MENU
  • サービス
  • AWS導入支援
  • AWS運用代行
  • WordPress
    • WordPress高速化
    • WordPress脆弱性対策
  • 導入事例
  • 良くあるご質問
  • AWS技術知見
  • お問い合わせ
AWSの導入・クラウド運用を総合支援【CapsuleCloud】
  • サービス
  • AWS導入支援
  • AWS運用代行
  • WordPress
    • WordPress高速化
    • WordPress脆弱性対策
  • 導入事例
  • 良くあるご質問
  • AWS技術知見
  • お問い合わせ
AWSの導入・クラウド運用を総合支援【CapsuleCloud】
  • サービス
  • AWS導入支援
  • AWS運用代行
  • WordPress
    • WordPress高速化
    • WordPress脆弱性対策
  • 導入事例
  • 良くあるご質問
  • AWS技術知見
  • お問い合わせ
  1. ホーム
  2. AWS技術知見
  3. [AWS入門] Amazon Inspectorでセキュリティチェックを行う

[AWS入門] Amazon Inspectorでセキュリティチェックを行う

2022 9/16
AWS技術知見
2022年9月16日
目次

はじめに

Amazon Inspectorは、EC2サーバの脆弱性やセキュリティ評価を自動で行えるサービスです。

例えば…。
「Instance i-xxxx is configured to allow users to log in with root credentials over SSH. This increases the likelihood of a successful brute-force attack.」
「ユーザーがrootでSSHでログインできるように設定されています。これにより、ブルートフォース攻撃が成功する可能性が高くなります。」

といったように、Inspectorが脆弱性を自動で検知・スキャンしてくれるため、サーバのセキュリティ管理の手助けとなります。

AWSは「責任共有モデル」を採用しており、AWS側は物理セキュリティ、ネットワークインフラ、コンピューティングやデータベースなど仮想インフラに責任を持ち、OSレイヤーやその上で動くアプリケーション、データなどはユーザ自身が責任をもって管理する必要が出てきます。

そこでAmazon Inspectorを導入すれば、OS内部でネットワーク、ファイル システム、プロセス、アクティビティなどのデータを収集し検知してくれます。潜在的なセキュリティ上の問題への対応を仕組み化して行えることは大きなメリットです。

サポートされているOSとリージョンは、下記の通りとなります。

OS
Amazon Linux (2015.03 以降)
Ubuntu (14.04 LTS)
Red Hat Enterprise Linux (7.2)
CentOS (7.2)
Windows Server 2008 R2 および Windows Server 2012
リージョン
米国西部(オレゴン)
米国東部(バージニア北部)
欧州 (アイルランド)
アジアパシフィック(東京)

EC2にエージェントをインストール

では早速、EC2インスタンスを作成し、Amazon Inspectorを設置してみましょう。

まずはいつも通りインスタンスを作成し、作成したばかりの状態のセキュリティチェックを行います。
東京リージョンで、Amazon Linux AMI 2017.03.0(HVM)を選択

Amazon Inspectorの検査対象インスタンスはタグで判別させるので、Inspector=Trueというタグを設定します。(キーと値は判別できれば何でも大丈夫です)

このインスタンスにSSHで接続し、エージェントをインストールします。
エージェントはネットワーク、ファイル システム、プロセス、アクティビティなどのOS情報を収集して、Inspectorへデータを送る役割ですね。

$ curl -O https://d1wk0tztpsntt1.cloudfront.net/linux/latest/install
$ sudo bash install

インストールは簡単、これで完了です。
インストールするだけで起動しているはずですが、基本的なコマンドは

# 確認
$ sudo /opt/aws/awsagent/bin/awsagent status
# 起動
$ sudo /etc/init.d/awsagent start
# 終了
$ sudo /etc/init.d/awsagent stop

インスタンス側でやることはこれだけです。既存の環境に影響が少ないのは良いですね。

Amazon Inspectorを設定する

まずはロールの割り当てが必要なので、「ロールの選択または作成」をクリックしてIAMロールを作成します。

評価ターゲット(チェック対象インスタンス)を特定するために、先ほど入力したタグのキーと値をここで設定します。

検査内容を指定して、評価テンプレートの定義を行います。
Amazon Inspectorではルールパッケージと呼ばれる検査項目が予め用意されているので、それを選択するだけで設定できます。

検査できる項目の詳細はそれぞれ、

CIS Operating System Security Configuration Benchmarks
http://docs.aws.amazon.com/inspector/latest/userguide/inspector_cis.html
https://learn.cisecurity.org/benchmarks

Security Best Practices
http://docs.aws.amazon.com/inspector/latest/userguide/inspector_security-best-practices.html

Common Vulnerabilities and Exposures
http://docs.aws.amazon.com/inspector/latest/userguide/inspector_cves.html
https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt

Runtime Behavior Analysis
http://docs.aws.amazon.com/inspector/latest/userguide/inspector_runtime-behavior-analysis.html

これで評価内容が作成できました。

このまま実行してももちろん問題ありませんが、時間のかかる処理となるため、ステータスチェンジごとにSNSでメールが来るように設定しておきます。

SNSでメール通知

SNSで新しいトピックを作成して、「Edit Topic Policy」を選択します。

BasicViewで、両方の項目でOnly these AWS usersを選択して「arn:aws:iam::406045910587:root」を入力します。これはリージョンによって異なるので、利用しているリージョンのものを入力してください。
https://docs.aws.amazon.com/inspector/latest/userguide/inspector_assessments.html

  • for US West (Oregon) – arn:aws:iam::758058086616:root
  • for EU (Ireland) – arn:aws:iam::357557129151:root
  • for US East (N. Virginia) – arn:aws:iam::316112463485:root
  • for Asia Pacific (Incheon) – arn:aws:iam::526946625049:root
  • for Asia Pacific (Mumbai) – arn:aws:iam::162588757376:root
  • for Asia Pacific (Tokyo) – arn:aws:iam::406045910587:root
  • for Asia Pacific (Sydney) – arn:aws:iam::454640832652:root

Subcriptionを作成して送信先Emailアドレスを設定しておきます。

最後にAmazon Inspectorの評価テンプレートに紐付けておけば完成です。

実行結果

さて、いよいよ実行してみましょう。
評価テンプレートの一覧から対象のテンプレートにチェックを入れて「実行」ボタンを押します。
今回の検査内容では、およそ1時間ほどEC2インスタンスからデータを収集して分析が行われ、「分析完了」のステータスになりました。

SNSで設定しておいたので、ステータスが変更になるたびにメールで通知が来ています。

起動したばかりでyum updateなども行っていないAmazon Linuxインスタンスなので、いくつかのセキュリティ上の問題が検出されています。

Highであがってきてるのは、4.9.11までのlinux kernelの脆弱性(CVE-2017-5986)ですね。
socket.c中のsctp_wait_for_sndbuf()関数にバグがあって、ローカルユーザによるassertion failureとpanicが発生する可能性という話です。
その下に、推奨事項として対応策が記載されています。

これはlinuxカーネルのバージョンアップで解消されるはずなので、対応しておきましょう。

$ sudo yum update

を行うと、この記事の時点では4.9.20-10.30.amzn1のkernelがインストールされます。

再度、Amazon Inspectorを実行すると、


いくつかの問題が解消されています。

インスタンスの脆弱性チェックがこれだけ手軽にできるのは素晴らしいですね。
CloudWatchで定期実行しておけば、よりセキュアな環境を保てると思います。

正社員希望の方はこちら
業務委託希望の方はこちら
AWS技術知見

関連記事

  • aws-route53
    AWS機能を網羅してみよう3.3 Route53編「実践」DNSフェイルオーバー
  • AWSのクラウドセキュリティ「責任共有モデル」とは?
  • ansible
    AWSのためのAnsible入門
  • aws-s3
    Amazon S3でGlacierを活用したコスト削減法
  • aws-route53
    AWS機能を網羅してみよう3.2 Route53編「実践」
  • aws-s3
    Amazon S3で署名付きURLを使ったアクセス制御
  • aws-route53
    AWS機能を網羅してみよう3.1 Route53編「概要」
  • aws-waf
    AWS WAFでSQLインジェクションと特定URLをブロック
検索
clouddx003-low.pdf - 1.8MB
資料ダウンロードはこちら
人気記事
  • terraform
    Terraformと変数(variable)のお話
    Terraform
  • aws-s3
    Amazon S3で署名付きURLを使ったアクセス制御
    AWS技術知見
  • AWS導入支援
    amazonクラウド、AWSとは?何ができるかデメリット含めわかりやすく説明
    AWS導入支援
  • WordPress高速化!6つの簡単な方法で重さを改善
    WordPress
  • ansible
    AWSのためのAnsible入門
    AWS技術知見
  • WordPress脆弱性の原因とやっておくべき7つの対策
    WordPress
  • 【実例20選】AWS導入企業、活用事例をご紹介
    AWS導入支援
新着記事
  • AWS運用代行企業5選!企業選びのポイントを解説
    AWS運用代行
  • AWS運用代行のサービス内容やメリットについて
    AWS運用代行
  • 10分でスタート!AWSの利用開始までを解説
    AWS導入支援
  • WordPress脆弱性の原因とやっておくべき7つの対策
    WordPress
  • WordPress高速化!6つの簡単な方法で重さを改善
    WordPress
カテゴリー
  • AWS導入支援
  • AWS技術知見
    • Rancher
    • Terraform
  • AWS運用代行
  • WordPress
タグ一覧
AI (3) aws (25) aws-cli (3) CloudFormation (1) CloudSearch (3) DeepLearning (1) DNS (2) Docker (4) EBS最適化オプション (1) ec2 (7) ElasticBeanstalk (1) Geo Routing (1) Gitlab (1) HA (1) infrastructure-as-code (1) keypair (1) load-balancer (1) nginx (2) OpenAM (3) Rancher (8) Rekognition (2) Route53 (3) s3 (2) secrets (1) security-group (1) Terraform (6) terragrunt (2) tfvars (1) variable (1) vault (1) VPC (1) wordpress (3) アプリケーション (1) オンプレミス (2) クラウド (2) サインアップ (1) シングルサインオン (3) セキュリティ (1) セキュリティグループ (1) ネットワーク設計 (1) 人工知能 (2) 初心者 (1) 本番運用 (1) 画像認識 (3) 起動 (1)
アーカイブ
  • 2022年9月
  • 2022年7月
  • 2022年6月
  • 2022年5月
  • 2022年4月
  • 2017年7月
  • 2017年6月
AWSエンジニア積極採用!
採用情報
フリーランスの求人情報!
テックブレイン

スーパーソフトウエアはAWSパートナーネットワーク(APN)のコンサルティングパートナーです。

スーパーソフトウエアはRancherパートナーネットワークのコンサルティングパートナーです。

logo

カプセルクラウドはAWSクラウドのマネージドサービスです。AWSを安心かつ迅速に導入し、負荷分散・セキュリティ・DevOps・コスト削減など、クラウドサービスのメリットを活かした豊富なベストプラクティスをご提供いたします。

Contents

  • サービス
  • 導入支援
  • WordPress
  • 導入事例
  • ブログ
  • Q&A
  • お問い合せ
  • 資料ダウンロード

お問い合わせ

株式会社スーパーソフトウエア
東京 03-6721-7105
大阪 06-4707-6001
info-capsulecloud@tokyo.supersoftware.co.jp

  • プライバシーポリシー
  • 免責事項
  • 契約約款
  • 特商法に基づく表記
  • 会社情報
  • サイトマップ

© Supersoftware 2017. All rights reserved.

目次