Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第141回 雲勉 Amazon Inspectorによる脆弱性管理~ECR コンテナイメージ編~

第141回 雲勉 Amazon Inspectorによる脆弱性管理~ECR コンテナイメージ編~

下記、勉強会での資料です。
https://youtu.be/-_rc8m-Gq-s

iret.kumoben

August 08, 2024
Tweet

More Decks by iret.kumoben

Other Decks in Technology

Transcript

  1. 0.講師自己紹介 2 ◼ 大瀬戸 拓帆 • (所属) アイレット株式会社 クラウドインテグレーション事業部 •

    (経歴) 20代後半で異業種からIT業界に転職、アイレット歴 1年=AWS利用歴 • (何か一言) 初めての雲勉。外部発信をこれから頑張りたい • ご質問は YouTubeのコメント欄で受け付けております。 後日回答させていただきます!
  2. アジェンダ 3 0. 自己紹介 1. はじめに 2. 脆弱性対応の運用について 3. 脆弱性対応の運用に必要な設定

    4. 脆弱性対応の運用を破綻させないために 5. よりセキュアに 6. [宣伝]Sysdig運用サービスの紹介
  3. 2.脆弱性対応の運用について 12 ▪運用方法の提案 No. 対応タイミング 対象 内容 No.1 通知即時対応 優先度【高】の脆弱性

    ・脆弱性を修正、対応不要・保留の判断 No.2 週次または月次 優先度【高】の脆弱性 ・No.1で保留とした脆弱性の進捗確認 ・必要に応じて優先度のチューニング No.3 月間の中で任意のタイミング 優先度【中】の脆弱性 ・脆弱性を修正、対応不要・保留の判断 No.4 月次 優先度【中】の脆弱性 ・優先度中度の脆弱性を連絡 ・前月までの優先度中度の脆弱性対応の進捗確認 ・必要に応じて優先度のチューニング ・No.1~No.4を各タイミングで実施する ・No.3~No.4はNo.1~No.2の対応に余裕があった時のみとする ・会社のセキュリティポリシーやリソース状況に応じて優先度のチューニングを適宜行う
  4. 3.脆弱性対応の運用に必要な設定 18 ▪脆弱性管理画面 検出された脆弱性結果は以下のサービスから確認・管理できる サービス メリット 注意点 ECR ・イメージごとの脆弱性が確認しやすい ・スキャン対象外のイメージを確認できる

    ・脆弱性のフィルタリング機能が弱い Inspector ・検出結果の検索方法が豊富 ・検出結果やSBOMのエクスポート可能 ・検知抑止可能 ・検知抑止した脆弱性の確認方法 Security Hub ・ワークフローステータスや ユーザー定義が設定可能 ・オートメーションやカスタムアクションで 上記を自動や手動で設定可能 ・カスタムインサイトでフィルタリングを 保存可能 ・Inspectorとフィルタリングの 項目名が違う
  5. 3.脆弱性対応の運用に必要な設定 24 ▪通知設定 通知はInspectorまたはSecurity Hubどちらからも通知できる ⇒Security Hubからの通知がおすすめ ・Security Hubからの通知の方が情報量が多い ・ワークフローステータスで通知をフィルターできる

    ・Slackから通知を抑制できる https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-cwe-event-formats.html 通知設定方法のドキュメント
  6. 3.脆弱性対応の運用に必要な設定 26 ▪優先度は任意で設定 ・会社のセキュリティポリシーや脆弱性対応に割けるリソース次第 ・対応が逼迫したり、まだ余力がある場合はチューニングが必要 ▪優先度を設定する上で考慮するフィルター フィルター項目名がInspectorとSecurity Hubで少し違う 項目 Inspectorの

    項目名 Security Hubの 項目名 値 脆弱性の トリアージ結果 重大性 重要度ラベル Critical ~ Information (Untriaged) 脆弱性スコア Inspectorスコア (CVSSスコアに 基づく) なし 10 ~ 0 既知の悪用の有無 考えられる攻撃 ソフトウェアの脆弱性 エクスプロイトが 利用可能 Yes or No 修正バージョンの 有無 使用可能な修正 ソフトウェア脆弱性 修正可能 Yes or No https://docs.aws.amazon.com/inspector/lates t/user/findings-understanding-severity.html 重要度ごとのスコアの内訳
  7. 3.脆弱性対応の運用に必要な設定 28 ▪Security Hubワークフローステータス設定で通知を絞る { "source": ["aws.securityhub"], "detail-type": ["Security Hub

    Findings - Imported"], "detail": { "findings": { "ProductName": ["Inspector"], "RecordState": ["ACTIVE"], "Severity": { "Label": ["CRITICAL"] }, "Vulnerabilities": { "ExploitAvailable": ["YES"] “FixAvailable”:[“YES”] }, "Workflow": { "Status": ["NEW"] } } } } 通知のEventBridgeイベントルール https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/security hub-findings-format-syntax.html ・通知条件にワークフローステータス:NEWを設定 ・NOTIFIEDやSUPPRESSにした検出結果は 脆弱性情報に更新があっても通知が来ない ◦ワークフローステータスの値 ・NEW ・NOTIFIED ・SUPPRESS ・RESOLVED https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/finding-workflow-status.html ⇒脆弱性対応の進捗に応じて 適切にワークフローステータスを設定していくことが重要
  8. 3.脆弱性対応の運用に必要な設定 29 ▪Security Hub ワークフローステータスの意味付け(例) ワークフロー ステータスの値 ステータスの 意味付け(任意) NEW

    検出直後 NOTIFIED 即時対応予定 SUPPRESS 保留・月次対応 RESOLVED 対応不要・対応完了 ワークフローステータスに自分なりに上記の意味付けをして 運用をしていけば優先順位もつけやすくなってくる
  9. 4.脆弱性対応の運用を破綻させないために 41 ▪Inspectorのエクスポート機能で脆弱性を定点取得して整理 https://docs.aws.amazon.com/ja_jp/inspector/latest/user/findings-managing-exporting-reports.html ・特に脆弱性運用を開始する前に検出結果やSBOM(Software Bill of Materials )を定点で出力 することで対応すべき脆弱性の全体像や優先度が見えてくる。

    (SBOMとはソフトウェアのコンポーネントとそれらの依存関係をリスト化したデータ) ・InspectorやSecurity HubのGUIだと、どんどん新しい脆弱性も検知していくので整理しにくい。 出力結果はCSVやJSONなのでデータ加工をして自分なりに分析も可能。 ・月次で脆弱性対応の進捗を確認する場合は定点で取得した方が前月と比較しやすい。
  10. 6.[宣伝]Sysdig運用サービスの紹介 56 ▪ここまで説明しておいて、なんですが。。 Inspector + Security Hub + GuardDutyでの運用が負担であるようなら アイレットが提供するSysdig

    運用サービスをご紹介 https://cloudpack.jp/service/cloud-service/sysdig-maintenance.html Sysdigのライセンス料を割引しながら 脆弱性監視 + ランタイム監視 + 一次対応などをアイレットがサービスとして提供 主なサービス内容 ・脆弱性スキャンによる検知・評価 ・ワークロードの脅威を検知(検知した攻撃のブロックが可能) ・MLベースの検知 ・アイレットが24/365で有人監視 +一次対応 ・検知ルールのチューニングが可能 ・組織全体でセキュリティ基準の到達度をスコアリングおよび管理 などなど