は完了です。

AWS Inspectorの設定

AWS Inspector管理画面から[Get started]ボタンをクリックします。

Amazon_Inspector

[Prerequisites]画面に遷移します。まずはIAM Roleの設定が必要なので、[Choose or create role]ボタンをクリックします。

Amazon_Inspector 2

IAM Roleを新規に作成します。デフォルトのまま特に変更せず、[Allow]ボタンをクリックします。

IAM_Management_Console

[Prerequisites]画面に戻りますので、[Next]ボタンをクリックします。

Amazon_Inspector 3

[Define an assessment target]画面に遷移します。[Name]欄に適当な名前を設定し、[Tags]に検査対象となるEC2に設定したタグ(Inspector=True)を入力します。[Next]ボタンをクリックします。

Amazon_Inspector 4

[Define an assessment template]画面に遷移します。[Name]欄に適当な名前を設定し、[Rules packages]を選択します。今回は[Common Vulnerabilities and Exposures-1.1]を選択します。

Amazon_Inspector 5

[Rules packages]が設定されました。評価を実行する時間を指定する[Duration]は[1 hour]にします。[Next]ボタンをクリックします。

Amazon_Inspector 6

[Review]画面になりますので、問題なければ[Create]ボタンをクリックします。

Amazon_Inspector 7

これで設定は終わりです。

AWS Inspectorの検査を実行する。

AWS Inspectorの画面で作成したAssessment Templateをクリックして選択し、[Run]ボタンをクリックします。

Amazon_Inspector 8

すると[Status]が[Collecting data]に変わります。

Amazon_Inspector 9

1時間待ちます。[Status]が[Analysis complete]に変わります。[Findings]を見ると45個の脆弱性が見つかったようです。45という数字をクリックします。

Amazon_Inspector 10

実際に見つかった脆弱性が一覧で表示されます。

Amazon_Inspector 11

脆弱性の詳細は以下のように表示されます。For more informationとして詳細情報のリンクまであるのが素晴らしいですね。

Amazon_Inspector 12

これでAWS上の情報システムの脆弱性をばっちり検査できますね!

さいごに

セキュリティスキャナーが簡単に導入できるのは本当にすごいことだと思います。ぜひ皆さんも使ってみてください!