脆弱性管理サービス Amazon Inspector のご紹介

© 2022, Amazon Web Services, Inc. or its Affiliates. 2022/10/06
アマゾンウェブサービスジャパン合同会社ソリューションアーキテクト佐藤航⼤ / Sato Kodai 脆弱性管理サービス Amazon Inspector のご紹介

© 2022, Amazon Web Services, Inc. or its Affiliates. 本セッションのアジェンダ
• Inspector の概要と応⽤⽅法 • Inspector Workshop の紹介 • デモ

© 2022, Amazon Web Services, Inc. or its affiliates. 脆弱性管理を⾏うためには
• 脆弱性管理ソリューションの導⼊と管理は複雑でコストがかかる • 導⼊が簡単でかつメンテナンスに必要な⼯数が少なく済む必要がある • 新しいリソースが継続的に追加・削除される動的な環境では、脆弱性をスケーラブルかつ継続的に監視するソリューションが必要がある • スキャン毎の間に新たに発⾒された脆弱性に対して攻撃を受けてしまう可能性がある • そのためリアルタイムでサポートできるソリューションが必要 1. 2. 3. 簡単な使い⽅容易なスケーリングリアルタイム性

© 2022, Amazon Web Services, Inc. or its affiliates. New
Amazon Inspector とは • 2021 年の re:Invent で発表 • ソフトウェアの脆弱性や意図しないネットワーク露出領域を継続的なスキャンで検知する脆弱性管理サービス • Amazon EC2, Amazon ECR に対応 Amazon EC2 Amazon ECR Amazon Inspector

© 2022, Amazon Web Services, Inc. or its affiliates. Inspector
Classic からの主な変更点 • Amazon ECR 上のコンテナイメージのスキャンをサポート • AWS Systems Manager Agent (SSM agent) によるスキャン • マルチアカウント管理のサポート • リスクスコアの算出による検出結果の優先順位付け • スキャンできるインスタンスとイメージ数が無制限に

© 2022, Amazon Web Services, Inc. or its affiliates. Amazon
Inspector の特徴シンプルで⼤規模な管理対策措置のワークフロー⾃動化 • 数クリックで有効化 • AWS Systems Manager Agent (SSM Agent) との統合 • AWS Organization との統合 • ダッシュボードによる適⽤範囲の確認とリソース毎の状況を集約⾃動検出と継続的なスキャン⼀元的に集約し可視化スコア算出による優先順位付け • リソースの⾃動検出 • 脆弱性とネットワーク到達可能性の継続的スキャン • コンテキストを考慮した実⽤的なリスクスコアを算出 • 対策措置の優先順位を列挙 • APIで操作可能 • Amazon EventBridge と連携 • AWS Security Hub と統合

© 2022, Amazon Web Services, Inc. or its affiliates. シンプルで⼤規模な管理
• 管理アカウントとメンバーアカウントの設定 • ⼀つのアカウントを管理アカウントに指定 • すべてのメンバーアカウントで Amazon Inspector を⾃動的に有効にする機能により、Organization 内の全てのアカウントを⼀元的に管理および設定 • 組織全体の調査結果を⼀元化されたコンソールに集約 AWS Organization と統合することで複数アカウントの管理が可能

© 2022, Amazon Web Services, Inc. or its affiliates. ⾃動検出と継続的なスキャン
新しいアプリケーションやパッチのインストール後など、イベントに応じてスキャンを実⾏することで、リソースのライフサイクルを通して環境を監視⾃動検出 - 対象となるすべてのリソースを⾃動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないか、リソースの継続的なスキャンを開始継続的なスキャン - 専⽤のスキャンエンジンを使⽤してワークロードの危険性、リソースの悪意ある使⽤、データへの不正アクセスの原因となるソフトウェアの脆弱性やネットワーク露出領域がないか監視全てのワークロードを⾃動的に検出し、組織全体の脆弱性を継続的にスキャン

© 2022, Amazon Web Services, Inc. or its affiliates. スコア算出による優先順位付け
実⽤的なスコアリング– CVE(Common Vulnerability and Exposures) 情報をリソースのネットワークアクセスなどと関連付けてスコアを算出するコンテキストを考慮した実⽤的なスコアリングにより効率で正確な優先順位付けを可能に例︓リモートでしか悪⽤できないCVEをAmazon EC2 インスタンス上で発⾒したが、そのインスタンスはインターネット経由でアクセスできない設定になっていた場合、実際に悪⽤される可能性は無いのでリスクスコアは下がるこの結果、より実⽤的な脆弱性リスクスコアが得られる

© 2022, Amazon Web Services, Inc. or its affiliates. 調査結果のレビューとアクション
• Amazon Inspector は、発⾒した脆弱性とネットワーク露出を⾃動的に追跡・保存する § ステータスは active, suppressed, closed の3種類 § Amazon Inspector は環境内を継続的にスキャンして、アクティブな検出結果を監視する。脆弱性への対応が完了すると、Inspector は⾃動的に検出結果のステータスを closed に変更パッケージの脆弱性 - 環境内のソフトウェア・パッケージをスキャンして検出した脆弱性に該当する CVE(Common Vulnerabilities and Exposures) を⽰す。ネットワーク到達性 - Amazon EC2インスタンスへの許可されたネットワークパスがあるかどうかを⽰す。インターネットゲートウェイ、ロードバランサー、VPC ピアリング接続、仮想ゲートウェイを介した VPN などの VPC から到達可能かどうかスキャン。脆弱性を検出後、詳細なレポートを提供

© 2022, Amazon Web Services, Inc. or its affiliates. 抑制ルール
(Suppression Rule) • 指定した条件に⼀致する Inspector の検出結果を⾃動的に⾮表⽰にする § 検出結果の重⼤度、リソースタグ、作成⽇など、様々な条件でフィルタリング可能 – 重⼤度の低い検出結果を⾮表⽰にする – 開発環境のリソースの検出結果を⾮表⽰にする等 • 抑制ルールで除外した検出結果はステータスが suppressed となり、デフォルトでは表⽰されない

© 2022, Amazon Web Services, Inc. or its affiliates. サポートされている
OS とプログラミング⾔語 • Amazon EC2 スキャン § Amazon Linux 2 § Cent OS § Debian Server § RedHat Enterprise Linux (RHEL) § Ubuntu § Windows Server (2022/9 Update! ) § etc.. • Amazon ECR スキャン § Cent OS § Debian Server § RedHat Enterprise Linux (RHEL) § Ubuntu Server, etc… • ECR スキャンの対応⾔語 § C#, Go, Java, JavaScript, § PHP, Python, Ruby, Rust 対応OSのバージョン等の詳細と最新の情報はこちらをご覧ください https://docs.aws.amazon.com/inspector/latest/user/supported.html

© 2022, Amazon Web Services, Inc. or its Affiliates. [応⽤例
- 1] 修復アクションの⾃動化 • Security Hub のカスタムアクション、 Systems Manager Automation との連携 • 指定した脆弱性のパッケージに対して⾃動でパッチを適⽤する • 重⼤な脆弱性が発⾒された場合にスケジュールを待たずにすぐにパッチ適⽤を⾏える • カスタムアクション実⾏後は修復まで⾃動化 [Blog] “Amazon Inspector と AWS Systems Manager を⽤いた脆弱性管理と修復の⾃動化” https://aws.amazon.com/jp/blogs/news/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/ https://aws.amazon.com/jp/blogs/news/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-2/

- 1] 修復アクションの⾃動化アーキテクチャ [Blog] “Amazon Inspector と AWS Systems Manager を⽤いた脆弱性管理と修復の⾃動化” https://aws.amazon.com/jp/blogs/news/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-1/ https://aws.amazon.com/jp/blogs/news/automate-vulnerability-management-and-remediation-in-aws-using-amazon-inspector-and-aws-systems-manager-part-2/

- 2] 通知フローの⾃動化 • AWS Security Hub や AWS EventBridge との連携により脆弱性が検出された際に迅速に通知を⾏う • EventBridge のイベントルールによるフィルタリングも可能 • Critical な検出結果のみ通知する、など Amazon Inspector AWS SecurityHub AWS EventBridge AWS EventBridge AWS Lambda Amazon SNS Amazon SNS Security Admin AWS Chatbot Slack e-mail e-mail

© 2022, Amazon Web Services, Inc. or its Affiliates. [活⽤例
- 3] 脆弱性情報の可視化 • Inspector が提供するダッシュボード機能に加えて、より可視性の⾼い、カスタマイズ可能なダッシュボードも作成可能 • Amazon S3 へのエクスポート機能から Athena à QuickSight と連携 CreateFindingReport API Amazon Athena Amazon S3 Amazon QuickSight Amazon Inspector

© 2022, Amazon Web Services, Inc. or its affiliates. 15⽇間無制限の無料トライアルをご利⽤できます
Scan type ⽉間料⾦(Tokyo) 初回スキャン料⾦ $0.11/image 再スキャン料⾦ $0.01/scan Amazon EC2 スキャン料⾦ • スキャンされたインスタンスの⽉間平均数※に基づいて算出 Amazon ECR コンテナイメージスキャン料⾦ • 継続スキャンを⾏うか、1回だけ使⽤するオンプッシュスキャンを⾏うかを選択 • 継続スキャンの場合は、初回のオンプッシュスキャンと⾃動再スキャンのたびに料⾦が発⽣ • オンプッシュスキャンの場合は、初回スキャンの料⾦のみ発⽣ Scan type ⽉間料⾦(Tokyo) EC2スキャン $1.512/instance 料⾦体系(東京リージョン) ※インスタンスの⽉間平均数 = 各インスタンスで Amazon Inspector が有効化された合計時間/⽉間時間数例) 3つのインスタンスで Amazon Inspector を10⽇間有効化した場合、⽉間インスタンス平均数は1であり$1.512発⽣ Amazon EC2 と Amazon ECR に対するスキャンによって料⾦がそれぞれ発⽣最新の情報は以下のリンクよりご確認ください https://aws.amazon.com/jp/inspector/pricing/

© 2022, Amazon Web Services, Inc. or its affiliates. コスト例
• (例1) 東京リージョンで 100 台の EC2 インスタンスが起動されており、AWS Systems Manager Agent がインストールされ、 Inspector スキャンを⾏うように設定されている場合、⽉間請求額は • (例2) ⽉初に東京リージョンで100個のコンテナイメージを継続スキャン⽤に設定されたリポジトリにプッシュし、再スキャンが15回実⾏された場合の⽉間請求額は 100(インスタンス数) * 1.512(USD) = 151.2 USD 初回スキャン料⾦: 100(コンテナイメージ数) * 0.11(USD) = 11 (USD) 再スキャン料⾦: 100(コンテナイメージ数) * 0.01(USD) * 15(回) = 15 (USD) Total: 26 USD

© 2022, Amazon Web Services, Inc. or its affiliates. Amazon
Inspector 対応リージョン 19のリージョンでご利⽤いただけます東京リージョンにも対応 • バージニア北部 • オハイオ • 北カリフォルニア • オレゴン • ⾹港 • ムンバイ • ソウル • シンガポール • シドニー • 東京 • カナダ • フランクフルト • アイルランド • ロンドン • ミラノ • パリ • ストックホルム • バーレーン • サンパウロ最新の情報は以下のリンクよりご確認ください https://aws.amazon.com/jp/about-aws/global-infrastructure/regional-product-services/

© 2022, Amazon Web Services, Inc. or its Affiliates. Inspector
Workshop の概要 • Inspector v2 の使い⽅や他サービスとの連携により脆弱性管理・修復の⽅法を学ぶハンズオン • 構成 • Module 1 – Amazon Inspector のセットアップ • Module 2 – 脆弱性のフィルタリング、優先順位付け • Module 3 – 検出結果の抑制 • Module 4 – Security Hub へ検出結果を集約、通知 • Module 5 – 脆弱性の概要メールを週次で送信 • Module 6 – Patch Manager を⽤いてパッチ適⽤を実施 • Module 7 – アンマネージドインスタンスの原因調査 • Module 8 – AMI のパッチ適⽤の⾃動化 Inspector Workshop https://catalog.us-east-1.prod.workshops.aws/workshops/863fe895-a98e-4a9f-a222-05f7f0e321a2/ja-JP

Workshop のアーキテクチャ Amazon Inspector AWS SecurityHub AWS EventBridge AWS Lambda Amazon SNS Amazon SNS Amazon ECR Amazon EC2 AWS Systems Manager Maintenance Window Run Command Automation PatchBaseline Document Patched AMI Security Admin

Workshop (開始時) Amazon ECR Amazon EC2

Workshop (Module 1-3) Amazon Inspector Amazon ECR Amazon EC2

Workshop (Module 4) Amazon Inspector AWS SecurityHub Amazon ECR Amazon EC2 AWS EventBridge Amazon SNS Security Admin

Workshop (Module 5) Amazon Inspector AWS SecurityHub AWS EventBridge AWS Lambda Amazon SNS Amazon SNS Amazon ECR Amazon EC2 Security Admin

Workshop (Module 6) Amazon Inspector AWS SecurityHub AWS EventBridge AWS Lambda Amazon SNS Amazon SNS Amazon ECR Amazon EC2 AWS Systems Manager Maintenance Window Run Command PatchBaseline Document Security Admin

Workshop (Module 7) Amazon Inspector AWS SecurityHub AWS EventBridge AWS Lambda Amazon SNS Amazon SNS Amazon ECR Amazon EC2 AWS Systems Manager Maintenance Window Run Command PatchBaseline Document Debugging Unmanaged Instance (Module 7) Security Admin

Workshop (Module 8) Amazon Inspector AWS SecurityHub AWS EventBridge AWS Lambda Amazon SNS Amazon SNS Amazon ECR Amazon EC2 AWS Systems Manager Maintenance Window Run Command Automation PatchBaseline Document Patched AMI Debugging Unmanaged Instance (Module 7) Security Admin

脆弱性管理サービス Amazon Inspector のご紹介

脆弱性管理サービス Amazon Inspector のご紹介

Other Decks in Technology

Featured

Transcript