2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

AWS公式資料で挑むSCS認定(16)-Inspector

Last updated at Posted at 2022-03-06
[前回] AWS公式資料で挑むSCS認定(15)-GuardDuty

はじめに

「Security, Identity & Compliance」サービスの続き、Amazon Inspectorです。
脆弱性診断を自動化するサービスで、Amazon EC2にエージェント導入が必要。

教材を選ぶ

AWS Black Belt Online Seminar [Amazon Inspector] 資料を使用します。

恒例となりつつありますが、本資料のベストスライドは、
「脆弱性診断の種類(レイヤー)」です(すみません、個人的見解です)。
理由は、脆弱性対策の全体像が、一枚にまとまっているからです。
やはり森が見えると、木も理解しやすくなりますね。

  • 脆弱性とは
    • コンピュータのOSやソフトウェアにおいて
    • プログラムの不具合や設計上のミスが原因となって発生する
    • 情報セキュリティ上の欠陥(セキュリティホール)

Amazon Inspectorとは

Amazon EC2にエージェントを導⼊し、
プラットフォームの脆弱性を診断する、
ホスト型診断サービス。

Inspectorのアーキテクチャ

image.png

引用元: https://d1.awsstatic.com/webinars/jp/pdf/services/20160622_AWS_BlackBelt-Inspector-public.pdf

セキュリティ診断

⽬的はリスクの可視化

セキュリティリスク

リスクの要因と管理可否

  • 脅威(Threats)
      • 標的型攻撃
      • マルウェア
      • サイバー攻撃
    • 管理可能か
      • 外部脅威の管理は困難
  • 脆弱性(Vulnerabilities)
      • セキュリティホール
      • 設定ミス
      • ⼼理的要素
    • 管理可能か
      • 脆弱性は社内にあるため対応は可能
  • 情報資産(Assets)
      • 機密情報
      • 個⼈情報
      • 知的財産
    • 管理可能か
      • 管理可能
      • 重要度はビジネス側の要請に依存

脆弱性診断の種類(レイヤーの観点)

脆弱性攻撃と対策およびそのレイヤー

  • SQLインジェクション
  • クロスサイトスクリプティング
  • OSコマンドインジェクション
  • パラメータ改ざん
    • 対策
      • WAF
    • レイヤー
      • Webアプリケーション
    • 診断種類
      • Webアプリケーション診断
  • エクスプロイト
  • DoS攻撃
    • 対策
      • IPS
    • レイヤー
      • OS/ミドルウェア
    • 診断種類
      • プラットフォーム診断
  • ポートスキャン
    • 対策
      • Firewall
    • レイヤー
      • ネットワーク
    • 診断種類
      • プラットフォーム診断

脆弱性診断の種類(トポロジーの観点)

2種類:

  • 外部ネットワーク型診断
    • 目的
      • 外部攻撃からシステムを保護できるか
    • 想定する脆弱性
      • システム全体のセキュリティホール
    • 実施時の例
      • システムのサービスイン時
  • 内部ネットワーク型診断
    • 目的
      • マルウェア感染した内部端末の攻撃からサーバーを保護できるか
      • 内部不正アクセスを防げるか
    • 想定する脆弱性
      • サブネット内のセキュリティホール
      • 設定ミス・構成ミス
    • 実施時の例
      • ネットワークやサーバー構成の変更時
  • ホスト型診断
    • 目的
      • 各種設定が企業ポリシーに準拠しているか
    • 想定する脆弱性
      • 設定ミス・構成ミス
    • 実施時の例
      • 監査のタイミング毎

Inspector の機能

  • システム設定や振る舞いの分析エンジン
  • 組み込みルールパッケージ
    • CVE (Common Vulnerabilities & Exposures)
      • 共通脆弱性識別子 (CVE) とは、一般公開されているコンピュータセキュリティの欠陥のリスト
      • 個別製品中の脆弱性が対象
      • ⽶国の⾮営利団体のMITRE社が採番
      • CVE識別番号は「CVE-⻄暦-連番」で構成
      • EC2インスタンスが次のリストのCVEにさらされているかどうかを評価
      • CVEリストは定期的に⾃動更新される
    • CIS (Center for Internet Security)
      • OSのセキュリティ設定ベンチマーク
      • CISとは⽶国のインターネットセキュリティ標準化団体
      • 業界標準のOSセキュリティ設定ガイド(ベンチマーク)を提供
      • CIS準拠のAMIをAWS Marketplaceなどで提供
    • セキュリティのベストプラクティス
      • 重要度High
        • システムディレクトリに対するアクセス権限の設定
      • 重要度Medium
        • SSH経由のrootログインを無効化する
        • SSHバージョン2のみをサポート
        • SSH経由のパスワード認証を無効化する
        • パスワードの有効期限を設定する
        • パスワードの最⼩⽂字数を設定する
        • パスワードの複雑さを設定する
        • アドレス空間配置のランダム化(ASLR)の有効化
        • データ実⾏防⽌(DEP)の有効化
    • 実⾏時の振る舞い分析
      • 重要度High
        • 安全でないアクセス権限を持つrootプロセス
      • 重要度Medium
        • 安全でないクライアントプロトコル(ログイン)
        • データ実⾏防⽌(DEP)のないソフトウェア
        • スタックCookieがないソフトウェア
      • 重要度Low
        • 安全でないクライアントプロトコル(⼀般)
      • 重要度Informational
        • 未使⽤のリッスンするTCPポート
        • 安全でないサーバープロトコル
  • 推奨対応⼿順が含まれた詳細レポート
  • API連携による開発プロセスとの統合

Inspector の特⻑

AWSリソースに対するセキュリティ評価サービスの特徴:

  • オンデマンド
  • ⾃動的
  • 詳細
  • 事前申請不要
  • 繰り返し/再利⽤可能
  • 推奨対応⽅法を提示

Inspector エージェント要件

  • パブリックエンドポイントへのネットワークパス
    • Amazon Inspectorサービスエンドポイント
    • Amazon S3サービスエンドポイント
  • サービスエンドポイントとのTLS通信
    • 全ての接続はAWSエージェントからのアウトバウンド通信で確⽴
    • セキュリティグループでインバウンド通信を許可する必要なし
    • 経路中にプロキシサーバーがある場合は利⽤不可
    • インストールにはOSの管理者権限が必要

Inspectorのユースケース

  • 設計開発時
    • 継続的なデプロイ+セキュリティ評価
  • 本番運⽤時
    • セキュリティの⾃動拡張
      1. Auto Scalingグループの起動設定でエージェント導⼊
      2. スケールアウトによるインスタンス⽣成
      3. Auto Scalingグループタグを評価ターゲットに設定することで、⾃動でセキュリティ評価対象になる

評価結果対応の簡易ワークフロー

  • 評価結果に属性を追加することで、対応処理の簡易ワークフローが実現可能
      • キー: 状況, 値: 緊急
      • キー: 担当者, 値: ⽥中
  • 評価結果のデフォルト属性を設定可
      • キー: 担当者, 値: 共通基盤チーム

Amazon Inspectorのまとめ

  • ホスト型プラットフォーム脆弱性診断
  • オンデマンド・⾃動化・詳細なサービス
  • いつでも何度でも簡単に使える

おわりに

Amazon Inspectorの脆弱性診断は、運用のみならず、
製品開発のセキュリティテストでも活用できそうですね。
次回は、Amazon Macieです。お楽しみに。

[次回] AWS公式資料で挑むSCS認定(17)-Macie
2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?