Upload
amazon-web-services-japan
View
632
Download
0
Embed Size (px)
Citation preview
Amazon Inspector について
2016 年 5 月 9 日アマゾン ウェブ サービス ジャパン株式会社技術本部 レディネスソリューション部セキュリティソリューションアーキテクト桐山 隼人
2
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWSグローバルインフラストラクチャ リージョン
アベイラビリティゾーン エッジ
ロケーション
ネットワークサーバー
セキュリティ
インベントリ・構成管理
お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能
AWS がクラウドのセキュリティを担当
データセキュリティ
アクセスコントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
3
Service Type Use cases
オンデマンドの評価EC2 インスタンス内の導入される OS ・アプリケーションのセキュリティ分析
変更管理 AWS サービスの変更記録とトラッキング
継続的な評価変更による誤設定検知、ベストプラクティスの維持、脆弱性の検知
定期的な評価コスト、パフォーマンス、信頼性、セキュリティの観点からの広範な調査
API ログの取得 AWS 環境の操作に関するログの取得
リソース・ログ監視AWS サービスのリソース監視と各種ログの収集・モニタリング
Inspector
Config Rules
Trusted Advisor
AWSConfig
継続的なモニタリング
CloudTrail
CloudWatch
Security “IN” the Cloud
Security “OF” the CloudAWS Security and Compliance
4
Amazon Inspector
5
•アプリケーションのセキュリティ診断ツール•ビルトインのルールパッケージを選択可能•セキュリティの観点での「所見」 – ガイダンスと管理• API 経由での自動化
Amazon Inspector って何?
6
•自動化、再利用可能、コスト削減• AWS セキュリティ専門家の知識をサービスの形で活用•顧客の問題解決に役立つ Actionable な「所見」を伝える
なぜ Amazon Inspector ?
・・・ ( 今までの ) インフラセキュリティはコスト高な上に非効率だから
7
1. EC2 インスタンスにエージェントをインストール ( 後述 )
2. アプリケーション固有のタグをそのインスタンスにつける3. Amazon Inspector の評価ターゲットと評価テンプレートを作成 ( 後述 )
4. Inspector 起動5. 対象サービスを実行しテスト6. Inspector を停止する、もしくは設定したタイムアウトを待つ7. 「所見」を基に適切に修正
どうやって Amazon Inspector を使う?
8
#!/bin/bashwget https://s3-us-west-2.amazonaws.com/inspector.agent.us-west-2/latest/installchmod a+x /home/ec2-user/install/home/ec2-user/install
$url = “https://s3-us-west-2.amazonaws.com/aws-agent-updates-test/windows/product/AWSAgentInstall.exe”$wc = New-Object.System.Net.Client$wc.DownloadFile($url, “AWSInstall.exe”)& .\AWSInstall.exe /quiet
エージェントのインストール ( 手順 1)
9
Create an application評価ターゲットの定義 ( 手順 3)
10
Create an application評価テンプレートの定義 ( 手順 3)
11
• Red Hat Enterprise Linux (7.2 or later)
• CentOS (7.2 or later)
• Ubuntu (14.04 LTS or later)
• Amazon Linux (2015.03 or later)
•Microsoft Windows (2012, 2008 R2) - Preview
エージェントのサポートOS
12
•米国東部 ( バージニア北部 ) [us-east-1]
•米国西部 ( オレゴン ) [us-west-2]
• EU ( アイルランド ) [eu-west-1]
•アジアパシフィック ( 東京 ) [ap-northeast-1]
• シドニー、韓国は GA(2016/4/19) から一か月後
使用可能リージョン
13
料金
* エージェント評価 = 月あたり 1 エージェント 1 評価あたり
14
• Common Vulnerabilities & Exposures
• Center for Internet Security – Secure Configuration Benchmarks
• Security Best Practices
• Runtime Behavior Analysis
ルールパッケージ
15
•自社サービスに対するセキュリティ評価の運用負荷を減らしたい• 診断にかける予算とスキルがあまりない
•脆弱性診断を継続的に実施していきたい• より積極的にセキュアなデプロイを行いたい• サービス開発プロセスにセキュリティを組み込みたい
こんなお客様に
16