Amazon InspectorがWindowsサーバに対してGAになりました

はじめに

こんにちは、中山です。

米国時間2016年8月26日にAmazon InspectorがWindowsサーバに対してGAになりました。GAとなったWindowsサーバの種類は以下の3つです。

• 2008 R2
• 2012
• 2012 R2

Amazon Inspectorの対応状況

改めてAmazon Inspectorの対応状況を整理しておきます。現時点では以下のリージョン、OSで利用可能です。以下のドキュメントから引用しています。

• Supported Operating Systems for the AWS Agent

リージョン	コード
US West (Oregon)	us-west-2
US East (N. Virginia)	us-west-1
EU (Ireland)	eu-west-1
Asia Pacific (Seoul)	ap-northeast-2
Asia Pacific (Mumbai)	ap-south-1
Asia Pacific (Tokyo)	ap-northeast-1
Asia Pacific (Sydney)	ap-southeast-1

| OSまたはディストリビューション | バージョン | |--------------------------------|------------------------------| | Amazon Linux | 2015.03 or later | | Ubuntu | 14.04 LTS | | Red Hat Enterprise Linux | 7.2 | | CentOS | 7.2 | | Windows Server | 2008 R2 2012 2012 R2 |

また、Linuxのみカーネルのバージョンによって対応状況が異なります。サポートしているカーネルの一覧はこちらのJSONファイルを参照してください。Windowsはカーネルによる違いはないようです。

ルールパッケージの対応状況

現時点でのWindowsサーバに対するルールパッケージの対応状況は以下のとおりです。

ルールパッケージ名	Windowsの対応状況
CVE	対応済み
CIS	対応済み
Security Best Practices	未対応
Runtime Behavior Analysis	一部のみ対応

今回のアップデートで対応したと思われますが、以前(2016年6月頃)対応していなかったCISに対応しています。対応したルールは以下のとおりです。こちらのドキュメントより引用します。

• Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
• Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
• Windows Server 2012 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
• Windows Server 2012 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
• Windows Server 2008 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
• Windows Server 2008 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)

分析結果

今回は2012 R2日本語版(東京リージョンでは ami-0f19db6e )に対してInspectorを実行してみました。設定方法は以下のエントリそのままです。

• Amazon InspectorでWindowsの脆弱性を検知させてみた

現時点でInspectorから提供されている以下の全てのルールパッケージを適用させてみました。

• CIS Operating System Security Configuration Benchmarks-1.0
• Common Vulnerabilities and Exposures-1.1
• Security Best Practices-1.0
• Runtime Behavior Analysis-1.0

結果は以下のとおりです。CISに対応していることが確認できます(長過ぎるので省略してます)。

"High","Instance i-d5c4da5a is not compliant with rule 2.2.38 L1 Ensure Shut down the system is set to Administrators, 2.2.0 CIS Microsoft Windows Server 2012 R2 Benchmark.

エージェントのステータス

最後に AWSAgentStatus.exe の実行結果を貼っておきます。エージェントのバージョンが 1.0.0.47 になっていることが確認できます。

PS C:\Program Files\Amazon Web Services\AWS Agent> .\AWSAgentStatus.exe
Configuration file path : C:\ProgramData\Amazon Web Services\AWS Agent\agent.cfg
Configuration status :
Agent version : 1.0.0.47
System release : Windows Server 2012 R2 x64 - 6.2.9200
Daemon : true
Max queue size : 31457280
Log File :
Msgs log max size : 33554432
CodeModules : true
InstanceMetaData : true
PackageInfo : true
NetworkInterfaces : true
Groups : true
Users : true
Terminals : true
ConfigurationInfo : true
        GlobalFile:/etc/bash.bashrc
        GlobalFile:/etc/bashrc
        GlobalFile:/etc/login.defs
        GlobalFile:/etc/pam.conf
        GlobalFile:/etc/pam.d/*
        GlobalFile:/etc/profile
        GlobalFile:/etc/samba/smb.conf
        GlobalFile:/etc/ssh/sshd_config
        GlobalFile:/etc/sysctl.conf
        PerUserFile:.bash_login
        PerUserFile:.bash_profile
        PerUserFile:.bashrc
Permissions : true
        GlobalDir:/bin
        GlobalDir:/etc
        GlobalDir:/lib
        GlobalDir:/lib64
        GlobalDir:/root
        GlobalDir:/sbin
        GlobalDir:/usr/bin
        GlobalDir:/usr/lib
        GlobalDir:/usr/lib64
        GlobalDir:/usr/local/bin
        GlobalDir:/usr/local/lib
        GlobalDir:/usr/local/lib64
        GlobalDir:/usr/local/sbin
        GlobalDir:/usr/sbin
KernelModules : true
Oval : true
PasswordPolicy : false
System performance : true
System performance update frequency : 1
System performance send frequency : 30
Process performance : true
Process performance update frequency : 1
Process performance send frequency : 30
Kernel module status : 0
Network connections : true
Listening ports : true
Code modules : true
Processes : true
Publisher type : Service
Registered : true
Endpoint :
Instance-Id : i-d5c4da5a
Region : ap-northeast-1
IpAddress : 172.16.1.229
MacAddress : 0a:0e:c3:03:71:ad
IpAddress : fe80::284f:589b:f0fd:294a
MacAddress : 0a:0e:c3:03:71:ad
IpAddress : fe80::5efe:172.16.1.229
MacAddress : 00:00:00:00:00:00
IpAddress : 127.0.0.1
MacAddress : 00:00:00:00:00:00
IpAddress : ::1
MacAddress : 00:00:00:00:00:00
IpAddress : 2001:0:5ef5:79fd:38af:3fac:53ef:fe1a
MacAddress : 00:00:00:00:00:00
IpAddress : fe80::38af:3fac:53ef:fe1a
MacAddress : 00:00:00:00:00:00
Total events published : 3083
Events published in last call : 16
AgentId : i-d5c4da5a
Collecting : true
Last registration attempt date : Sat 2016-08-27 04:06:46 協定世界時
Last registration date : Sat 2016-08-27 04:06:46 協定世界時
Last config retrieval attempt date : Sat 2016-08-27 04:30:06 協定世界時
Last config retrieval date : Sat 2016-08-27 04:30:06 協定世界時
Last event publishing attempt date : Sat 2016-08-27 04:30:09 協定世界時
Last event publishing date : Sat 2016-08-27 04:30:10 協定世界時

PS C:\Program Files\Amazon Web Services\AWS Agent>

まとめ

いかがだったでしょうか。

Windowsサーバをご利用されている方々にとっては朗報ですね。これを機会にご利用をご検討されてみるとよいのではないでしょうか。

本エントリがみなさんの参考になったら幸いに思います。