“Amazon Inspectorの新機能: EC2インスタンスのCISベンチマーク評価が可能に!

■概要

Inspectorでアップデートがあったようですね。
少し見ていきます。

Amazon Inspector now supports CIS Benchmark assessments for operating systems in EC2 instances
(和訳:Amazon Inspector が EC2 インスタンスのオペレーティング システムの CIS ベンチマーク評価をサポートするようになりました)

■Amazon Inspectorとは

簡単に言うと、AWSリソースの健康診断のようなものです。
問題が見つかった場合にはその詳細と治療法を教えてくれる(治療まではしてくれない)という感じです。

そもそもAmazon Inspectorは、AWSが提供するセキュリティ対策ソリューションで、アプリケーションのセキュリティとコンプライアンスの向上を目的に開発されたもので、
EC2インスタンス、Lambda関数、ECRなどを対象にAWSソフトウェアの脆弱性を自動的に管理します。

■Inspectorの項目

項目としては大きく2つあります
これらの項目を定期的、もしくは単発でスキャンしてダッシュボードで可視化する事ができます。↓

・ネットワーク接続性

EC2インスタンスに対して、外部から到達可能であるSSHやHTTPなど、よく使われるポートを検出し、評価します。

・パッケージの脆弱性

CVEに基づき、OSやソフトウェアなどのパッケージについて、環境評価が可能です。

■CIS ベンチマークとは

Center for Internet Security (CIS)が提供する、情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインのことを指します。

これらのガイドラインは、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービスなど、様々な製品やサービスに対してバージョンごとに詳細なパラメータまでを定めています。

CIS Benchmarks とは何ですか?
https://aws.amazon.com/jp/what-is/cis-benchmarks/

■コンソールから見てみる

恐らく以下画像の「CIS SCAN」の所が今回アップデートのお知らせになった部分なのかなと思います。

インスペクター1.png

右上の「Create new scan」からCIS ベンチマークの評価をスタートする事ができます。

必要な項目として特に難しいものはなく、
・スキャン対象となるリソースにつけているタグを指定する事
・ターゲットとなるアカウント
・単発か定期実行するか
という所です。

createnew.png

■ベンチマークレベル

後は、ベンチマークレベルというものがありました。
「Level 1」に比べ、「Level 2」の方がより高度な評価となるみたいですね…

レベル1、2について以下に記載します。

■レベル 1 プロファイル

レベル 1 プロファイルの設定に関する推奨事項は、IT システムを設定するための基本的なセキュリティに関する推奨事項です。
それらを実行するのは簡単で、ビジネス機能や稼働状況に影響を与えません。
これらの推奨事項により、IT システムへのエントリポイントの数が減り、サイバーセキュリティのリスクが軽減されます。

■レベル 2 プロファイル

レベル 2 のプロファイル設定の推奨事項は、セキュリティが優先される機密性の高いデータに最適です。
これらの推奨事項を実施するには、中断を最小限に抑えて包括的なセキュリティを実現するための専門知識と入念な計画が必要です。
レベル 2 プロファイルの推奨事項の実施は、規制コンプライアンスの達成にも役立ちます。

■最後に

見ると分かりますが、インスペクターめちゃくちゃ見やすいです
AWSアカウント内のセキュリティに関する情報を分かりやすくまとめてくれるので、上手に運用に乗せて使いこなして行きたいものですね…

この記事を書いた人

aws-recipe-user