はじめに
こんにちは、クラウド事業部の清水です。
最近、所属プロジェクトにてInspectorの検討から実際に導入までを経験しました。
コンソールからInspectorを設定する際にv1である【Inspector classicに切り替える】タブを選択するとデフォルト設定と何が変わるのか気になり調査してみました!
こんな方へおすすめの記事です
- Inspectorの導入を検討している方
- AWS Certified Security - Specialty受験勉強している方
- AWSサービスを用いたセキュリティ運用の知見を広げたい方
AWS Inspectorとは
Inspectorは自動化された脆弱性管理サービスであり、EC2,ECS,Lambda関数を継続的にスキャンしてソフトウェアの脆弱性と意図しないネットワークのリスクを検出することができます。
現在のデフォルト設定
コンソールから有効化設定する際、デフォルトでInspector v2が選択されます。
v1を選択したい場合は【Inspector classicに切り替える】タブを選択するとv1に切り替えて設定することができます。
v1 v2比較
v1 | v2 | 備考 | |
---|---|---|---|
スキャン対象 | EC2のみ | EC2, ECS, Lambda | v2からECR, Lambdaスキャンが追加された |
マルチアカウント対応 | なし | あり | v1は単一アカウントのみだった |
エージェント | Inspectorエージェント | SSMエージェント v2からはSSMエージェントをインストールしていればスキャン対象に入る |
|
評価方法 | 個別に設定する必要あり 【ネットワーク到達可能ルール】 【ホスト評価ルール】 |
統合されている | v2からは評価方法が統合された |
スキャンタイミング | コントロール可能 1週間1度など設定した場合、自動的にEventBridgeが作成される |
コントロール不可 自動的に実行される。有効時や作成時にスキャンされ、その後再スキャンされる。 ★再スキャン条件→既存リソースが再起動/更新/CVEが公開されたとき |
v2からはSSMエージェントをインストールしていればスキャン対象に入る |
コスト | 【ネットワーク到達可能ルール】 →最初の250件のインスタンス評価0.15USD/month →次の750件のインスタンス評価0.13USD/month 【ホスト評価ルール】 →最初の250件のインスタンス評価0.30USD/month →次の750件のインスタンス評価0.25USD/month |
EC2 1インスタンス→1.512USD/month ECR 最初にスキャンされたイメージごとに0.11USD/month 再スキャンごとに0.1USD/month Lambda Lambda関数ごとに0.36USD/month |
東京リージョンのコストで算出。 |
脆弱性スコア | なし | あり | v2からはネットワーク情報も加味して脆弱性をスコア付けしてくれる |
メリットデメリット要約
v1
メリット→Inspector agentをインストールしたEC2しか対象にならないため対象を絞りやすい。
デメリット→Inspector agentのインストールや初期設定の煩雑さがある。v2
メリット→設定の煩雑さから解放され、多くの機能がv1より向上している。EC2以外にもECR, Lambda関数のスキャンができる。脆弱性をスコア付けしてくれる。
デメリット→特にないがSSM agentがインストールされているEC2は全てスキャンしてしまう。
v2ここがいいなと感じたところ
もし、EC2のみスキャンしたい場合はコンソールからECRとLambdaをスキャン対象から外すこともできますのでここら辺も柔軟でいいなと思いました。
ただ、SSMエージェントがスキャンされている EC2はスキャンから逃れることができないので注意してください。
まとめ
特に要件がない場合はv2を採用することになると思います。
機能が向上し、スキャンできるサービスも増えなにより設定も簡単になったため私の現場でもv2を採用することになりました。
【Inspector classicに切り替える】タブを気にしなければ何も気にせず素通りしていたことですが改めて調べてみるととても良い勉強となりました。
おわりに
APCはAWSセレクトティアサービスパートナー認定を受けております。
その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
https://www.ap-com.co.jp/service/utilize-aws/
また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。