type
status
date
slug
summary
tags
category
icon
password
书籍
理論
AWSにおけるセキュリティ脆弱性スキャンの基本
AWS上でアプリケーションやインフラのセキュリティを強化するためには、リソースの継続的な脆弱性スキャンが必要です。以下のサービスとアプローチが有効です:
- Amazon Inspector
Amazon Inspectorは、EC2インスタンスやコンテナ、EKSノードなどの脆弱性を自動でスキャンするサービスです。セキュリティ設定やソフトウェアの脆弱性を特定し、修正すべき点をレポートとして提供します。これにより、セキュリティリスクを迅速に特定できます。
- Amazon ECRのスキャン機能
Amazon Elastic Container Registry (ECR)は、コンテナイメージを保存するサービスで、プッシュ時に自動的に基本的な脆弱性スキャンを実行できます。これにより、ECRに保存されているイメージがセキュリティの観点から適切かどうかを簡単に確認できます。
- Security Hubの役割
AWS Security Hubは、AWSアカウント全体のセキュリティ状況を統合的に管理するサービスですが、脆弱性スキャンの直接的な機能は提供していません。Security Hubは、InspectorやGuardDutyなどの他のセキュリティサービスと統合して、全体のセキュリティ状況を一元管理できます。
- 運用オーバーヘッドの最小化
脆弱性スキャンは自動化することで、人的リソースを最小限に抑えることが可能です。Amazon InspectorやECRのスキャン機能など、AWSのサービスを組み合わせて使うことで、セキュリティチェックを自動化し、継続的に監視できます。
これらのサービスを適切に組み合わせて使うことが、AWS上でのセキュリティを強化し、運用負荷を最小化する鍵となります。
実践
略
一問道場
質問 #478
ある会社が新しいアプリケーションをAWSにデプロイしようとしています。アプリケーションは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターと、Amazon Elastic Container Registry (Amazon ECR) リポジトリで構成されています。EKS クラスターには、AWS 管理のノードグループがあります。
会社のセキュリティガイドラインでは、すべてのリソースがAWS上で継続的にセキュリティ脆弱性をスキャンする必要があるとしています。
最小の運用オーバーヘッドでこの要件を満たすソリューションはどれですか?
A. AWS Security Hub を有効にし、Security Hub を構成して EKS ノードと ECR リポジトリをスキャンします。
B. Amazon Inspector を有効にし、EKS ノードと ECR リポジトリをスキャンします。
C. 新しい Amazon EC2 インスタンスを起動し、AWS Marketplace から脆弱性スキャンツールをインストールします。EC2 インスタンスを構成して EKS ノードをスキャンし、Amazon ECR を構成してプッシュ時に基本的なスキャンを実行します。
D. EKS ノードに Amazon CloudWatch エージェントをインストールし、CloudWatch エージェントを構成して継続的にスキャンします。Amazon ECR を構成してプッシュ時に基本的なスキャンを実行します。
解説
この質問では、AWS上でのセキュリティ脆弱性スキャンの要件を満たすために、最小の運用オーバーヘッドで実行できるソリューションを選ぶことが求められています。それぞれの選択肢を解説します。
A. AWS Security Hub を有効にし、Security Hub を構成して EKS ノードと ECR リポジトリをスキャンします。
解説:
AWS Security Hubは、AWS環境全体のセキュリティ状況を集中的に監視するサービスですが、EKS ノードや ECR リポジトリ自体のセキュリティ脆弱性をスキャンする機能は提供していません。EKS のノードのスキャンやコンテナイメージの脆弱性チェックは、他のサービス (例:Amazon Inspector) によって実行されます。そのため、Security Hubだけで脆弱性スキャンを実行することはできません。
不正解。
B. Amazon Inspector を有効にし、EKS ノードと ECR リポジトリをスキャンします。
解説:
Amazon Inspectorは、AWS環境で脆弱性スキャンを実行するためのサービスです。Amazon Inspectorは、EKS ノードやECR リポジトリに対するセキュリティスキャンを自動的に実行できます。これにより、ECR内のコンテナイメージやEKSノードの脆弱性をスキャンし、セキュリティの問題を特定できます。また、Amazon Inspectorは、他のAWSの管理サービスと統合されており、比較的少ない運用オーバーヘッドで管理できます。
正解。
C. 新しい Amazon EC2 インスタンスを起動し、AWS Marketplace から脆弱性スキャンツールをインストールします。EC2 インスタンスを構成して EKS ノードをスキャンし、Amazon ECR を構成してプッシュ時に基本的なスキャンを実行します。
解説:
この選択肢では、EC2 インスタンスを使ってスキャンツールをインストールし、脆弱性スキャンを手動で実行する方法を提案しています。これは確かに脆弱性スキャンを実行する方法ではありますが、手動での管理やツールの維持、運用負荷が高くなります。また、ECR の基本的なスキャンはプッシュ時に実行できますが、EKS ノードのスキャンを自動化するために EC2 インスタンスを管理するのはオーバーヘッドが大きくなります。
不正解。
D. EKS ノードに Amazon CloudWatch エージェントをインストールし、CloudWatch エージェントを構成して継続的にスキャンします。Amazon ECR を構成してプッシュ時に基本的なスキャンを実行します。
解説:
Amazon CloudWatchエージェントは、システムのメトリクスやログを監視するためのツールであり、脆弱性スキャンを実行するものではありません。CloudWatch エージェントを使用して脆弱性スキャンを実行することはできないため、この選択肢は不適切です。
不正解。
結論:
最も適切な選択肢は B の「Amazon Inspector を有効にし、EKS ノードと ECR リポジトリをスキャンする」です。Amazon Inspectorは、脆弱性スキャンを自動化し、運用オーバーヘッドを最小限に抑えつつ、要件を満たすことができます。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/17cd7ae8-88e2-80b1-bf6e-fc9f07fc6987
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
