投稿日: Nov 8, 2018
Amazon Inspector では、VPC 外からアクセス可能な Amazon EC2 インスタンス上のポートとサービスを識別する ‘Network Reachability’ ルールパッケージを使用したエージェントレス型ネットワークアセスメントの提供を開始しました。Inspector のコンソールでわずか数回クリックするだけで、AWS アカウントのネットワーク設定を分析し、インターネットや VPN、Direct Connect、ピアリング接続先 VPC などのプライベートネットワークからアクセスできるリソースを特定できます。
Network Reachability ルールパッケージを使用した Amazon Inspector アセスメントでは、AWS のネットワーク設定が想定どおりに機能しているかどうかを検証できます。評価では、EC2 インスタンス上のアクセス可能なポートと、これらのポートにアクセス可能なネットワーク設定の詳細を示す結果が生成され、本来の意図通りのアクセスを簡単に制限できます。Network Reachability のルールパッケージは、自動推論を使用する AWS テクノロジーのスイートである AWS の証明可能安全性イニシアチブの最新テクノロジーを使用します。エージェントレス型のアセスメントは、Amazon Virtual Private Clouds (VPC)、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、およびルートテーブルを含む AWS のネットワーク設定を分析して、アクセス可能なポートを検索します。
Inspector Agent を EC2 インスタンスにインストールすると、Network Reachability のルールパッケージを使用する際に追加情報を取得できます。検索結果は、アクセス可能なポートでリッスンしているプロセスを識別する情報で拡張されます。共通脆弱性識別子 (CVE) のような、Inspector のホストアセスメントルールパッケージを使用することで、Amazon EC2 インスタンスの脆弱性に関する情報も取得できます。インスタンス内の脆弱性や安全性の低い設定だけでなく、アプリケーションをホストする EC2 インスタンスに使用可能なアクセスパスを示すことで、潜在的なセキュリティリスクを完全に把握することができます。
Amazon Inspector は、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、欧州 (フランクフルト)、欧州 (アイルランド)、アジアパシフィック (ムンバイ)、アジアパシフィック (ソウル)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、AWS GovCloud (米国) といった 11 個のリージョンで利用できます。Inspector アセスメント用の Network Reachability ルールパッケージは AWS GovCloud (米国) を除くこれら全てのリージョンで利用可能です。
Amazon Inspector の詳細、または無料トライアルの開始については、Amazon Inspector をご覧ください。