Amazon Inspector v2 で特定のEC2インスタンスを脆弱性スキャンの対象外にしてみた
はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
この記事では「Amazon Inspector v2」で特定のインスタンスを脆弱性スキャンの対象外にする方法をまとめました。
どなたかのお役に立てれば幸いです。
前提
re:Invent2021でAmazon Inspectorの後継として「Amazon Inspector v2」が発表され、それまでのAmazon Inspectorは「Amazon Inspector Classic」と呼ばれることになりました。そのため、現時点においてのAmazon Inspectorとは多くの場合「Amazon Inspector v2」のことを指しています。
今からAmazon Inspectorを導入するのであれば基本的に「Amazon Inspector v2」の使用が推奨されます。
スキャン対象の整理
まず「Amazon Inspector Classic」と「Amazon Inspector v2」で、どんなEC2インスタンスが脆弱性スキャンの対象になるかを整理します。
Amazon Inspector Classicの場合
・専用のエージェントがインストールされたEC2インスタンス
・評価ターゲットで設定したEC2インスタンス
Amazon Inspector v2の場合
・すべてのSSMエージェントがインストールされたマネージドインスタンス
上記の内容から、「特定のインスタンスだけをスキャンしたいのであれば Amazon Inspector Classic を使う方が便利なのではないか?」という疑問が生じます。
そこで、この記事では「Amazon Inspector v2では、SSMエージェントがインストールされたマネージドインスタンスのうち、特定のインスタンスをスキャン対象から除外できるのか?」について解説します。
Amazon Inspector v2 でスキャン対象を絞る方法
調べてみると、前述の「Amazon Inspector v2では、SSMエージェントがインストールされたマネージドインスタンスのうち、特定のインスタンスをスキャン対象から除外できるのか?」という疑問についての回答は「できる」でした。
公式ドキュメントのAmazon Inspector のよくある質問で以下の記載がありました。
Q: Can I exclude my resources from being scanned?
Q: リソースをスキャンから除外できますか?Yes, an EC2 instance can be excluded from scanning by adding a resource tag. You can use the key ‘InspectorEc2Exclusion’, and value is <optional> .
はい。リソースタグを追加することで EC2 インスタンスをスキャンから除外できます。「InspectorEc2Exclusion」キーを使用できます。値は <optional> です。
EC2インスタンスのタグでKey:InspectorEc2Exclusion
Value:任意の値
を指定することで、Amazon Inspector v2のスキャン対象から除外されるようです。
やってみた
まずはマネージドなEC2インスタンスを作成し、Amazon Inspector v2が脆弱性をスキャンしている状態にします。
今回はinspector-test-windows-ec2
という名前のWindowsのEC2インスタンスを作成しました。
詳しい手順についてはこちらのブログを参照ください。(本題と離れるため本記事では割愛します)
Amazon Inspector のコンソールから「インスタンス」をクリックし、EC2インスタンスに対する脆弱性検出の状態を確認します。
先ほど作成したEC2インスタンスのステータスが、「アクティブにモニタリング中」であることを確認します。
ここまでで現在Amazon Inspector v2がEC2インスタンスinspector-test-windows-ec2
に対して、脆弱性を検出していることがわかりました。
以降ではこのEC2インスタンスを脆弱性検出の対象から除外していきます。
先ほどの画面から検出の対象外にしたいEC2インスタンスをクリックします。
メニューから「タブ」をクリックします。
「新規タブを追加」をクリックします。
キーにInspectorEc2Exclusion
値に任意の値(今回は"Yes")
を入力して「保存」をクリックします。
Amazon Inspector のコンソールに戻り、EC2インスタンスのステータスを確認すると「タグで除外済み」となっていました。
検出結果を確認すると「検出結果なし」となっていました。
以上で特定のインスタンスをAmazon Inspector v2の検出対象外にできました!
タグ1つで対象から除外できるので便利ですね。
最後に
この記事では「Amazon Inspector v2」で特定のインスタンスを脆弱性スキャンの対象外にする方法をまとめてみました。開発環境などで脆弱性検知の対象から除外したい場合などに役にたつと感じました。
また、「Amazon Inspector Classic」と「Amazon Inspector v2」の比較において、「検出対象のEC2インスタンスの絞りやすさ」の観点でも「Amazon Inspector v2」に軍配が上がりそうです。
両者の違いの詳細について気になる方はこちらの記事を参照ください。
この記事がどなたかのお役に立てれば幸いです。