Amazon Inspectorを使って本気でAWSアカウントを守る
はじめに
この記事はDevOps on AWS大全の一部です。
DevOps on AWS大全の一覧はこちら。
この記事ではAmazon Inspectorに関連する内容を超詳細にまとめています。
具体的には以下流れで説明します。
- Amazon Inspectorとは
- Amazon Inspectorの仕組み
- Amazon Inspectorの活用
- Amazon Inspectorのベストプラクティス
AWSの区分でいう「Level 200:トピックの入門知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル」の内容です。
この記事を読んでほしい人
- Amazon Inspectorがどういうサービスか説明できるようになりたい人
- Amazon Inspectorを採用するときのベストプラクティスを説明できるようになりたい人
- AWS Certified DevOps Engineer Professionalを目指している人
Amazon Inspectorとは
Amazon Inspectorとは、AWSのセキュリティ監査サービスです。Amazon Inspectorは、AWS環境におけるセキュリティの脆弱性やベストプラクティスの遵守状況を自動的に評価し、改善策を提供します。
Amazon Inspectorの仕組み
Amazon Inspectorは、AWS環境におけるEC2インスタンスやネットワーク設定などの情報を収集するために、エージェントと呼ばれるソフトウェアをインストールする必要があります。
インストールしたエージェントは、収集した情報をもとに、セキュリティアセスメントと呼ばれる監査プロセスを実行します。
なお、Lambdaやコンテナサービスの場合にはエージェントインストールは不要です。
セキュリティアセスメントでは、AWSが提供するルールパッケージと呼ばれるセキュリティチェックリストを適用します。ルールパッケージには、以下のようなものがあります。
| ルール名 | 説明 |
|---|---|
| Common Vulnerabilities and Exposures (CVE) | 一般的な脆弱性やエクスプロイトの情報を含む |
| CIS Operating System Security Configuration Benchmarks | OSのセキュリティ設定に関するベストプラクティスを含む |
| AWS Security Best Practices | AWSサービスの利用に関するベストプラクティスを含む |
| Runtime Behavior Analysis | EC2インスタンスの実行時の挙動に関するベストプラクティスを含む |
最終的にAmazon Inspectorはセキュリティアセスメントの結果を分析し、見つかった脆弱性や非遵守事項に対して、重要度や説明、改善策などを含む詳細なレポートを作成します。
レポートは、Amazon InspectorコンソールやAPIから閲覧できます。
Amazon Inspectorの活用方法
Amazon Inspectorの活用方法は、以下のようなものがあります。
AWS環境のセキュリティ状況をモニタリングする
Amazon Inspectorでは、アセスメントテンプレートと呼ばれる設定ファイルを作成して、アセスメントの対象やルールパッケージや時間などを指定できます。
アセスメントテンプレートを使って、アセスメントを定期的に実行することで、AWS環境のセキュリティ状況を常に把握できます。
デプロイ前にAWS環境のセキュリティチェックを行う
Amazon Inspectorでは、APIやCLIを使ってアセスメントを開始したり、レポートを取得したりできます。
これらの機能を利用して、CI/CDパイプラインにAmazon Inspectorを組み込むことができます。
例えば、CodePipelineやCodeDeployなどのサービスと連携して、デプロイ前にアセスメントを実行し、レポートの結果に応じてデプロイを継続したり、中止したりすることができます。
自動化された対応アクションを実行する
Amazon Inspectorでは、アセスメントの完了時にSNSトピックに通知を送ることができます。
この通知をトリガーにして、Lambda関数や他のサービスを呼び出すことができます。
例えば、Lambda関数を使って、レポートの内容をメールやチャットツールなどに送信したり、見つかった脆弱性や非遵守事項に対して自動的に修正や対策を行ったりすることができます。
Amazon Inspectorのベストプラクティス
Amazon Inspectorのベストプラクティスは、以下の表にまとめられます。
| ベストプラクティス | 説明 |
|---|---|
| エージェントのインストール | Amazon Inspectorが正しく機能するためには、EC2インスタンスにエージェントをインストールする必要があります。エージェントは手動でインストールすることもできますが、ユーザーデータやCloudFormationなどを使って自動化することが推奨されます。 |
| ルールパッケージの選択 | Amazon Inspectorが実行するセキュリティチェックは、ルールパッケージによって異なります。ルールパッケージは、AWS環境の目的や要件に応じて適切に選択する必要があります。また、カスタムルールパッケージを作成することもできます。 |
| アセスメントのスケジューリング | Amazon Inspectorは、オンデマンドでアセスメントを実行することもできますが、定期的にスケジューリングすることが推奨されます。スケジューリングは、Amazon InspectorコンソールやAPIから設定できます。 |
| レポートの確認と対応 | Amazon Inspectorが作成したレポートは、Amazon InspectorコンソールやAPIから確認できます。レポートには、見つかった脆弱性や非遵守事項に対して、重要度や説明、改善策などが記載されています。レポートをもとに、必要な対応アクションを実施することが重要です。 |
まとめ
この記事ではAmazon Inspectorに関連する内容を超詳細にまとめました。
- Amazon Inspectorとは
- Amazon Inspectorの仕組み
- Amazon Inspectorの活用
- Amazon Inspectorのベストプラクティス
次回はAWS Trusted Advisorについて超詳細解説します。
Discussion