Inspector v2はSystems ManagerのVPCエンドポイントを使ってプライベートに設置したEC2のスキャンができる

2022.06.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは。大阪オフィスの林です。

Amazon Inspector v2は、従来のAmazon Inspector(Classic)の新バージョンとして大幅に機能が改善(変更)/追加されたことでご存じの方も多いかもしれません。
その機能改善(変更)の1つに、EC2内のスキャンを行うエージェントに変更がありました。

  • Amazon Inspector(Classic)※従来
    • Inspector個別のエージェントでスキャン
  • Amazon Inspector v2
    • SSMエージェンでスキャン

そのほかの変更点など概要は下記のエントリを参照頂ければと思います。

SSMエージェントでスキャンを行うということはSystems Managerの管理インスタンスになっていれば、プライベートに設置したサーバからもVPCエンドポイント経由でInspector v2のスキャンを行えるのではないか???と思いましたので検証してみたいと思います。

やってみた

結論

Systems Managerの管理インスタンスになっていれば、プライベートに設置したサーバからもVPCエンドポイント経由でInspector v2のスキャンを行える。(よくある質問にも載ってました。。。)

Q: Amazon Inspector を VPC エンドポイントとしてセットアップして、プライベート Amazon EC2 インスタンスをスキャンできますか?

はい。Amazon Inspector は、Amazon SSM Agent を使用してアプリケーションインベントリを収集します。これは、インターネットを介した情報の送信を回避するために、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントとして設定できます。

VPCエンドポイントの設定

Inspector v2のスキャンを行うための個別/専用の設定は不要です。
プライベートに設置したEC2インスタンスをマネージドインスタンスとして管理する為、下記のVPCエンドポイントを作成します。

  • com.amazonaws.ap-northeast-1.ssm
  • com.amazonaws.ap-northeast-1.ssmmessages
  • com.amazonaws.ap-northeast-1.ec2messages

VPCエンドポイントの設定手順は公式のものを参考にして頂ければと思います。

セッションマネージャーで接続したり、Systems Managerのダッシュボードからマネージドインスタンスになっていることを確認します。

Inspector v2のダッシュボードを確認すると、プライベートに設置したEC2インスタンスがちゃんとスキャンされていました。

(ちなみに)Inspector v2のエンドポイントだけ使ってみる

Inspector v2にはエンドポイント(com.amazonaws.ap-northeast-1.inspector2)が用意されています。
出来ないと分かりつつも、Inspector v2のエンドポイントだけ使って、プライベートに設置したEC2インスタンスをスキャンしたときの挙動を見ていきます。

ご覧の通りInspector v2のエンドポイント(com.amazonaws.ap-northeast-1.inspector2)だけではスキャンが出来ませんのでご注意ください。

まとめ

Inspector Classic(従来)ではプライベートに設置したEC2のスキャンを行う場合、個別にInspectorのサービスエンドポイントに紐付いたグローバルIPアドレス宛の通信/ルーティングが必要でした。
Inspector v2ではスキャンにSSMエージェントを使っているため、VPCエンドポイント経由でInspectorのサービスエンドポイントに接続できる点は非常に良い仕様だなと思いました。
ただし、現状Windows Server OSに対応していなかったりとInspector Classic(従来)でサポートしているOSに違いもありますのでこの辺りもご留意頂ければと思います。

以上、大阪オフィスの林がお送りしました!