2021年4月にOracle Cloud Infrastructureのセキュリティの新しいサービスとしてVulnerability Scanning Serviceがリリースされました。VMインスタンスが作成される際のデフォルト・プラグインを利用しているためOCIのコンソール設定だけで簡単に利用することができます。また、Cloud Guardと組み合わせてよりセキュアなOCI環境を構築することが可能です。
この機能は、無償サービスとして提供されています。
それでは、実際の設定方法を紹介します。
以降の設定はAdministratorグループに所属するユーザーで実行していますが、それ以外の場合はこちらを参考にリソースにアクセスするための適切なポリシーを自身に割り当てて下さい、
##ポリシーの設定
Host Scanningを実行するために、以下のIAMをポリシーを割り当てる。(Compartment指定の場合は、こちら)
allow service vulnerability-scanning-service to manage instances in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
allow service vulnerability-scanning-service to read vnics in tenancy
allow service vulnerability-scanning-service to read vnic-attachments in tenancy
##レシピの作成
-
スキャン・レシピ -> 作成するコンパートメントを指定して、作成をクリック
-
お好みの設定を指定して作成
##ターゲットの作成
-
ターゲットを指定して新規作成
-
作成したレシピを選択、ターゲット範囲を指定して作成。以下はコンパートメント配下すべてのインスタンス
設定はこれで完了です。しばらくするとスキャンの結果が反映されます。以降は設定したスケジュールで定期的に自動実行されます。
##ホスト・スキャン
-
コンパートメント配下にあるすべてのインスタンスのホスト・スキャン結果サマリー
-
インスタンスごとのスキャン結果
-
検出されたオープンポート
-
検出された脆弱性。CVE(Common Vulnerabilities and Exposures)の詳細はNISTのページにリンクされる
-
CISベンチマーク(Oracle CloudのCISベンチマークはこちら)
##ポート・スキャン
- すべてのインスタンスのポート・スキャンの結果サマリー
##Cloud Guardとの連携
- Cloud Guardを有効化しておけば、スキャンによって検出された脆弱性は問題として認識される。結果をEvents + Notificationsサービスで管理者に通知させることが可能
- Cloud Guardからの通知メール例
