はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
re:Invent2021で「Amazon Inspector v2」としてリニューアルされたAmazon Inspectorですが、それ以前のAmazon Inspectorは「Amazon Inspector Classic」として現在も使用可能です。
この記事では「Amazon Inspector Classic」と「Amazon Inspector v2」の違いをまとめてみました。
どなたかのお役に立てれば幸いです。
前提
前述の通りre:Invent2021で「Amazon Inspector v2」が発表され、それまでのAmazon Inspectorは「Amazon Inspector Classic」と呼ばれることになりました。
したがって、現時点においてのAmazon Inspectorとは多くの場合「Amazon Inspector v2」のことを指していることを理解しておきましょう。
両者の違い
前提として「Amazon Inspector Classic」 と 「Amazon Inspector v2」かなり差分があるので、この記事における比較はあくまでも重要な部分を比較するものであることをご理解いただければと思います。
先にまとめ
| Classic | v2 | |
|---|---|---|
| 検出対象 | EC2インスタンス | EC2 インスタンス ECRリポジトリのコンテナイメージ Lambda 関数 |
| 検出結果タイプ | 一般的な脆弱性とその危険性 ネットワーク到達可能性 セキュリティのベストプラクティス(linux) CISベンチマーク |
パッケージ脆弱性 コードの脆弱性 ネットワーク到達可能性 CISベンチマーク |
| エージェント | Amazon Inspector Classic エージェント | SSM エージェント |
| 料金体系 | 基本的に評価数によって課金 | 基本的にリソース数に応じて課金 |
| Inspector スコア | なし | あり |
検出対象のリソース
| Classic | v2 |
|---|---|
| EC2インスタンス | EC2 インスタンス ECRリポジトリのコンテナイメージ Lambda 関数 |
ClassicではEC2インスタンスのみでしたが、v2の登場以降はECRリポジトリのコンテナイメージおよびLambda 関数が検出対象になりました。
検出結果タイプ
| Classic | v2 |
|---|---|
| 一般的な脆弱性とその危険性 ネットワーク到達可能性 セキュリティのベストプラクティス(linux) CISベンチマーク |
パッケージ脆弱性 コードの脆弱性 ネットワーク到達可能性 CISベンチマーク |
v2の登場以降はLambda 関数が検出対象になったことにより、コードの脆弱性を評価してくれるようになりました。
一方でClassicでLinuxのみ評価対象だったセキュリティのベストプラクティスは、v2では評価の対象ではないようです。(Security Hubと役割が被るからでしょうか?)
インストールが必要なエージェント
| Classic | v2 |
|---|---|
| Amazon Inspector Classic エージェント | SSM エージェント |
ClassicではAmazon Inspector専用のエージェントをインストールする必要がありましたが、v2ではSSM エージェントに変更されました。
SSM エージェントはSystemsManagerの機能を使う上でも必要になるため、結果的にSSM エージェントの対応範囲が広がった形になりました。
料金体系
| Classic | v2 |
|---|---|
| 基本的に評価数によって課金 | 基本的にリソース数に応じて課金 |
Classicでは基本的にインスタンス評価数によって課金されていましたが、v2ではインスタンスごとに月額で費用がかかりす。
Classicの場合
| 月額 | インスタンス評価ごと |
|---|---|
| 最初の 250 件のインスタンス評価 | $0.15 |
| 最初の 750 件のインスタンス評価 | $0.13 |
| 最初の 4,000 件のインスタンス評価 | $0.10 |
| 最初の 45,000 件のインスタンス評価 | $0.07 |
| 他のすべてのインスタンス評価 | $0.04 |
v2の場合
「1 か月あたりにスキャンされた Amazon EC2 インスタンスの平均数」 * 1.512USD
詳しくは各料金表を参照ください。
Inspector スコア
| Classic | v2 |
|---|---|
| なし | あり |
v2からの機能でInspectorスコアというのもが実装されました。
ベンダーのスコアとAWSの環境をもとに集計してくれるようで、個別の環境に応じたスコアリングが可能になりました。
Amazon Inspector スコアは、Amazon Inspector が各 EC2 インスタンス検出結果ごとに作成される、状況に応じたスコアです。Amazon Inspector スコアは、CVSS v3.1 の基本スコア情報を、ネットワーク到達可能性の結果や悪用可能性データなど、スキャン中にコンピューティング環境から収集された情報と関連付けることによって決定されます。たとえば、脆弱性がネットワーク上で悪用可能であるのに、Amazon Inspector が脆弱なインスタンスへのオープンネットワークパスがインターネットから利用できないと判断した場合、検出結果の Amazon Inspector スコアは基本スコアよりも低くなる可能性があります。
サポートOS
Classicとv2ではサポートされているOSの種類、ディストリビューション及びバージョンが異なります。
サポートOSの種類は以下の差があり、v2ではLinuxとWinsows Serverに加えてmacOSをサポートしています。
| Classic | v2 |
|---|---|
| Linux | Linux |
| Windows Server | Windows Server |
| macOS |
サポートされているLinuxディストリビューションの種類は以下の差があり、v2の方が多くのディストリビューションをサポートしています。
| Classic | v2 |
|---|---|
| Amazon Linux | Amazon Linux |
| Ubuntu | Ubuntu |
| Debian | Debian |
| RHEL | RHEL |
| CentOS | CentOS |
| Bottlerocket | |
| Fedora | |
| openSUSE | |
| Oracle Linux | |
| Rocky Linux | |
| SUSE Linux |
サポートされているOSのバージョンもClassicとv2で差があり、基本的にはv2の方が新しいバージョンをサポートしています。
以下にWIndows Serverの例を挙げます。
| Classic | v2 |
|---|---|
| Windows Server 2008 R2 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2019 |
| Windows Server 2012 R2 | Windows Server 2022 |
| Windows Server 2016 | |
| Windows Server 2019 |
どちらを使うべきか
ここまで「Amazon Inspector Classic」と「Amazon Inspector v2」の違いについてまとめてきましたが、「結局どっちを使えば良いのか?」と疑問を持たれると思います。
これに対する回答としては、「新規でAmazon Inspectorを使用する場合は基本的にv2を使用すべき」といえます。
前述の通りAmazon Inspector v2はAmazon Inspector Classicに比べて対応範囲が広くなり、非常に使い勝手が良くなりました。反対に現在ではAmazon Inspector ClassicではできたけどAmazon Inspector v2ではできないことはほとんどありません。
したがって、新規でAmazon Inspectorを利用する場合はAmazon Inspector v2を使用することをお勧めします。
Classicからv2へ移行すべきか
現在Amazon Inspector Classicを使っているがAmazon Inspector v2に切り替えるべきかという疑問も湧くはずです。
これに対する回答としては、「急務ではないが長期的にみてv2に移行した方が良い」といえます。
Amazon Inspector v2の登場でかなり便利にはなったものの、Amazon Inspector Classicが利用できなくなったわけではないので、Amazon Inspector Classicを利用している方は引き続き利用可能です。そのため、急いでAmazon Inspector v2に移行する必要があるわけではありません。
しかしながら、将来的にECRやLambdaを利用する可能性や、Amazon Inspector v2のアップデートでより使い勝手が良くなる可能性を考えると、可能であればAmazon Inspector v2に移行すべきだと思います。
最後に
この記事では「Amazon Inspector Classic」と「Amazon Inspector v2」の違いについてまとめてみましたが、個人的には必要なエージェントがSSMエージェントになったことが一番のメリットだと感じます。
この記事がどなたかのお役に立てれば幸いです。
1
