Amazon Inspectorの各OSのチェック内容について

コカコーラ好きのカジです。

先日、他部署の方から相談されて、考慮漏れしていたのでブログにまとめておきます。

Amazon Inspectorはざっくり言うと自動化されたセキュリティ評価サービスです。 EC2インスタンスに対してセキュリティ評価できます。チェックできる内容は以下です。

チェック概要	チェック内容	Amazon Inspector Uese Guideの参照先
CVE(共通脆弱性識別子)	CVEの該当有無チェック チェック対象リスト	共通脆弱性識別子
Center for Internet Security (CIS) ベンチマーク	弊社ブログのあなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみたと、セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編)に記載	Center for Internet Security (CIS) ベンチマーク
セキュリティのベストプラクティス	SSH 経由の root ログインを無効化、SSHv2、SSH経由のパスワード認証を無効化、パスワードの有効期限を設定、パスワードの最小文字数を設定、パスワードの複雑さを設定、DEPの有効化、アドレス空間配置のランダム化（ASLR）の有無、システムディレクトリに対するアクセス権限の設定	セキュリティのベストプラクティス
実行時の動作の分析	安全でないクライアントプロトコル (ログイン)、安全でないクライアントプロトコル (一般)、未使用のリッスンする TCP ポート、安全でないサーバープロトコル、DEP のないソフトウェア、スタック Cookie がないソフトウェア、安全でないアクセス権限を持つ Root プロセス	実行時の動作の分析

＊2017/06/30現在の情報です。

チェック対象のEC2インスタンスのOSによって、「CISベンチマーク」と「セキュリティのベストプラクティス」の検査可否が変化します。 以下がその一覧となります。

サポートされるオペレーティングシステム	共通脆弱性識別子	CIS ベンチマーク	セキュリティのベストプラクティス	実行時の動作の分析
Amazon Linux 2017.03	サポート対象		サポート対象	サポート対象
Amazon Linux 2016.09	サポート対象		サポート対象	サポート対象
Amazon Linux 2016.03	サポート対象		サポート対象	サポート対象
Amazon Linux 2015.09	サポート対象		サポート対象	サポート対象
Amazon Linux 2015.03	サポート対象	サポート対象	サポート対象	サポート対象
Ubuntu 16.04 LTS	サポート対象		サポート対象	サポート対象
Ubuntu 14.04 LTS	サポート対象		サポート対象	サポート対象
RHEL 6.2 - 6.9 and 7.2 - 7.3	サポート対象		サポート対象	サポート対象
CentOS 6.2 - 6.9 and 7.2 - 7.3	サポート対象		サポート対象	サポート対象
Windows Server 2012 R2	サポート対象	サポート対象		サポート対象
Windows Server 2012	サポート対象	サポート対象		サポート対象
Windows Server 2008 R2	サポート対象	サポート対象		サポート対象

＊2017/06/30現在の情報です。

まあ、ここ(Rules Packages Availability Across Supported Operating Systems)ページそのまんまです。

つまり、Amazon Inspectorでセキュリティ評価する場合は、対象のOSと、 セキュリティ評価要件にマッチしているか確認しましょう。

今後、アップデートで、すべて可能になることを期待しています。また、EC2のサポートOS追加に伴い変わっていくと思います。事前に確認するようにしましょう。

どなたかのお役に立てれば光栄です。