Amazon InspectorでLinuxインスタンスの脆弱性を確認する方法

はじめに

かつまたです。LinuxインスタンスにSSM Agentを導入し、Amazon Inspectorを有効化することでインスタンス内に潜む脆弱性を確認する手順を試してみたので、ご紹介します。

Inspector有効化

利用リージョンにおいて、Inspectorを有効化していない際は、使用にあたって、Inspectorを有効化する必要があります。
1.マネジメントコンソール上でAmazon Inspectorに移動します。

2.「Inspector をアクティブ化」を選択し、アカウントの現在のリージョン内で、Inspectorを有効化します。

EC2起動

脆弱性を検知する対象であるLinuxのEC2インスタンスを作成します。Inspectorでインスタンスの脆弱性を検知する際にはインスタンスにSSM Agentが導入されている必要がありますが、AMIによってはSSM Agentがプリインストールされているものもあり、今回はプリインストールされているAmazon Linux 2 AMIを用いてインスタンスを作成します。SSM Agent がプリインストールされている AMIの一覧はこちらをご覧ください。

1.マネジメントコンソール上のEC2ダッシュボードから「インスタンスを起動」を選択し、AMIで「Amazon Linux 2 AMI」を選択します

2.インスタンスの詳細設定は以下画像の通りに設定を行いました、セキュリティグループはSSHのインバウンドアクセスを許可しています。インスタンスを起動します。

ロール作成

EC2インスタンスがSSMサービスを使用するために必要な権限を持つロールを作成し、EC2にアタッチします。
1.「IAM」に移動し、「ロール」→「ロールを作成」を選択します。

2.「信頼されたエンティティタイプ」を「AWSのサービス」、「ユースケース」を「EC2」の「EC2 Role dor Systems Manager」と選択します。

3.許可ポリシーに「AmazonSSMManagedInstanceCore」が選択されていることを確認します。

4.ロール名を記入し、作成します。

5.インスタンスに作成したロールをアタッチします。「EC2」で先ほど作成したインスタンスを選択し、右上の「アクション」→「セキュリティ」→「IAMロールを変更」から作成したロール名を選択し、ロールを更新します。

脆弱性確認

作成したインスタンスに対するInspectorによる、脆弱性チェックの結果を確認します。
1.マネジメントコンソール上で「Inspector」→「インスタンス別」に移動します。

2.作成したインスタンスIDを選択し、検出されている脆弱性を確認できます。通常では各項目に対して必要な対策を実施します。

Inspector非有効化

Inspectorを今後利用せず、余分なコストを抑えたい際は、Inspectorの非有効化が有用です。

1.マネジメントコンソール上で「Inspector」に移動し、「全般設定」を選択します。

2.「Amazon Inspector を非アクティブ化」を選択し、Inspectorを非有効化します。

おわりに

Amazon Inspectorを使ってみて、GUIを使って数ステップで評価ターゲットを設定でき、セキュリティ評価を簡単に開始できるInspectorの設定の簡単さを実感できました。ご覧いただきありがとうございました。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。