2021年4月にOracle Cloud Infrastructureのセキュリティの新しいサービスとしてVulnerability Scanning Serviceがリリースされました。VMインスタンスが作成される際のデフォルト・プラグインを利用しているためOCIのコンソール設定だけで簡単に利用することができます。また、Cloud Guardと組み合わせてよりセキュアなOCI環境を構築することが可能です。
この機能は、無償サービスとして提供されています。
それでは、実際の設定方法を紹介します。
以降の設定はAdministratorグループに所属するユーザーで実行していますが、それ以外の場合はこちらを参考にリソースにアクセスするための適切なポリシーを自身に割り当てて下さい、
ポリシーの設定
Host Scanningを実行するために、以下のIAMをポリシーを割り当てる。(Compartment指定の場合は、こちら)
allow service vulnerability-scanning-service to manage instances in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
allow service vulnerability-scanning-service to read vnics in tenancy
allow service vulnerability-scanning-service to read vnic-attachments in tenancy
レシピの作成
-
スキャン・レシピ -> 作成するコンパートメントを指定して、作成をクリック
-
お好みの設定を指定して作成
ターゲットの作成
-
ターゲットを指定して新規作成
-
作成したレシピを選択、ターゲット範囲を指定して作成。以下はコンパートメント配下すべてのインスタンス
設定はこれで完了です。しばらくするとスキャンの結果が反映されます。以降は設定したスケジュールで定期的に自動実行されます。
ホスト・スキャン
-
コンパートメント配下にあるすべてのインスタンスのホスト・スキャン結果サマリー
-
インスタンスごとのスキャン結果
-
検出されたオープンポート
-
検出された脆弱性。CVE(Common Vulnerabilities and Exposures)の詳細はNISTのページにリンクされる
-
CISベンチマーク(Oracle CloudのCISベンチマークはこちら)
ポート・スキャン
- すべてのインスタンスのポート・スキャンの結果サマリー
Cloud Guardとの連携
- Cloud Guardを有効化しておけば、スキャンによって検出された脆弱性は問題として認識される。結果をEvents + Notificationsサービスで管理者に通知させることが可能
- Cloud Guardからの通知メール例
