Amazon Inspectorを利用する機会があったので、その時のメモです。
Amazon Inspectorとは
AWSが提供するホスト型のプラットフォーム脆弱性診断サービスです。EC2を対象に診断してくれます。
サポートOS
こちらです。随時更新されています。
Amazon Inspector でサポートされているオペレーティングシステムとリージョン
Inspector Agentのインストール
以下の方法があります。
- OSにログインして、手動でインストール
- System Manager Runcommandで、ドキュメント
AmazonInspector-ManageAWSAgentの利用 - Inspectorのコンソールよりリモートインストール
診断の実行
今回は、最新のAmazon Linux2のAMI(Amazon Linux 2 AMI 2.0.20191116.0 x86_64 HVM gp2)を利用したEC2への診断を実行してみます。Inspector Agentは、SSMを利用してインストールしています。
ターゲットの作成
Assessment Target とは、Inspectorを実行したいEC2をグルーピングした概念となります。下記が作成画面です。
- Uses Tags部分
- Inspector実行対象の選択は、EC2に付与されたタグ情報をもって判断されます
- EC2には、分かりやすい/管理しやすいタグを付与しておきます
- Install Agents
- チェックを入れた場合、Inspector実行時にInspector Agentのインストールも一緒に実行されます
- 上記で記載している
Inspectorのコンソールよりリモートインストールがこれにあたります
テンプレートの作成
Assessment Template とは、上で作成したTargetと、診断する内容を定義した Rules Package を紐付ける概念となります。下記が作成画面です。
- Rules Package
- どんな診断をするのか、を定義したルール
- 現在選択できるのは、下記の4つ
- CIS Operating System Security Configuration Benchmarks-1.0
- Network Reachability-1.1
- Common Vulnerabilities and Exposures-1.1
- Security Best Practices-1.0
- 各Rules Packageで診断される内容は、マニュアルに記載されています
- サポートされるOSがルール単位で定義されています
- Duration
- 診断のためにデータを収集する時間
- 1時間が推奨
- データ収集の処理が1時間動くことになります
- SNS Topics
- 以下のタイミングでSNSを発砲できます
- An assessment run has started
- An assessment run has ended
- An assessment run's status has changed
- A finding was generated
- 以下のタイミングでSNSを発砲できます
- Attributes added to findings
- ここで設定されたタグ情報が、診断された結果にも付与されます
- Set up recurring assessment runs ....
- 有効にすると、診断をスケジュール実行するためのCloudwatch Ruleが自動的に作成されます
Amazon Inspector の評価テンプレートと評価の実行
診断の実行
作成したテンプレートを run します。
診断結果の確認
Findingsタブにて、診断結果が表示されています。こんな感じですね。
診断結果を、PDFかHTMLのレポートとして出力できます。
