AWS再入門ブログリレー Amazon Inspector編

当エントリは弊社コンサルティング部による『AWS 再入門ブログリレー 2020』の 1日目のエントリです。1日目のテーマはAmazon Inspectorです。
2020.08.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラが大好きなカジです。

当エントリは弊社コンサルティング部による『AWS 再入門ブログリレー 2020』の 1日目のエントリです。

このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。

AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでにAWSを活用されている方にとっても AWSサービスの再発見や2020 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。

では、さっそくいってみましょう。1日目のテーマはAmazon Inspectorです。

目次

Amazon Inspectorとは?

EC2インスタンスにAmazon Inspector エージェントをインストールして、ネットワーク到達性や、プラットフォームの脆弱性を診断し、潜在的なセキュリティ上の問題を発見するためのものです。 Inspectorは脆弱性の棚卸しで利用するサービスとなります。

AWSセキュリティ対策の概要図(私個人の主観)

セキュリティ診断や、脆弱性アセスメント(診断)とも言われており、機械的にチェックするものとなります。 同じような用途として、以下のソフトウェアや、サービスがあり、ご存知の方はイメージしやすいかもしれません。

メリット

  • EC2インスタンス上にてAWSのセキュリティルールと照らし合わせたセキュリティ評価
  • セキュリティ評価が自動化できるため、開発中や本番環境にて定期的にセキュリティチェック可能
  • APIで制御可能なので、開発環境のデプロイ処理に組み込んでチェックも可能
  • ライセンス費用も無く、料金が安く利用開始しやすい

導入の流れ

セットアップに時間がかからず、APIとConsoleで操作可能。セットアップは以下の流れです。

  • 対象となる EC2 インスタンスにエージェントをインストールする
  • 対象となる EC2 インスタンスにタグを付ける
  • Amazon Inspector が自分のアカウントにアクセスできるようにする
  • 評価ターゲットの定義
  • 評価テンプレートの定義
  • SNS トピックの準備と指定(通知したい場合にお好みで)

料金

無料トライアルがあり、Amazon Inspectorの利用開始から 90日、最初の250回までチェックが無料(2020/8/2現在)

90日間経過後は、以下の料金となります。250回以上実行すると、料金が安くなりますが、今回は省略します。

簡単に言うと「実行対象」 × 「実行回数」 × 「利用料」となります。

  • ネットワークの到達可能性ルールパッケージを使った1回のチェック料金=0.15USD/インスタンス
  • ホスト評価のルールパッケージを使った1回のチェック料金=0.3USD/インスタンス

合計すると、0.45USD/インスタンスで評価が行えます。安いですね。

AWSの料金表はこちら

わかりやすい弊社ブログはこちらです。

Amazon Inspector エージェントのサポートOSと対応チェック内容

ネットワーク到達可能性はどのEC2でもチェック可能です。ホスト内をチェックするものについてはEC2インスタンスにエージェントインストールが必要です。

サポートOS(2020/08/02時点)です。また、OSによって対応している後ほど説明するチェック内容でサポート可否が変わりますのでご注意ください。

サポートされるオペレーティングシステム 共通脆弱性識別子(CVE) CIS ベンチマーク ネットワーク到達可能性 セキュリティのベストプラクティス
Amazon Linux 2 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2018.03 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2017.09 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2017.03 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2016.09 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2016.03 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2015.09 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2015.03 サポート対象 サポート対象 サポート対象 サポート対象
Amazon Linux 2014.09 サポート対象 サポート対象 サポート対象
Amazon Linux 2014.03 サポート対象 サポート対象 サポート対象
Amazon Linux 2013.09 サポート対象 サポート対象 サポート対象
Amazon Linux 2013.03 サポート対象 サポート対象 サポート対象
Amazon Linux 2012.09 サポート対象 サポート対象 サポート対象
Amazon Linux 2012.03 サポート対象 サポート対象 サポート対象
Ubuntu 18.04 LTS サポート対象 サポート対象 サポート対象 サポート対象
Ubuntu 16.04 LTS サポート対象 サポート対象 サポート対象 サポート対象
Ubuntu 14.04 LTS サポート対象 サポート対象 サポート対象 サポート対象
Debian 9.0-9.5, 8.0-8.7 サポート対象 サポート対象 サポート対象
RHEL 7.6~7.X サポート対象 サポート対象 サポート対象 サポート対象
RHEL 6.2 - 6.9、7.2 - 7.5 サポート対象 サポート対象 サポート対象 サポート対象
CentOS 7.6~7.X サポート対象 サポート対象 サポート対象 サポート対象
CentOS 6.2 ~ 6.9、7.2 ~ 7.5 サポート対象 サポート対象 サポート対象 サポート対象
Windows Server 2012 R2 サポート対象 サポート対象 サポート対象
Windows Server 2012 サポート対象 サポート対象 サポート対象
Windows Server 2008 R2 サポート対象 サポート対象 サポート対象
Windows Server 2016 Base サポート対象 サポート対象 サポート対象

最新情報はユーザガイドの「サポートされているオペレーティングシステムに関して、Amazon Inspector ルールパッケージ」

Linux/Windowsのエージェント対応状況の最新情報は「ユーザガイドのAmazon Inspector でサポートされているオペレーティングシステムとリージョン 」

チェック内容

Amazon Inspector の評価では、以下のルールパッケージを任意に組み合わせて使用できます。

チェック概要 チェック内容 Amazon Inspector User Guideの参照先
ネットワーク到達可能性 ルールパッケージを利用し、 Security Groupなどの各種ネットワークリソースの設定を分析し、 インターネット、Direct Connect、VPCピアリングなどの外部ネットワークから、EC2インスタンスに到達できるかどうかを評価 ネットワーク到達可能性
共通脆弱性識別子(CVE) CVEの該当有無チェック 東京リージョンチェック対象リスト 共通脆弱性識別子
Center for Internet Security (CIS) ベンチマーク Center for Internet Security (CIS) ベンチマークに基づいたチェック Center for Internet Security (CIS) ベンチマーク
Amazon Inspector のセキュリティのベストプラクティス SSHのrootログイン、SSHバージョン、SSHパスワード認証、パスワード設定、DEPの有効化、アドレス空間配置のランダム化(ASLR)の有効化、システムディレクトリでのroot以外のユーザ書き込み権限有無 Amazon Inspector のセキュリティのベストプラクティス

CISベンチマークについては不明な方は以下ブログを見てください。

どのようなCVEについてInspectorでチェックできるか気になる方は、以下で調査できます。 (ただし、CVEリストのダウンロード先が変更になっております。東京リージョンチェック対象リスト)からダウンロードして調査ください。)

導入手順

導入手順は以下のブログがわかりやすいです。評価内容(チェック内容)を変更することで他のチェック内容を実施できます。

レポート出力

以前はCSVファイルでの出力でしたが、PDF出力が可能となっています。詳細は以下のブログを見てください。

最後に

今回、Inspectorエージェントが、Linuxの場合にArmバージョンも対応していることに気づきました。 また、Ubuntu 20.04 LTS、Redhat 8.x、CentOS 8.xは未対応なので、今後のアップデートに期待ですね。 更にCVEチェック対象リストはリージョンに関係なく以前1つのリストでしたが、今回調査したところユーザガイドが修正されており、リージョン毎に参照先CVEリストが分かれていました。今後、リージョン毎に調査対象が異なる場合があると推測していますので注意が必要と思いました。

以上、『AWS 再入門ブログリレー 2020』の 1日目のエントリ『Amazon Inspector』編でした。 明日 (8/4) はTakuya Shibataの「AppStream 2.0」の予定です。お楽しみに!!