てしりこじり

しりがちいさいエンジニアがいるという

AWS の Amazon Inspector を定期実行させる

今年の1月に Amazon Inspector の定期実行のための Lambda の blueprint が公開されました。
Amazon Inspector launches support for Ubuntu 16.04 and an AWS Lambda blueprint for assessment scheduling
これで Inspector の定期実行が楽になったよ。

Amazon Inspector とは

  • AWS が用意したルールを使ってOSの脆弱性をチェックしてくれる
  • AWS 上のインスタンスしか利用できない
  • エージェントの導入が必要

AWSインスタンス限定やエージェント導入が必要という制限がありますが、AWSで運用しているなら問題なく利用できるのでは。

Inspector 設定

既に設定済みであれば、スルーで

  1. 評価ターゲットの設定
    • EC2 インスタンスに設定するタグを定義して Inspector の実行対象を設定する
  2. 評価テンプレートの設定
    • 実行されるルールパッケージを選択する
    • OS が特定の AmazonLinux (2014.09~2015.03)でない限り、CIS OS Security Configuratio Benchmarks-1.0 は不要

Lambda 設定

  1. Select BluePrint にて inspector-scheduled-run を選択する
  2. CloudWatch Events の設定を行う
    • デフォルトで 1、5、15、60分毎、1日毎、平日17時 が選択可能
      • 毎週水曜の19時とかなら cron(0 10 ? * wed *) ※時刻はGMTで評価される
      • 毎月1日の19時とかなら cron(0 10 1 * * *) ※時刻はGMTで評価される
    • 有効化は後でもよい
  3. Function の設定
    • Runtime は Node.js 4.3 を設定
    • Environment variables の assessmentTemplateArn に 1で設定した評価テンプレートのARNを設定
    • Hundler は index.handler を設定
    • Role の設定は 以下を設定
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "inspector:StartAssessmentRun",
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}

これで日々の脆弱性チェックが少しは楽になるかと。


Amazon Web Services完全ソリューションガイド

Amazon Web Services完全ソリューションガイド