みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

Amazon Inspectorとは

Amazon Inspectorとは、Amazon EC2インスタンスやコンテナなどのワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないか継続的にスキャンする脆弱性管理サービスです。
Amazon Inspectorは管理コンソールから簡単に有効化でき、組織にとって重大な脅威となる脆弱性を自動的に検知・可視化して、一元的な管理を実現します。従来はEC2のみ対象でしたが、2021年に新たなバージョンのAmazon Inspector v2が発表され、現在ではAmazon ECR(Elastic Container Registry)やAWS Lambda関数も対象になっています。

Amazon Inspectorが検出するもの(実例)

Amazon Inspectorは、AWS環境のセキュリティ脆弱性やコンプライアンス違反を検出する自動スキャンツールです。以下はその検出内容の実際例です。

1. ソフトウェアの脆弱性

  • 検出例: インストール済みのソフトウェア(例: Apache, Nginx, Python)の古いバージョン。
  • 脅威: 未更新のソフトウェアに存在する既知の脆弱性(例: CVE-2023-XXXXX)により、攻撃者に侵入されるリスク。

2. ネットワークの設定ミス

  • 検出例: セキュリティグループが全トラフィック(0.0.0.0/0)を許可している。
  • 脅威: パブリックアクセスが可能になり、意図しない外部からの攻撃を招く可能性。

3. IAMポリシーの過剰な権限

  • 検出例: IAMユーザーが「AdministratorAccess」の権限を持っている。
  • 脅威: 不要な権限が付与されている場合、内部の悪意ある行為や外部からの侵害に対して脆弱。

4. セキュリティパッチの未適用

  • 検出例: Amazon EC2インスタンスにインストールされているOS(例: Amazon Linux, Ubuntu)のパッチが古い。
  • 脅威: 未パッチのシステムは、攻撃者に既知の脆弱性を突かれるリスクが高い。

5. アプリケーション構成の問題

  • 検出例: Dockerイメージに不要な秘密情報(例: ハードコードされた認証情報)が含まれている。
  • 脅威: 攻撃者が機密情報を利用し、システムへの侵入やデータの盗難を行う可能性。

簡潔なまとめ

Amazon Inspectorは、ソフトウェアの脆弱性、設定ミス、権限管理の問題などを検出することで、AWSリソースのセキュリティを強化します。具体的には、古いソフトウェア、セキュリティグループの設定ミス、未適用パッチなどを見つけ、修正案を提供します。
 

AWS MarketplaceのAWSマネージドルールとは

AWS MarketplaceのAWSマネージドルールは、AWS WAFで利用できるサードパーティ製のセキュリティルールセットです。これを使うと、SQLインジェクションやXSS攻撃、ボットアクセスなどの脅威を簡単にブロックできます。

特徴

  • 自動更新: 新しい脅威に対応したルールが自動で更新。
  • 簡単導入: 簡単に適用でき、すぐに利用可能。
  • カスタマイズ可能: 環境に応じてルールを調整できる。

主な利用例

  • 攻撃防御: SQLインジェクションやXSSのブロック。
  • ボット対策: 不正なボットアクセスの制御。

メリット

  • 手間が減る: 専門知識がなくても簡単。
  • 強固なセキュリティ: 最新の攻撃にも対応。
AWS Marketplaceから選び、WAFに適用するだけで、簡単にセキュリティ対策を強化できます!
 

ポイント

1. 一般的な脆弱性攻撃のフィルタリング

AWS WAF(Web Application Firewall)は、リクエストをフィルタリングして攻撃(例:SQLインジェクションやクロスサイトスクリプティング)を防ぐ機能を提供します。Web ACLを構成することで、ALB(Application Load Balancer)に適用可能です。

2. 拒否されたリクエストの監査

拒否されたリクエストのログを収集し、外部監査アプリケーションに送信するには、ログ記録とデータ転送が必要です。このため、以下の技術が活用されます:
  • CloudWatch Logs: ログデータの収集と保存。
  • Kinesis Data Firehose: ログを外部アプリケーションへリアルタイムで転送。

3. 高可用性の構築

高可用性を実現するためには、以下の設計が重要です:
  • Multi-AZ構成: 複数のアベイラビリティゾーンにリソースを分散。
  • Auto Scaling: トラフィックに応じた動的なリソース増減。
 
 
Kinesis Data Firehoseは、リアルタイムでデータを収集して、指定した保存先に自動で転送するサービスです。

主な用途

  • データ転送: アプリケーションやログからデータをリアルタイムでAmazon S3やRedshift、Elasticsearchなどに送信。
  • ログ管理: WAFやALBのログを集めて監査アプリやS3に転送。
  • リアルタイム分析: データを転送しながら処理して、分析基盤に活用。
簡単に言うと、データをリアルタイムで転送し、後続の処理や保存先に自動的に送る役割を果たします。

実践

一問道場

質問 #217

トピック 1

ある会社が、単一のアベイラビリティゾーンでAmazon EC2インスタンスにトラフィックを分散させるため、ロードバランサーを使用しています。会社はセキュリティに懸念があり、ソリューションアーキテクトに以下の要件を満たすようソリューションを再設計してほしいと考えています。

要件

  1. 着信リクエストは、一般的な脆弱性攻撃をフィルタリングする必要がある。
  1. 拒否されたリクエストは、サードパーティの監査アプリケーションに送信する必要がある。
  1. すべてのリソースは高可用性であるべき。

どのソリューションがこれらの要件を満たすか?

A.
  • アプリケーションのAMIを使用してMulti-AZのAuto Scalingグループを構成。
  • アプリケーションロードバランサー(ALB)を作成し、Auto Scalingグループをターゲットとして設定。
  • Amazon InspectorでALBとEC2インスタンスへのトラフィックをモニタリング。
  • AWS WAFでWeb ACLを作成し、ALBに適用。
  • Lambda関数を使用して、Amazon Inspectorのレポートをサードパーティの監査アプリケーションに送信。
B.
  • アプリケーションロードバランサー(ALB)を構成し、EC2インスタンスをターゲットに追加。
  • AWS WAFでWeb ACLを作成し、ALBに適用。
  • Amazon CloudWatch Logsでログ記録を有効化。
  • Lambda関数を使用して、CloudWatch Logsのデータをサードパーティの監査アプリケーションに送信。
C.
  • アプリケーションロードバランサー(ALB)を構成し、ターゲットグループにEC2インスタンスを追加。
  • Amazon Kinesis Data Firehoseを構成し、サードパーティ監査アプリケーションを宛先として設定。
  • AWS WAFでWeb ACLを作成し、ALBに適用。
  • Kinesis Data Firehoseをログの宛先としてログ記録を有効化。
  • AWS MarketplaceのAWSマネージドルールを購読し、WAFで使用。
D.
  • アプリケーションのAMIを使用してMulti-AZのAuto Scalingグループを構成。
  • アプリケーションロードバランサー(ALB)を作成し、Auto Scalingグループをターゲットとして設定。
  • Amazon Kinesis Data Firehoseを構成し、サードパーティ監査アプリケーションを宛先として設定。
  • AWS WAFでWeb ACLを作成し、ALBに適用。
  • Kinesis Data Firehoseをログの宛先としてログ記録を有効化。
  • AWS MarketplaceのAWSマネージドルールを購読し、WAFで使用。

解説

選択肢の比較

  1. A: Multi-AZ Auto Scaling + Amazon Inspector
      • Inspectorは脆弱性検査ツールであり、着信リクエストのリアルタイムフィルタリングには不向き。
      • 適切なログ転送の仕組みが不足。→ 不適切
  1. B: ALB + WAF + CloudWatch Logs + Lambda
      • WAFで攻撃を防ぎ、CloudWatch Logsで拒否されたリクエストを収集。
      • Lambdaで監査アプリケーションにデータを送信。
      • 高可用性の説明が不足→ 部分的に適切
  1. C: ALB + WAF + Kinesis Data Firehose + AWS Managed Rules
      • WAFでフィルタリングし、Kinesisでログをリアルタイム転送。
      • AWS MarketplaceのManaged Rulesにより、包括的なセキュリティが実現。
      • 高可用性も確保可能。→ 最適な選択肢
  1. D: Multi-AZ Auto Scaling + WAF + Kinesis Data Firehose
      • Cに似ていますが、Auto Scalingを利用して高可用性がより強調されています。
      • AWS MarketplaceのManaged Rulesにより、セキュリティも万全。→ 非常に適切

結論

Dが最適:高可用性とセキュリティ、ログ転送のすべてをバランスよく満たしています。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
218-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント+プライベートGateway216-AWS SAP AWS 「理論・実践・一問道場」AWS Network Firewall
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%