Amazon inspector

AMAZON INSPECTOR
2015.10.30
サーバーワークス小林孝剛

WHO AM I?
小林孝剛 (こばやしたかよし)
▸ 技術1課エンジニア
▸ サーバーワークス大阪オフィス
▸ takayoshi.kobayashi.16
▸ koba_taka
▸ 保育園の先生のあたりがキツい

最近こんなことが
▸ 保育園の担当の先生から
▸ 昨日も小林さんのところだけエプロンがありませんでしたよ…
▸ この服寒そうじゃないですか？
▸ しっかりしてくださいよー
▸ おねがいしますよー
▸ 大丈夫ですかー
▸ もっとがんばってくださいよー
最近の悩み

小林の脆弱性
突かれてる？

「返報性」「コミットメントと一貫性」
「社会的証明」「好意」「権威」「希少性」
Robert. B. Cialdini
ソーシャル・エンジニアリング
「6つの人間の脆弱性」

本題
ということで、今日の本題は脆弱性診断のお話です

質問
脆弱性診断のテストを行ったことがある方

▸
▸
▸
脆弱性診断ツール
脆弱性診断ツールの種類
オープンソース
有料
1DVD形式のペネトレーションツール

何ができるの？
脆弱性診断のパターン
▸ Vulnerable Javascript library (Javascriptライブラリの脆弱性)
▸ Development configuration file (Configファイルへのアクセス)
▸ HTML form without CSRF protection (CSRF対策がされているか)
▸ Slow HTTP Denial of Service Attack
▸ Cookie without HttpOnly flag set
▸ Cookie without Secure flag set
▸ Content type is not specified など

今日のお話
AMAZON INSPECTOR
▸ Amazon Inspector
▸ re:Invent 2015で発表
▸ AWSが提供する脆弱性診断
▸ 対応OS (バージョンは要確認)
▸ Amazon Linux
▸ Ubuntu Server
▸ 現在、オレゴンリージョンでのみ利用可能 (2015/10/30 現在)
▸ プレビュー中

AMAZON INSPECTORってどんな脆弱性に対応してるの
脆弱性診断対応
▸ Authentication Best Practices (認証)
▸ Network Security Best Practices (ネットワーク)
▸ Application Security Best Practices (アプリケーション)
▸ Common Vulnerabilities and Exposures (CVE)
▸ Operating System Security Best Practices (OS)
▸ PCI DSS 3.0 Readiness (PCI DSS)

▸ 診断タイプ
AUTHENTICATION BEST PRACTICE (認証)
▸Disable root log in over SSH
▸ rootでのSSHログイン
▸Support SSH Version 2 Only
▸ SSHv2のみ
▸Disable Password Authentication Over SSH
▸ Over SSHのパスワード認証
▸Configure Password Maximum Age
▸ パスワード期限
▸Configure Password Minimum Length
▸ パスワード長
▸Configure Password Complexity
▸ パスワードの複雑性

▸ 診断タイプ
NETWORK SECURITY BEST PRACTICES (ネットワーク)
▸ Use Secure Protocols
▸ セキュアプロトコル
▸ FTP, Telnet, HTTP, IMAP, POPv3, SMTP, SNMPv1 and v2 など
▸ Enable Packet Signing on SMB Servers
▸ SMBサーバーにパケット証明

▸ 診断タイプ
APPLICATION SECURITY BEST PRACTICES (アプリケーション)
▸ Stack Cookies Enabled
▸ スタッククッキーをサポートしているか
▸ スタックバッファオーバーフローの攻撃に有効
▸ Data Execution Prevention Enabled
▸ DEPのサポートをしているか
▸ ゼロデイ攻撃に有効

▸ 診断タイプ
COMMON VULNERABILITIES AND EXPOSURES (CVE)
▸ CVEで公開されている識別子をインスタンスがカバーされているか
▸ Amazonから対応CVE識別子が公開されています
▸ https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt

▸ 診断タイプ
OPERATING SYSTEM SECURITY BEST PRACTICES (OS)
▸ DEP Enabled
▸ DEPの有効
▸ Address Space Layout Randomization Enabled
▸ ASLRの有効
▸ System Directories Writable for Root Users Only
▸ システムディレクトリへの書き込み権限
▸ Secure Access to High Privilege Processes
▸ 特権プロセスへのアクセス

▸ 診断タイプ
PCI DSS READINESS BEST PRACTICES (PCI DSS)
▸ Requirement 1.1.6 - Use Secure Protocols
▸ Requirement 2.2.1 - Do not run multiple major services on a single EC2 instance
▸ Requirement 2.2.3 - Use Secure Protocols
▸ Requirement 2.2.2 - Do not have unused protocols running
▸ Requirement 2.2.5 - Do not have unused protocols running
▸ Requirement 2.3 - Use Secure Protocols
▸ Support SSH Version 2 Only
▸ Requirement 7.0 - Leave no high privilege processes vulnerable to tampering
▸ Requirement 8.1.8 - Limit user's idle session time
▸ Requirement 8.2 - Configure Password Maximum Age
▸ Requirement 8.2 - Configure Password Minimum Length
▸ Requirement 8.2 - Configure Password Complexity

利用してみよう
AWS INSPECTOR利用イメージ
▸ IAMロール作成

▸ リソースにタグ付け

▸ Agentのインストール

▸ Applicationを設定

▸ Assessmentを設定

環境
対決環境
▸ EC2 (us-east2)にzabbixを導入 (Amazon Linux)
▸ Zabbixは基本設定のみ
▸ 監視対象はなし
▸ Amazon Inspectorの設定
▸ ルールは全部のせ

対決
いざ、対決
▸ 検査時間 1時間
▸ 検査対象 2096メッセージ

対決
結果
▸ Medium 2件
▸ Application Security Best Practices (Stack Cookies Enabled) 1件
▸ Authentication Best Practices (Disable root log in over SSH) 1件
▸ Information 8件
▸ PCI DSS 3.0 Readiness 5件
▸ Network Security Best Practices 1件
▸ Common Vulnerabilities and Exposures 1件
▸ Operating System Security Best Practices 1件

対決
結果
完敗…Highなし

まとめ
▸ サービスローンチ前に脆弱性診断は大事
▸ Amazon Inspectorの利用は簡単
▸ これからに期待
▸ 脆弱性はないようにキチンと設計しよう

ありがとうございました！

Amazon inspector

More Related Content

What's hot

Viewers also liked

Similar to Amazon inspector

More from Serverworks Co.,Ltd.

Amazon inspector