この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ご機嫌いかがでしょうか、豊崎です。
SaaSで利用できる脆弱性診断のサービスのtenable.ioについてのエントリです。本日はtenable.ioの「AWS Connector」についてご紹介をさせていただきます。
Tenable.ioのAWS ConnectorはEC2アセットのリアルタイム可視化とインベントリ情報を提供してくれます。
検出されたEC2アセットは脆弱性スキャンされるまでライセンスにカウントされないため、 コネクタを介したアセットの検出だけであれば料金はかかりません。
それでは早速、Tenable.ioのAWS Connectorの設定を行なってEC2アセットの検出をしてみましょう。
前提
EC2アセットを検出したいリージョンでCloudTrailが設定されていること
やってみた
まずはAWS Connectorで利用するIAMユーザを作成しましょう。
任意の名前でIAMユーザを作成し、以下のポリシーを割り当てます。 ここでは「demo-tenable」として作成しました。後で利用するのでアクセスキー、シークレットアクセスキーを発行しておきましょう。
また、以下のIAMポリシーを上記IAMユーザに割り当てています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"cloudtrail:DescribeTrails",
"cloudtrail:GetEventSelectors",
"cloudtrail:GetTrailStatus",
"cloudtrail:ListPublicKeys",
"cloudtrail:ListTags",
"cloudtrail:LookupEvents"
],
"Resource": "*"
}
]
}それではTenable.ioのコンソール画面から設定をしていきましょう。
Setting>Connectors>Create a new connectorからAWS Connectorの設定をしていきます。
進んだ画面ではAWS Connectorの名前(任意)と、先ほど作成したIAMユーザのアクセスキー、シークレットアクセスキーを入力します。Test Connectionをクリックすると各リージョンのCloudTrail利用可否の確認が行われます。
ここでは東京リージョンにチェックをつけてCloudTrailからアセットを調べて見ます。
CloudTrailから東京リージョンにはインポート可能な3つのアセットがあることが確認できました。
設定とテストが完了したので、AWS Connectorを保存します。
実際にAWSマネジメントコンソールから確認すると東京リージョンに3台のEC2があることがわかります。台数あっています。
作成したAWS Connectorのインポートボタンを押してTenable.ioにアセットをインポートしてみました。
DashboardsからAssetsを確認するとマネジメントコンソールでみた3台が確かにアセットに登録されていますね!
まとめ
いかがでしたでしょうか?Tenable.ioのAWS Connectorsを設定しておくことでアセットのインベントリ情報を簡単に取得することができます。 Tenable.ioをご利用の際には設定されることをお勧めいたします。この記事が誰かのお役に立てば幸いです。
参考
https://docs.tenable.com/cloud/Content/Settings/Connectors_ConfigureAWS.htm
https://docs.tenable.com/cloud/Content/Settings/Connectors_CreateAWSConnector.htm
2
