Amazon Inspectorを触ってみた
gene
デロイト トーマツ ウェブサービス株式会社(DWS)公式ブログ
re:Invent 2023 セッションレポート「[NEW LAUNCH] Enhance workload security with agentless scanning and CI/CD integration」
yassan
本ブログエントリーは「AWS Containers Advent Calendar 2023」の9日目です。
re:Invent 2023 に参加した当社メンバーは無事に日本に帰還しました!やっさんでございます。この度、re:Invent 2023の期間中に開催されたセッション「[NEW LAUNCH] Enhance workload security with agentless scanning and CICD integration」に参加しました!
早速ですがレポートを書いていきます!
セッションの概要
- タイトル:SEC243-NEW | [NEW LAUNCH] Enhance workload security with agentless scanning and CI/CD integration
- 日時:Dec. 1 | 10:00 AM - 11:00 AM (PST)
- 場所:Caesars Forum | Level 1 | Forum 113
- セッションの種別:Breakout Session
セッションの内容について
本セッションでは、Amazon Inspectorに追加された3つの新機能である「CI/CDパイプラインへの組み込み」、「EC2 エージェントレススキャン」、「Lambda コード修復」機能の紹介に加え、re:Invent 2023直前に発表された機能の紹介やグローバル金融機関がこれらの新機能を活用していることついて説明されていました。
セッションのサマリー
お忙しい方はこちらのセッションサマリーをご参照下さい。
- 本セッションでは、Amazon Inspectorの概要について説明がありました。Amazon Inspectorは、ワークロードの脆弱性管理を自動化するサービスです。Amazon Inspectorによってリソースをスキャンし、優先順位付けを含めた調査結果を生成することで実用的な洞察を取得します。
- 本セッションでは、新機能であるCI/CDパイプラインにおけるコンテナイメージスキャンの説明が行われました。既存のCI/CDパイプラインに脆弱性スキャンのプロセスをAmazon Inspector経由で実行する仕組みの説明後に、実際にJenkinsで脆弱性検出結果を表示する方法が示されました。
- 仮想マシンであるEC2におけるエージェントレススキャンについても説明が行われました。EC2のエージェントレススキャンは現時点(2023年12月5日時点)ではパブリックプレビュー中になります。
- 生成AIを活用したLambdaのコード修復機能の説明が行われました。Lambdaのコード修復機能はインジェクションの欠陥やハードコードされた認証情報、あるい暗号の問題など脆弱性の原因を特定する機能になります。
- グローバル金融機関におけるクラウドセキュリティとコンプライアンスの取り組みが紹介されました。これには新機能である、SSMエージェントが動作しない場合の自動的なエージェントレスソリューションへのフォールバックが含まれます。
セッションレポート
詳細なセッションレポートになります!
新機能の紹介
AWSを利用する顧客の多くは脆弱性管理にAmazon Inspectorを利用しており、機能追加はできるだけ脆弱性管理をシームレスに運用できるようにすることに焦点が置かれました。まず、re:Invent 2023 の直前の過去6ヶ月に発表された機能追加が紹介されました。
以下の機能になります。
- Deep inspection of EC2 instances(April)
- EC2 Image Builder integration(April)
- Vulnerability database search(May)
- SBOM export(June)
- Code scanning for Lambda functions(June)
- Amazon Detective extends finding groups to Amazon Inspector(June)
- Enhanced vulnerability intelligence in findings(July)
そして、いよいよ新機能の発表です。
1つ目はコンテナイメージのセキュリティスキャンのシフトレフトです。Amazon InspectorでCI/CDでコンテナイメージをスキャンできるようになりました!2つ目は、EC2インスタンスにおけるエージェントレススキャンです。そして3つ目は、AWS Lambdaにおける生成系AIによるコード修復機能です。
1. コンテナイメージのセキュリティスキャンのシフトレフト
コンテナイメージのセキュリティスキャンのシフトレフトは、CI/CDパイプラインでコンテナレジストリにプッシュする前に、コンテナイメージを評価することが出来ます。まずはJenkinsとTeamCityのネイティブ・プラグインによって利用可能です。このソリューションはコンポーネントとして提供されており、必要であれば機能拡張が出来るとのことです。コンポーネントは前述したプラグインやコンテナ抽出エンジンが該当するとのことです。
CyclongDXフォーマットによるSBOM情報を利用したスキャンの仕組みも提供されます。
重要な点はCI/CDソリューションはAWS上である必要はなく、オンプレミスや他のクラウドプロバイダーでも利用可能であることです。AWSのコンソールにアクセスする労力は最小限で済み、AWS以外のCI/CDソリューションでの利用が可能とのこと。
2. EC2インスタンスにおけるエージェントレススキャン
EC2におけるエージェントレススキャンはハイブリッドスキャンであり、何らかの理由でエージェントのデプロイが遅れていたり、インストールされいない場合でもスキャンすることが可能になります。特に手動で何かをすることなく、スキャンが可能になることを意味します。
本機能の利点として、いつでも品質評価を最大の範囲でカバーできることがあります。特にレガシーなアプリケーションやエージェントを将来インストールしたいインスタンスに機能を発揮します。エージェントレススキャンは従来の方法とは異なり、EBSのコピーやスナップショットを行うことなく実行されるとのことです。
AWSのマネージメントコンソールでハイブリッドモードを選択するだけで利用可能になるとのことです。コンソール画面には、エージェントベースとエージェントレスどちらでスキャンされたかが表示されるとのこと。
3. AWS Lambdaにおける生成系AIによるコード修復機能
最後の機能はAWS Lambdaのコードに書かれたコードについて、インジェクションの欠陥やハードコードされた認証情報、あるい暗号の問題など脆弱性の原因を特定する機能になります。既に一般的な推奨事項が提供されていますが、加えて検出内容が増えることになります。
デモについて
デモでは実際にJenkinsの画面でプラグインを利用する方法が紹介されました。閾値によってパイプラインの成功/失敗を定義できます。ここでは5:クリティカルを閾値として設定していました。
また、CSVフォーマットとして出力し脆弱性検出結果を異なるアプリケーションで参照するデモも行われました。
つまり、「5:クリティカル」がひとつでもあるとCI/CDパイプラインがFailするという仕組みをAmazon Inspectorによって実現することが出来ます。
エージェントレススキャンの設定画面もデモで登場し、スキャン結果の例もありました。
セッションの所感
コンテナスキャンについてはシフトレフトという観点において、Synkなど他のSaaSが提供しているイメージスキャンの代替になるのかというところが気になりました。実際にSnykとAmazon Inspector両方のシフトレフトを試して比較軸を作っていきたいところですが、現在のところAmazon InspectorはJenkinsとTeamCityのみに対応とのことでGitHub ActionsやCircleCIなどのCI/CDパイプラインソリューションで利用できることを期待したいところです!
エージェントレススキャンは便利ですね。とりあえずハイブリッドスキャンの選択肢を取っておくことでいいのではないかと思います。パブリックプレビュー中とのことで今すぐにでも試してみたいですね!
Lambdaのコード修復は自動的に機能がアップデート(有効化)されるとのことですので、既にLambdaでAmazon Inspectorを利用しているワークロードにおいてどんどん使っていきましょう!
終わりに
本ブログエントリーではre:Invent 2023で発表されたAmazon Inspectorの新機能について、セッションレポートを通してご紹介いたしました!ご参照されました方のお役になれば幸いです!
以上です!
AUTHOR
