Amazon Inspector Introduction Document カテゴリ：ソリューションカット

1. Amazon Inspectorについて
2016年5月9日
アマゾン ウェブ サービス ジャパン株式会社
技術本部 レディネスソリューション部
セキュリティソリューションアーキテクト
桐山 隼人

2. 2
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
お客様のアプリケーション・コンテンツお客様自身で
クラウドを
コントロール可能
AWSが
クラウドの
セキュリティを
担当
データ
セキュリティ
アクセス
コントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud

3. 3
Service Type Use cases
オンデマンドの評価
EC2インスタンス内の導入されるOS・アプリケーション
のセキュリティ分析
変更管理 AWSサービスの変更記録とトラッキング
継続的な評価
変更による誤設定検知、ベストプラクティスの維持、脆
弱性の検知
定期的な評価
コスト、パフォーマンス、信頼性、セキュリティの観点
からの広範な調査
APIログの取得 AWS環境の操作に関するログの取得
リソース・ログ監視
AWSサービスのリソース監視と各種ログの収集・モニタ
リング
Inspector
Config
Rules
Trusted
Advisor
AWS
Config
継続的なモニタリング
Cloud
Trail
Cloud
Watch
Security
“IN” the Cloud
Security
“OF” the Cloud
AWS Security and Compliance

4. 4
Amazon Inspector

5. 5
アプリケーションのセキュリティ診断ツール
ビルトインのルールパッケージを選択可能
セキュリティの観点での「所見」 – ガイダンスと管理
API経由での自動化
Amazon Inspector って何？

6. 6
自動化、再利用可能、コスト削減
AWSセキュリティ専門家の知識をサービスの形で活用
顧客の問題解決に役立つActionableな「所見」を伝える
なぜ Amazon Inspector？
・・・(今までの)インフラセキュリティはコスト高な上に非効率だから

7. 7
1. EC2インスタンスにエージェントをインストール(後述)
2. アプリケーション固有のタグをそのインスタンスにつける
3. Amazon Inspectorの評価ターゲットと評価テンプレートを作成(後述)
4. Inspector起動
5. 対象サービスを実行しテスト
6. Inspectorを停止する、もしくは設定したタイムアウトを待つ
7. 「所見」を基に適切に修正
どうやって Amazon Inspector を使う？

8. 8
#!/bin/bash
wget https://s3-us-west-2.amazonaws.com/inspector.agent.us-
west-2/latest/install
chmod a+x /home/ec2-user/install
/home/ec2-user/install
$url = “https://s3-us-west-2.amazonaws.com/aws-agent-updates-
test/windows/product/AWSAgentInstall.exe”
$wc = New-Object.System.Net.Client
$wc.DownloadFile($url, “AWSInstall.exe”)
& .AWSInstall.exe /quiet
エージェントのインストール(手順1)

9. 9
Create an application
評価ターゲットの定義(手順3)

10. 10
Create an application
評価テンプレートの定義(手順3)

11. 11
Red Hat Enterprise Linux (7.2 or later)
CentOS (7.2 or later)
Ubuntu (14.04 LTS or later)
Amazon Linux (2015.03 or later)
Microsoft Windows (2012, 2008 R2) - Preview
エージェントのサポートOS

12. 12
米国東部 (バージニア北部) [us-east-1]
米国西部 (オレゴン) [us-west-2]
EU (アイルランド) [eu-west-1]
アジアパシフィック (東京) [ap-northeast-1]
 シドニー、韓国はGA(2016/4/19)から一か月後
使用可能リージョン

13. 13
料金
*エージェント評価 = 月あたり 1 エージェント1 評価あたり

14. 14
Common Vulnerabilities & Exposures
Center for Internet Security – Secure Configuration Benchmarks
Security Best Practices
Runtime Behavior Analysis
ルールパッケージ

15. 15
自社サービスに対するセキュリティ評価の運用負荷を減らし
たい
 診断にかける予算とスキルがあまりない
脆弱性診断を継続的に実施していきたい
 より積極的にセキュアなデプロイを行いたい
 サービス開発プロセスにセキュリティを組み込みたい
こんなお客様に

16. 16