ソリューションアーキテクト小川です。
先日6/22に開催しましたBlackBeltオンラインセミナー「Amazon Inspector」に関しまして、当日ご参加いただいた皆様から頂戴したQ&Aの回答を、掲載可能な範囲でとりまとめました。当日の資料と併せまして掲載させて頂きます。
【QA】
Q1:エージェントが通知する先はインターネット上のものでしょうか。SecurityGroup(OutBound)+IGWの設定等が必要でしょうか?
A1:はい、エージェントからパブリックエンドポイントに通信できるための設定が必要です。詳しくはスライド番号48をご参照ください。
Q2:CISのAMIは普通のAmazon Linuxに追加料金がつくものですか。
A2:はい、通常のAWS使用料に加え、ソフトウェア料金が追加されます。Amazon MarketplaceにてCIS提供AMIをご参照ください。
Q3:cve公開から更新までのタイムラグはどのくらいでしょうか。また、対処方法がまだ出ていないゼロデイアタックのCVEがリストアップされることはありますか。
A3:CVE公開からInspectorのCVEリスト更新までの時間に規定値や保証値はございませんが、過去、AWSとして重要な脆弱性への対策が即日で行われてきたことはAWS Security Bulletins やAmazon Linux AMI Security Centerのサイトにて参照できます。CVEが採番される前にInspectorのCVEリストが更新されることはございません。
Q4:ルールパッケージは、今後増える予定はありますでしょうか?
A4:はい。一例として、時期未定ですがPCI DSSのルールパッケージが追加されることは発表されております。
Q5:ルールの4つめとして説明頂いたAWSならではの検査について、それぞれLinuxの種類毎、またはWindows等の対応状況については公開されていないでしょうか
A5:スライド番号49にあるAWSエージェントのサポートOSをご参照ください。
Q6:所要時間をあえて短く設定するのは、どういった場合が考えられるのでしょうか?
A6:すぐ評価完了することが分かっている場合や、OS未サポートなどすぐにエラーで終了する可能性を確認する場合などが考えられます。
Q7:ひとつのテンプレートに複数パッケージ選択してもいいでしょうか
A7:はい、可能です。
Q8:セキュリティソフトをインストールしていた場合、正常に実行されるのでしょうか?セキュリティソフトにより削除されたりすることはないのでしょうか
A8:理論上、セキュリティソフトと同居可能ですが、そのセキュリティソフトの設定にアプリケーション動作が依存するのであれば、同居を検証することをお勧めいたします。
Q9:推奨事項などは日本語対応はまだ行われないのでしょうか?
A9:はい、今のところ日本語対応はされておりません。
Q10:評価の実行を定期実行することは可能でしょうか?
A10:Inspectorにスケジューリングの設定項目にはございません。APIで評価実行を開始できるので、定期的にAPIを呼ぶことで定期実行を実現可能です。
Q11:脆弱性診断のJ2EEをあとから入れたり、昨今脆弱性の出たStruts2辺りも、EC2インスタンスに対し後から導入する事の多いパッケージです。この辺りも自動的に発見して、脆弱性診断可能でしょうか?
A11:はい、可能です。インスタンス起動時ではなく、Inspectorによる評価実行時のインスタンスの状態に対して脆弱性診断がなされます。
Q12:Inspector のインストール手順の中でロールを作成されましたが、このロールは何に割り当てるのでしょうか? 監査対象のEC2インスタンスでしょうか。
A12:このロールはAmazon Inspectorに対して、EC2インスタンスへの読み取り専用アクセス権を割り当てます。
Q13:S3 に更新イメージが保存されているとの事ですが、S3のサービスを利用していない場合も自動更新の対象になるのでしょうか。
A13:はい、このS3はAmazon Inspectorが透過的に使用しますので、アカウント上でS3のサービスを利用していない場合も自動更新の対象になります。
Q14:ハイバーバイザーの脆弱性も検知できるのものでしょうか
A14:いいえ、EC2インスタンス(ゲストOSから上のレイヤー)が診断対象です。
Q15:万が一データ破壊に備え、Inspector 実行前にバックアップを取得するべきでしょうか。
A15:AWSエージェントは対象EC2インスタンスのデータを読み取るものなので、理論上データ破壊のリスクはございません。
Q16:オンプレミスのサーバを監査対象にできるようにする予定はありますでしょうか。
A16:今のところ予定はございません。
Q17:評価の回数の単位はテンプレート実行単位ごと?その中のルールパッケージごとでしょうか?
A17:評価テンプレートごととなります。なお、1つの評価テンプレートに複数のルールパッケージを選択可能です。
Q18:Amazon Inspector を利用するための最低限どの条件は、1:対象のリージョンで稼働しているEC2であること 2:対象のOSであること 3:パブリックネットワークへ接続できること、にで良いのでしょうか。
A18:こちらのご質問に関しましては、スライド番号48-50をご参照ください。
Q19:Inspetor が診断可能なインスタンスに、ECS インスタンスも含まれるのでしょうか。
A19:いいえ、含まれておりません。
Q20:「エージェントは自動更新される」とのことですが、どういうタイミングで自動更新されますか?
A20:AWSエージェントの更新が利用可能になると、自動的にダウンロードされます。
Q21:本番環境で診断を行う場合において、1時間で診断した場合診断中の負荷が気になるのですがその点についてはいかがでしょうか?
A21:CPUアイドル時間に動くなど、実行中の他プロセスに対する影響が無いよう設計されております。
Q22:精査時間の推奨1時間では基本的には全ての診断を完了する事ができると考えてよいのでしょうか
A22:評価時間は、選択したルールパッケージや対象EC2インスタンスの状況によります。その評価テンプレートにどれくらい時間がかかるか試しに動かしてみるのが確実と言えます。
Q23:エージェントの更新は自動との事ですが、更新により既存システムへの影響は無いと考えてよろしいでしょうか?
A23:AWSエージェントのみ更新されるので、既存システムへの影響は考えられません。
Q24:Previewが解除されるとWindowsも最新OSがサポートされるようになるのでしょうか。なんらかの理由でR2は対象外になっているだけでしょうか。
A24:将来のサポートOSは現時点では不明のため、スライド番号49にあるURLで必要な時に最新情報をご確認いただければと存じます。
Q25:CVE,CIS等実行する評価単位がわかれているのはなぜでしょうか?両方一度に評価も可能でしょうか?
A25:診断内容毎にルールパッケージが定義されています。1つの評価テンプレートに複数のルールパッケージを選択できます。
Q26:エージェントが搭載されているEC2インスタンスが停止中だった場合、停止中だった旨は通知されますでしょうか。
A26:いいえ、EC2インスタンスが停止している時は、その上のAWSエージェントも動作できないことになります。CloudWatchなど代替通知手段をご検討ください。
Q27:オートスケールで設定した場合、Amazon Inspectorが実行されるタイミングはいつになるのでしょうか。
A27:APIなどを通じてユーザーが任意のタイミングで実行できます。
Q28:最初の90日の間250回の評価を無料で実行可能ですが、これは1アカウント1度きりということでしょうか
A28:はい、その通りです。
Q29:EC2インスタンス停止中などだった場合、再実行は可能でしょうか?
A29:EC2インスタンスが再開時に評価したい場合は、そのタイミングでAPIなどを通じてユーザーが実行を開始することができます。
以上です。7月のAWS Black Belt Online Seminarの予定は
こちら に掲載されております。オンラインで気軽に見られて、質問もできますので、みなさま奮ってのご参加を お待ちしております。