Amazon InspectorがWindowsサーバに対してGAになりました

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは、中山です。

米国時間2016年8月26日にAmazon InspectorがWindowsサーバに対してGAになりました。GAとなったWindowsサーバの種類は以下の3つです。

  • 2008 R2
  • 2012
  • 2012 R2

Amazon Inspectorの対応状況

改めてAmazon Inspectorの対応状況を整理しておきます。現時点では以下のリージョン、OSで利用可能です。以下のドキュメントから引用しています。

リージョン コード
US West (Oregon) us-west-2
US East (N. Virginia) us-west-1
EU (Ireland) eu-west-1
Asia Pacific (Seoul) ap-northeast-2
Asia Pacific (Mumbai) ap-south-1
Asia Pacific (Tokyo) ap-northeast-1
Asia Pacific (Sydney) ap-southeast-1
OSまたはディストリビューション バージョン
Amazon Linux 2015.03 or later
Ubuntu 14.04 LTS
Red Hat Enterprise Linux 7.2
CentOS 7.2
Windows Server 2008 R2
2012
2012 R2

また、Linuxのみカーネルのバージョンによって対応状況が異なります。サポートしているカーネルの一覧はこちらのJSONファイルを参照してください。Windowsはカーネルによる違いはないようです。

ルールパッケージの対応状況

現時点でのWindowsサーバに対するルールパッケージの対応状況は以下のとおりです。

ルールパッケージ名 Windowsの対応状況
CVE 対応済み
CIS 対応済み
Security Best Practices 未対応
Runtime Behavior Analysis 一部のみ対応

今回のアップデートで対応したと思われますが、以前(2016年6月頃)対応していなかったCISに対応しています。対応したルールは以下のとおりです。こちらのドキュメントより引用します。

  • Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
  • Windows Server 2012 R2 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
  • Windows Server 2012 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
  • Windows Server 2012 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)
  • Windows Server 2008 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Member Server Profile)
  • Windows Server 2008 (CIS Benchmark for Microsoft Windows Server 2012 R2, v2.2.0, Level 1 Domain Controller Profile)

分析結果

今回は2012 R2日本語版(東京リージョンでは ami-0f19db6e )に対してInspectorを実行してみました。設定方法は以下のエントリそのままです。

現時点でInspectorから提供されている以下の全てのルールパッケージを適用させてみました。

  • CIS Operating System Security Configuration Benchmarks-1.0
  • Common Vulnerabilities and Exposures-1.1
  • Security Best Practices-1.0
  • Runtime Behavior Analysis-1.0

結果は以下のとおりです。CISに対応していることが確認できます(長過ぎるので省略してます)。

"High","Instance i-d5c4da5a is not compliant with rule 2.2.38 L1 Ensure Shut down the system is set to Administrators, 2.2.0 CIS Microsoft Windows Server 2012 R2 Benchmark.

エージェントのステータス

最後に AWSAgentStatus.exe の実行結果を貼っておきます。エージェントのバージョンが 1.0.0.47 になっていることが確認できます。

PS C:\Program Files\Amazon Web Services\AWS Agent> .\AWSAgentStatus.exe
Configuration file path : C:\ProgramData\Amazon Web Services\AWS Agent\agent.cfg
Configuration status :
Agent version : 1.0.0.47
System release : Windows Server 2012 R2 x64 - 6.2.9200
Daemon : true
Max queue size : 31457280
Log File :
Msgs log max size : 33554432
CodeModules : true
InstanceMetaData : true
PackageInfo : true
NetworkInterfaces : true
Groups : true
Users : true
Terminals : true
ConfigurationInfo : true
        GlobalFile:/etc/bash.bashrc
        GlobalFile:/etc/bashrc
        GlobalFile:/etc/login.defs
        GlobalFile:/etc/pam.conf
        GlobalFile:/etc/pam.d/*
        GlobalFile:/etc/profile
        GlobalFile:/etc/samba/smb.conf
        GlobalFile:/etc/ssh/sshd_config
        GlobalFile:/etc/sysctl.conf
        PerUserFile:.bash_login
        PerUserFile:.bash_profile
        PerUserFile:.bashrc
Permissions : true
        GlobalDir:/bin
        GlobalDir:/etc
        GlobalDir:/lib
        GlobalDir:/lib64
        GlobalDir:/root
        GlobalDir:/sbin
        GlobalDir:/usr/bin
        GlobalDir:/usr/lib
        GlobalDir:/usr/lib64
        GlobalDir:/usr/local/bin
        GlobalDir:/usr/local/lib
        GlobalDir:/usr/local/lib64
        GlobalDir:/usr/local/sbin
        GlobalDir:/usr/sbin
KernelModules : true
Oval : true
PasswordPolicy : false
System performance : true
System performance update frequency : 1
System performance send frequency : 30
Process performance : true
Process performance update frequency : 1
Process performance send frequency : 30
Kernel module status : 0
Network connections : true
Listening ports : true
Code modules : true
Processes : true
Publisher type : Service
Registered : true
Endpoint :
Instance-Id : i-d5c4da5a
Region : ap-northeast-1
IpAddress : 172.16.1.229
MacAddress : 0a:0e:c3:03:71:ad
IpAddress : fe80::284f:589b:f0fd:294a
MacAddress : 0a:0e:c3:03:71:ad
IpAddress : fe80::5efe:172.16.1.229
MacAddress : 00:00:00:00:00:00
IpAddress : 127.0.0.1
MacAddress : 00:00:00:00:00:00
IpAddress : ::1
MacAddress : 00:00:00:00:00:00
IpAddress : 2001:0:5ef5:79fd:38af:3fac:53ef:fe1a
MacAddress : 00:00:00:00:00:00
IpAddress : fe80::38af:3fac:53ef:fe1a
MacAddress : 00:00:00:00:00:00
Total events published : 3083
Events published in last call : 16
AgentId : i-d5c4da5a
Collecting : true
Last registration attempt date : Sat 2016-08-27 04:06:46 協定世界時
Last registration date : Sat 2016-08-27 04:06:46 協定世界時
Last config retrieval attempt date : Sat 2016-08-27 04:30:06 協定世界時
Last config retrieval date : Sat 2016-08-27 04:30:06 協定世界時
Last event publishing attempt date : Sat 2016-08-27 04:30:09 協定世界時
Last event publishing date : Sat 2016-08-27 04:30:10 協定世界時

PS C:\Program Files\Amazon Web Services\AWS Agent>

まとめ

いかがだったでしょうか。

Windowsサーバをご利用されている方々にとっては朗報ですね。これを機会にご利用をご検討されてみるとよいのではないでしょうか。

本エントリがみなさんの参考になったら幸いに思います。