前回、下の内容でAmazon Inspectorをセットアップしました
今回は、Amazon Inspectorで、EC2のOSを新旧比較し、脆弱性の差分を見てみたいと思います。
なお、EC2を起動してからセキュリティ対応は何もしていない初期状態で、
インターネットからEC2に通信できない状態です
まずは、Windowsの比較
WindowsServer2022
2023.11.15版 AMI名:Windows_Server-2022-English-Full-Base-2023.11.15
High 1件
WindowsServer2016
2023.11.15版 AMI名:Windows_Server-2016-English-Full-Base-2023.11.15
High 1件
Medium 5件
WindowsServer2022と比較して件数が多いですが、最初からAMIにセキュリティパッチが適用されて減っているようです
次は、AmazonLinuxの比較
AmazonLinux2023
2023.11.13版 AMI名:al2023-ami-2023.2.20231113.0-kernel-6.1-x86_64
脆弱性検出なし
AmazonLinux2
2023.11.16版 AMI名:amzn2-ami-kernel-5.10-hvm-2.0.20231116.0-x86_64-gp2
脆弱性検出なし
AmazonLinux2023もAmazonLinux2も起動直後の初期状態で、しっかり対処済みのようです。さすがAWS提供OS
ここまで使用した4つのOSは、EC2インスタンス起動時に「クイックスタート」で選択したAMIでした。次に「コミュニティ」内の古いメンテナンス状態のAMIはどうなるでしょうか。
AmazonLinux2
2021.12.01版 AMI名:amzn2-ami-kernel-5.10-hvm-2.0.20211201.0-x86_64-gp2
Critical 3件
High 113件
Medium 152件
スクリーンショットは途中で割愛
Critical3件を含み、合計268件
最新版のAMIでは脆弱性0件でしたが、2年前に提供されたAMIには大量の脆弱性があります
最新版もいずれはこのようになるのでしょう。頻繁に脆弱性対応を行う重要性をあらためて感じました。