Amazon Inspector は、AWS 環境の共通脆弱性識別子(CVE)や意図しない露出を発見するマネージドのセキュリティ診断サービスです。例えば EC2 インスタンス、コンテナイメージ、Lambda 関数などの脆弱性をスキャンし、CVE を検出することができます。検出すると findings(検出結果)として出力します。
目次
Amazon Inspector の特徴
Amazon Inspector は、自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができます。自動的にアプリケーションを評価し、露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認できます。
EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性の継続的なスキャンをできます。
継続的スキャン(continuous scanning)
- リポジトリにあるイメージを継続的に追いかける。
- あとから新しい CVE が公開された場合でも、既存イメージが危険になったことを検知できる。
プッシュ時スキャン(on-push scanning)
イメージを ECR に push したそのタイミングで自動的にスキャンして既知の脆弱性(CVE)を検出します。更に脆弱性の重大度などのレポートを作成します。
更に、CI/CD の流れに合わせやすい形で利用できます。(push → スキャン結果 → デプロイ判断、など)
Lambda 関数のスキャン
Amazon Inspector は、Lambda 関数に対して継続的な自動化されたセキュリティ脆弱性評価を提供します。過去 90 日間に呼び出されたり変更されたりしていない Lambda 関数は、自動的にスキャンから除外されます。2つのスキャンタイプがあります。
Amazon Inspector Lambda 標準スキャン
デフォルトの Lambda スキャンタイプです。Lambda 関数とレイヤー内のアプリケーションの依存関係をスキャンして、パッケージの脆弱性について調べます。
Amazon Inspector Lambda コードスキャン
このスキャンタイプでは、Lambda 関数やレイヤー内のカスタムアプリケーションコードをスキャンして、コードの脆弱性について調べます。
EC2 インスタンスのスキャンについて
パッケージの脆弱性スキャンは、エージェントベースまたはエージェントレスのスキャン方式を使用して実行できます。
エージェントベーススキャン
EC2 インスタンスのスキャンでは、主に次の2つが関係します。
- SSM Agent
- Amazon Inspector SSM プラグイン
Amazon Inspector の エージェントベーススキャンでは、対象 EC2 が SSM マネージドインスタンスである必要があり、そのために SSM Agent が入っていて動作していること、さらに Systems Manager から管理できる権限が必要です。
SSM Agent は、AWS Systems Manager によってインスタンスを管理するための基盤エージェントで、Inspector はこれを土台として使い、ソフトウェアインベントリ収集やスキャン実行をします。
Amazon Inspector SSM プラグインとは
SSM プラグインは SSM Agent の上で動く、Inspector 用の追加コンポーネントです。現行の Amazon Inspector では、Windows スキャンにこのプラグインが必要で、Linux では 詳細検査(deep inspection) のためにこのプラグインが使われます。このプラグインは自動インストールされ、必要な SSM 関連付けも自動作成されます。
エージェントレススキャン
Amazon Inspector には エージェントレススキャン もあります。ハイブリッドスキャンモードでは、SSM で管理されていない対象 EC2 に対して、Inspector は EBS スナップショットを使ってインベントリを取得し、脆弱性を評価します。新しい対象インスタンスは 1 時間ごとに検出され、対象には 24 時間ごとにエージェントレススキャンが実行されます。
エージェントレスには条件があります。対象は EBS-backed で、対応 OS、対応ファイルシステム(ext3 / ext4 / xfs)、ボリューム数や合計容量の条件を満たす必要があります。
コメント