ラボの概要
インフラストラクチャの保護は、どのような企業にとっても必ず課題になります。企業は多くのツールを使用してネットワークを監査し、システムやアプリケーションの脆弱性を検出しており、このプロセスにはかなりの時間と労力がかかります。
Amazon Inspector を使用すると、AWS にデプロイした運用環境とアプリケーションを自動的に評価し、一般的および新たなセキュリティの脆弱性を検出できます。さらに、新しいネットワーク到達可能性ルールパッケージを使って、Amazon Virtual Private Cloud (Amazon VPC) ネットワークの設定を分析し、インターネット、仮想プライベートゲートウェイ、AWS Direct Connect (DX) などの外部ネットワークや、ピア接続 VPC から Amazon EC2 インスタンスに到達できるかどうかを確認できます。
このラボでは、Amazon Inspector を使用して、EC2 インスタンスのセキュリティ評価を実行します。ネットワーク監査とホスト監査の両方を実行します。ネットワーク監査では、VPC の外部から到達可能なすべてのポートと、EC2 インスタンス内のポートで到達可能なプロセスを検出します。ホスト監査では、CVE (共通脆弱性識別子) 評価パッケージ、CIS (Center for Internet Security) ベンチマーク評価パッケージ、実行時動作分析パッケージ、AWS セキュリティベストプラクティス評価パッケージを実行して、最新のパッチレベルの情報と脆弱性を検出します。
ラボには、Amazon EC2、IAM ロール、AWS の一部のサービスといったすべてのバックエンドコンポーネントが既に組み込まれています。また、コードの確認、必要な変数の設定、スクリプトの実行に関する手順が記載されているため、それらのコンポーネントを必要なときに設定できます。
取り上げるトピック
このラボを修了すると、以下ができるようになります。
- エージェントレスネットワーク監査を実行する。
- Amazon Inspector エージェントをターゲットホストにインストールして、ネットワークおよびホストのスキャンを強化する。
- Amazon Inspector のスキャン結果を調査する。
- Amazon Inspector の結果の配信を、AWS Lambda と Amazon Simple Notification Service (Amazon SNS) トピックを使って自動化する。
前提条件
このラボを完了するには、AWS マネジメントコンソールの基本的な操作について理解している必要があります。また、テキストエディタを使用してスクリプトを変更することに慣れている必要があります。
アイコンキー
このラボでは、ガイドの特定部分への注意を促すため、さまざまなアイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- 実行する必要があるコマンドを示します。
- コマンドまたは編集したファイルの出力を確認します。
- 重要なヒント、コツ、ガイダンス、アドバイスを示します。
- 詳細情報が記載されている場所を示します。
- 特定の関心事または重要な情報への注意を促します。注意を読み忘れても、機器やデータが破損することはありませんが、特定のステップを再度行う必要が生じる場合があります。
- 知識の確認と学習した内容のテストができることを示します。