「JAWS-UG横浜 #61 AWS re:Invent 2023 去年のアレどうなった?スペシャル」で登壇した内容です。
こんにちは、クラウドセキュリティアーキテクトの大島悠司です。
もうすぐ開催される re:Invent 2023 に向けて、最近進化がアツい Amazon Inspector について、ここ1年のアップデートをご紹介します。
Amazon Inspectorとは
Amazon Inspector は AWS が提供するマネージドな脆弱性管理サービスです。
その特徴が以下になります。
- EC2インスタンス、コンテナ、Lambda 関数などのワークロードを自動的に検出
- ソフトウェアの脆弱性や意図しないネットワークの露出がないかをスキャン
- SSMエージェントを使うことで、EC2インスタンスのソフトウェアのインベントリを収集
- CVE情報と関連したリスクスコアの可視化
- 他サービスとの組み合わせで、脆弱性管理のワークフローを自動化
re:Invent 2022以降の主なアップデート
| 日付 | Lambda名 |
|---|---|
| 2022/11/28 | Lambda関数とLambda Layersの脆弱性スキャンに対応 |
| 2023/2/28 | Lambda関数のコードスキャンに対応 [プレビュー] |
| 2023/4/19 | EC2インスタンスのディープインスペクションのサポート |
| 2023/5/2 | 脆弱性インテリジェンスデータベースの検索をサポート |
| 2023/6/13 | Lambda関数のコードスキャンに対応 [一般提供] |
| 2023/6/13 | ソフトウェア部品表(SBOM)のエクスポート機能に対応 |
| 2023/7/31 | 検出結果に対する脆弱性インテリジェンスを強化 |
Lambda関数とLambda Layersの脆弱性スキャンに対応
脆弱なLambda関数とレイヤーを検知することができます。
サードパーティ製品を使わずに標準機能で診断可能で非常にアツい機能です。
以前、この機能についてパターン別に検証したことがあり、ブログにまとめているのでこちらもご参照ください。
この時のスキャン対象はレイヤーなので、さすがにコードの脆弱性までは診断できない、と思っていたら・・
Lambda関数のコードスキャンに対応
数か月後にはコードスキャンにも対応してきました。
インジェクションの欠陥、データ漏えい、弱い暗号化などのコードに潜む脆弱性を検知できます。
EC2インスタンスのディープインスペクションのサポート
従来、OS標準搭載のyumやaptでインストールしたパッケージしか検知できませんでしたが、明示的にスキャンパスを設定でき、 pipやnmpでインストールしたパッケージも検知可能になりました。
以前のブログで、ディープインスペクションについてパターン別に検証したものがありますので、こちらもご参照ください。
ソフトウェア部品表(SBOM)のエクスポート機能に対応
さらに、SBOM機能にも対応しました。
これにより、ソフトウェアを構成するコンポーネントや関連する脆弱性情報をS3バケットに出力可能になります。
脆弱性インテリジェンスデータベースの検索をサポート
AWSは脆弱性インテリジェンスにも力を入れています。
Inspectorスキャンエンジンの対象となるCVEを検索可能になりました。
これらのインテリジェンスは、CISAやRecorded Futureから「強化された脆弱性インテリジェンス」として情報を収集しています。
まとめ
re:Invent 2022以降、以下のような Amazon Inspector のアップデートが急速に増加しました。
- パッケージだけでなくコードの診断も実施可能になり、スキャンパスの明示なども制御が可能
- SBOMエクスポートにも対応したため、サプライチェーンの脆弱性などの分析も可能
- 脆弱性インテリジェンスが増強され、より高度な脆弱性管理が可能
re:Invent 2023ではどのような発表があるか楽しみですね。
Amazon Inspector の今後の動向に注目していきたいと思います。
