こんばんは、小寺です。
Amazon Inspector v2でCIS オペレーティングシステムのセキュリティ設定ベンチマークをサポートしました。
https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-inspector-cis-benchmark-assessments-operating-systems-ec2-instances/
CIS Benchmarksとは
CIS Benchmarksは、Center for Internet Security(CIS)によって発表されたITシステム、ソフトウェア、ネットワーク、およびクラウド・インフラストラクチャーを安全に構成するためのベスト・プラクティスです。
サイバー対策指針を策定する際に参照されるケースもあります。CIS Benchmarksには7つのコア・カテゴリーがあります。この中でOSは、Microsoft Windows、Linux、Apple OSXなどコア・オペレーティング・システムのセキュリティー構成を対象としています。 これらには、ローカル・アクセスやリモート・アクセスの制限、ユーザー・プロファイル、ドライバー・インストール・プロトコル、およびインターネット・ブラウザー構成のためのベスト・プラクティス・ガイドラインが含まれます。
アップデート内容
Amazon Inspector v2でCIS オペレーティングシステムのセキュリティ設定ベンチマークをサポートしました。
実は、Amazon Inspectorには「Amazon Inspector Classic」と「Amazon Inspector v2」の2つのバージョンがあります。
主な機能の違いについては、以下を参照くださいませ。
Q: Amazon Inspector は Amazon Inspector Classic とどのように異なりますか?
Amazon Inspector は、新しい脆弱性管理サービスを創出するために再設計および再構築されました。Amazon Inspector Classic から強化された主な点は次のとおりです。
スケールを考慮した構築: 新しい Amazon Inspector は、スケールと動的なクラウド環境を考慮して構築されています。一度にスキャンできるインスタンスまたはイメージの数に制限はありません。
コンテナイメージおよび Lambda 関数のサポート: 新しい Amazon Inspector は、Amazon ECR と CI/CD ツール、および Lambda 関数にあるコンテナイメージもスキャンして、ソフトウェアの脆弱性を検出します。コンテナ関連の検出結果も ECR コンソールにプッシュされます。
マルチアカウント管理のサポート: 新しい Amazon Inspector は AWS Organizations と統合されているため、組織の Amazon Inspector の管理者アカウントに委任できます。この委任された管理者 (DA) アカウントは、すべての結果を統合し、すべてのメンバーアカウントを設定できる一元化されたアカウントです。
AWS Systems Manager Agent: 新しい Amazon Inspector を使用すると、すべての Amazon EC2 インスタンスにスタンドアロンの Amazon Inspector エージェントをインストールして維持する必要がなくなります。新しい Amazon Inspector は、広くデプロイされている AWS Systems Manager Agent (SSM Agent) を使用しており、その必要性を排除しています。
自動化された継続的なスキャン: 新しい Amazon Inspector は、新しく起動されたすべての Amazon EC2 インスタンス、Lambda 関数と Amazon ECR にプッシュされた適格なコンテナイメージを自動的に検出し、ソフトウェアの脆弱性と意図しないネットワークのエクスポージャーを即座にスキャンします。新しい脆弱性をもたらす可能性のあるイベントが発生すると、関連するリソースが自動的に再スキャンされます。リソースの再スキャンを開始するイベントには、EC2 インスタンスへの新しいパッケージのインストール、パッチのインストール、およびリソースに影響を与える新しい一般的な脆弱性と暴露 (CVE) がパブリッシュされた際などがあります。
Inspector リスクスコア: 新しい Amazon Inspector は、最新の CVE 情報を、ネットワークのアクセス可能性や悪用可能性の情報などの時間的および環境的要因と相関させて、検出結果の優先順位付けに役立つコンテキストを追加することにより、Inspector のリスクスコアを計算します。
脆弱性評価の対象範囲: 新しい Amazon Inspector は、EC2 インスタンスをシームレスにスキャンし、エージェントベースのスキャンとエージェントレススキャンの切り替え (プレビュー) により、脆弱性評価を強化します。
ソフトウェア部品表 (SBOM) のエクスポート: 新しい Amazon Inspector は、監視対象のすべてのリソースの SBOM を一元的に管理してエクスポートします。
https://aws.amazon.com/jp/inspector/faqs/
元々Amazon InspectorではClassicとv2の両方が同じAWSアカウント内で有効にすることができます。そして、Classicでは CIS スキャンルールパッケージが利用できましたが、v2でも CIS スキャンのサポートが今回追加になっています。
Amazon Inspector ClassicでサポートしているOSバージョンは以下の通りです。
- 64-bit x86 instances
- Amazon Linux 2
- Amazon Linux (2018.03, 2017.09, 2017.03, 2016.09, 2016.03, 2015.09, 2015.03, 2014.09, 2014.03, 2013.09, 2013.03, 2012.09, 2012.03)
- Ubuntu (20.04 LTS, 18.04 LTS, 16.04 LTS, 14.04 LTS)
- Debian (10.x, 9.0 – 9.5, 8.0 – 8.7)
- Red Hat Enterprise Linux (8.x, 7.2 – 7.x, 6.2 – 6.9)
- CentOS (7.2 – 7.x, 6.2 – 6.9)
- Arm instances
- Amazon Linux 2
- Red Hat Enterprise Linux (7.6 – 7.x)
- Ubuntu (18.04 LTS, 16.04 LTS)
- Windows Server 2019 Base
- Windows Server 2016 Base
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
まとめ
Amazon Inspector v2でCIS オペレーティングシステムのセキュリティ設定ベンチマークがサポートされています。FAQにもユーザの要望に応えて提供予定と記載があったので、待望の?アップデートですね。