[re:Invent2023 ざっくre:Cap]Enhance workload security with agentless scanning and CICD integration

はじめに

みなさんこんばんは！hiropyです。
今回はre:inventで参加したセッションを、英語できないマンなりにざっくり振り返っていこうと思います！

本記事では「Enhance workload security with agentless scanning and CICD integration」について記載していきます。

翻訳ミス、意図の取り違えがあるかもしれませんが、「こんなことしてたんだ」くらいでご参考にしていただけると幸いです。

セッション概要

• セッション名：SEC243-NEW | [NEW LAUNCH] Enhance workload security with agentless scanning and CI/CD integration
• セッションタイプ：Breakout Session
• レベル：200

セッション概要は以下の通りです。

本セッションでは、デプロイ（CI/CD）パイプラインにAmazon Inspectorを組み込み、コンテナイメージをスキャンする方法をご紹介します。Amazon EC2インスタンスを監視するためにエージェントレススキャンを活用し、AWS Lambdaコードスキャンの発見に対してAIが支援するジェネレーティブな修復にアクセスします。AWSワークロード全体で一貫した脆弱性管理を可能にするAmazon Inspectorの影響と、HSBCがこれらの新機能をどのように使用しているかについて、HSBCから話を聞きましょう。

アップデートされたAmazon InspectorのCI/CDパイプラインにおける活用方法を紹介する背セッションでした！

セッション内容

Amazon Inspectorとは何か

自動で脆弱性を検知するマネージドサービス。
以前までは、以下のサービスが対象だった。

• EC2
• ECR
• lambda

CodeGuruとのコラボレーションもしている。
今回の発表で、CICDパイプラインがサポートされたことが発表された。
https://docs.aws.amazon.com/inspector/latest/user/scanning-cicd.html

なぜInspectorなのか

• ワークロード内の脆弱性をすぐに発見する
  • 自動的な探索により脆弱性の発見を早め、50を超える脆弱性情報のMTTR(平均修理時間)を短縮する
• パッチ改善の優先度をつける
  • 現在の脆弱性情報やネットワークのアクセシビリティを使用してリスク評価を作成し、脆弱性のあるリソースの優先度をつけたり解決したりする。
• コンプライアンスの要件に合致する
  • NISTやCFSなどのベストプラクティスやコンプライアンス要件をサポートする
• SBOMとの強化された可視性
  • 監視対象と連携したSBOM をS3に出力し、AthenaやQuickSightを使用してインサイトを得ることができる

Inspectorがどのように動くのか

サービスをローンチするときに自動的、かつ継続的にスキャンを実行する

簡単にOrganizationと統合することも可能
統合することで、それ以降に発行された新しいアカウントには自動的にInspectorが適用されるようになる

適用することで、アカウントごとの情報を閲覧できたり、全てのリソースの中から検索することもできる。

• Inspectorが監視する全てのリソースからSBOMを出力することができる。
• 脆弱性診断の結果をリアルタイムに出力できる

Inspectorは以下のようなケースをイベントトリガーにする

• 新しいパッケージがインストールされた時
• リソースにパッチが当たった時
• 新しいCVE が発見された時

発見された脆弱性は、リスクスコアとして計算される

Inspectorでできること

• Inspector のコンソールやAPIは、重大度、アカウント、またはその他の機能によって最も重要な脆弱性をハイライトする
• Security Hubは複数のソースやリージョンから調査結果を集約して単一のビューを作成できる
• Event BridgeやLambdaでカスタムアクションを作成することも可能
• ECRはコンテナについての詳細な脆弱性を提供できる

CI/CDにおけるInspectorのアップデート

• セキュリティのシフトレフト
  • CICDパイプライン内で、コンテナイメージの脆弱性スキャンを積極的に実施できるようになった
• EC2の脆弱性評価カバレッジを最大化する
  • SSMエージェントがインストールされていないインスタンスでも、エージェントレスのスキャンを実施する
    • ハイブリットスキャンモード
    • EBSのスナップショットのファイルシステムにアクセスし、EBS Direct APIを使用して脆弱性スキャンを実施する
    • アカウント外にスナップショットが漏洩する心配はない
• 生成系AIがコード改善をサポートする
  • Lambdaのコードスキャン時に、生成系AIによるコード改善サポートを受けることによって、思考時間を削減する

QuickSight とのコラボレーション

InspectorとQuickSightを連携することで、脆弱性スキャンの結果を可視化することができる

• Inspectorにより分析したことをEventBridgeでトリガー
• DynamoDBに分析結果を入れる
• KInesis Data StreamによりLambdaにデータを転送
• データをQuickSight により分析、ダッシュボード化

QuickSightと連携する利点

• CVE スキャン結果を可視化することができる
• 重大度や地域、AMIからの検索なども￥実施できる
• スキャン結果をほぼリアルタイムで可視化できる

さいごに

いかがでしたでしょうか？
少しでも皆様のお役に立てれば幸いです。