【速報】Amazon Inspectorが正式リリースされました

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラが大好きなカジです。

はじめに

本日、Inspectorが正式リリースされました。

早速、ドキュメントをざっくり見て、プレビュー時との違いについて調べてみました。

Amazon Inspectorとは

そもそも、Inspectorとは何か?という方は以下をプレビュー時の以下のブログをご参照ください。

AWS入門 AWS Inspector編

プレビュー時との違い

利用可能なリージョン

プレビュー時はオレゴンだけでしたが、4つに増えました。東京リージョンで使えます。

  • US West (Oregon)
  • US East (N. Virginia)
  • EU (Ireland)
  • Asia Pacific (Tokyo)

対応OS

プレビュー時はAmazon Linuxと、Ubuntuのみでしたが、Redhat、CentOS、Windowsが加わってます。

  • Amazon Linux (2015.03 or later)
  • Ubuntu (14.04 LTS or later)
  • Red Hat Enterprise Linux (7.2 or later)
  • CentOS (7.2 or later)
  • Windows Server 2008 R2 and Windows Server 2012

チェック内容

プレビューから表記に複数あった項目が、「CIS Operating System Security Configuration Benchmarks」にまとめられているようです。 詳細まで確認できていませんが概要としては以下となります。

チェック概要 チェック内容 Amazon Inspector User Guideの参照先
CVE CVEの該当有無チェック チェック対象リスト Common Vulnerabilities and Exposures
セキュリティベストプラクティス sshによるダイレクトrootログインの有無、SSHv1の有無チェック、SSHのパスワード認証有無(有効期限・文字数制限・複雑度)、DEPの有効化、アドレス空間配置のランダム化(ASLR)の有無、システムディレクトリでのroot以外のユーザ書き込み権限有無 Security Best Practices
CIS Operating System Security Configuration Benchmarks 弊社ブログのあなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみたと、セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編)に記載 CIS Operating System Security Configuration Benchmarks
ランタイム動作解析 安全でないクライアントプロトコル(ログイン)、安全でないクライアントプロトコル(一般)の有無、未使用Listen TCP Portの有無、安全ではないサーバプロトコル、DEPのサポート有無プロセスチェック、Stack cookiesのサポート有無チェック、権限のないユーザーによる高特権のモジュールロードの可否 Runtime Behavior Analysis

CVEの説明は、Linuxで脆弱性が見つかった場合の対応方法 まとめに記載がありますので、読んでみましょう。

CIS Operating System Security Configuration Benchmarksの説明は、あなたのAWSセキュリティ監査状況を採点〜CISベンチマークを読んでみたと、セキュリティ監査状況を採点〜CISベンチマークを読んでみた(Amazon Linux編)に記載がありますので、読んでみましょう。

Amazon Inspector使い方

ドキュメントをざっくり読んだところ、プレビュー時と利用方法に大きな変更はなさそうです。

  • Amazon Inspector AgentをEC2へインストール
  • チェック対象のEC2インスタンスへTagを設定(アプリケーション指定)
  • Amazon Inspectorのアプリケーション(Tag)と監査内容を設定

詳細は Amazon Inspector プレビューを試してみた

最後に

今後は、チェック内容の確認とAmazon LinuxとUbuntuでテストしていましたが、対応OSが増えたので試してみたいと思います。