ラボの概要

インフラストラクチャのセキュリティは、どの企業にとっても必ず課題になります。企業は多くのツールを使用してネットワークを監査し、システムやアプリケーションの脆弱性を検出しており、このプロセスにはかなりの時間と労力がかかります。

Amazon Inspector を使用すると、AWS にデプロイした運用環境とアプリケーションを自動的に評価し、一般的な、および新たなセキュリティの脆弱性を検出できます。さらに、新しいネットワーク到達可能性ルールパッケージを使用して、Amazon Virtual Private Cloud (Amazon VPC) ネットワークの設定を分析し、インターネット、仮想プライベートゲートウェイ、AWS Direct Connect (DX) などの外部ネットワークや、ピア接続 VPC から Amazon EC2 インスタンスに到達できるかどうかを確認できます。

このラボでは、Amazon Inspector を使用して EC2 インスタンスのセキュリティ評価を実行します。ネットワーク監査とホスト監査の両方を実行します。ネットワーク監査では、VPC の外部から到達可能なすべてのポートと、EC2 インスタンス内のポートで到達可能なプロセスを検出します。ホスト監査では、CVE (共通脆弱性識別子) 評価パッケージ、CIS (Center for Internet Security) ベンチマーク評価パッケージ、AWS セキュリティベストプラクティス評価パッケージを実行して、最新のパッチレベルの情報と脆弱性を検出します。

Amazon EC2、IAM ロール、一部の AWS サービスといったすべてのバックエンドコンポーネントは、既にラボに組み込まれています。ラボには、コードの確認、必要な変数の設定、スクリプトの実行に関する手順が記載されているため、必要に応じてコンポーネントをセットアップできます。

取り上げるトピック

このラボを修了すると、以下のことができるようになります。

エージェントレスネットワーク監査を実行する。
Amazon Inspector エージェントをターゲットホストにインストールして、ネットワークおよびホストのスキャンを強化する。
Amazon Inspector のスキャン結果を調査する。
Amazon Inspector の結果の配信を、AWS Lambda と Amazon Simple Notification Service (Amazon SNS) トピックを使用して自動化する。