こんにちは、kc-Dreamです。
この記事は株式会社ナレッジコミュニケーションが運営する クラウドAI by ナレコム Advent Calendar 2021 の9日目にあたる記事になります。
はじめに
AWS re:Invent 2021にてソフトウェアの脆弱性についてAWSワークロードを継続的にスキャンする脆弱性管理サービスであるAmazon Inspectorの新バージョンが発表されたので、まとめていきたいと思います。
Amazon Inspectorって何ができるの?
自動的にアプリケーションを評価し、露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認することができるサービスです。
今回発表された内容は、Amazon Inspectorが完全に再設計され、脆弱性管理を自動化し、ほぼリアルタイムの調査結果を提供して、新しい脆弱性を発見する時間を最小限に抑えているといったものとなります。
追加された機能
- ワンクリックで組織全体でサービスを有効化
有効にすると、Amazon Inspectorはすべてのワークロードを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークの露出を継続的にスキャンします。
- AmazonElastic ContainerRegistry(ECR)をサポート
ECRに存在するAmazonEC2インスタンスとコンテナイメージ全体の脆弱性の統合ビューを取得します。
- Amazon Systems Manager(SSM)エージェント
EC2脆弱性スキャンにAmazon Systems Manager(SSM)エージェントを使用するようになりました。
- その他
脆弱性の調査結果にインテリジェントな優先順位を付けるために、新しいインスペクターは、脆弱性情報を環境要因と相関させることにより、高度にコンテキスト化されたインスペクターのリスクスコアを導入します。インスペクターの結果もAmazonSecurity Hubにルーティングされ、Amazon EventBridgeにプッシュされて、パートナーソリューションで自動化され、平均解決時間(MTTR)が短縮されます。
また、CloudFormationのサポートが予定されています。
対応リージョン
アジア太平洋(シンガポール)
アジア太平洋(シドニー)
ヨーロッパ(アイルランド)
米国東部(北バージニア)
米国東部(オハイオ)
米国西部(オレゴン)
アジアパシフィック(香港)
アジアパシフィック(東京)
アジアパシフィック(ソウル)
アジアパシフィック(ムンバイ)
カナダ(中央)
ヨーロッパ(フランクフルト)
ヨーロッパ(ストックホルム)
ヨーロッパ(ミラノ)
ヨーロッパ(ロンドン)
ヨーロッパ(パリ)
中東(バーレーン)
南アメリカ(サオパウロ)
米国西部(北カリフォルニア)
価格
- ネットワークの到達可能性のルールパッケージを使用した Amazon Inspector の評価では、1 回の評価に含まれる各インスタンスについて (インスタンス評価) 月ごとに課金されます。
- ホスト評価のルールパッケージでは、評価対象のアプリケーションを実行している Amazon EC2 インスタンスにデプロイしたエージェントを使用します。ホスト評価のルールパッケージを使用した評価では、評価に含まれる各エージェントについて (エージェント評価) 月ごとに課金されます。
おわりに
アップデート情報が発表されたばかりですが、特にECRサポートと、SSMエージェントの使用がより使い勝手を向上させていると感じました。
今後、検証を進めていきたいと思います。