AWS の Amazon Inspector を定期実行させる
今年の1月に Amazon Inspector の定期実行のための Lambda の blueprint が公開されました。
Amazon Inspector launches support for Ubuntu 16.04 and an AWS Lambda blueprint for assessment scheduling
これで Inspector の定期実行が楽になったよ。
Amazon Inspector とは
AWSのインスタンス限定やエージェント導入が必要という制限がありますが、AWSで運用しているなら問題なく利用できるのでは。
Inspector 設定
既に設定済みであれば、スルーで
- 評価ターゲットの設定
- EC2 インスタンスに設定するタグを定義して Inspector の実行対象を設定する
- 評価テンプレートの設定
- 実行されるルールパッケージを選択する
- OS が特定の AmazonLinux (2014.09~2015.03)でない限り、
CIS OS Security Configuratio Benchmarks-1.0
は不要
Lambda 設定
- Select BluePrint にて
inspector-scheduled-run
を選択する - CloudWatch Events の設定を行う
- Function の設定
- Runtime は
Node.js 4.3
を設定 - Environment variables の
assessmentTemplateArn
に 1で設定した評価テンプレートのARNを設定 - Hundler は
index.handler
を設定 - Role の設定は 以下を設定
- Runtime は
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "inspector:StartAssessmentRun", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "*" } ] }
これで日々の脆弱性チェックが少しは楽になるかと。
Amazon Web Services完全ソリューションガイド
- 作者: 大澤文孝,川上明久,大嶋和幸
- 出版社/メーカー: 日経BP社
- 発売日: 2016/12/22
- メディア: 単行本
- この商品を含むブログを見る