[アップデート]Amazon Inspector エージェントレス脆弱性評価が一般提供開始 (GA)されました

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

2024年4月22日のアップデートでEC2インスタンスに対するAmazon Inspector エージェントレス脆弱性評価が一般提供開始 (GA)されましたので共有いたします。

アップデート内容

Amazon Inspector では、エージェントや追加のソフトウェアをインストールしなくても、Amazon EC2 インスタンスのソフトウェアの脆弱性を継続的にモニタリングできるようになりました。現在、Inspector は広く導入されている AWS Systems Manager (SSM) エージェントを活用して、EC2 インスタンスにサードパーティ製ソフトウェアの脆弱性がないかを評価しています。今回の拡張により、Inspector は EC2 スキャン用に、ハイブリッドスキャンモードとエージェントベースのスキャンモードの 2 つのスキャンモードを提供するようになりました。ハイブリッドスキャンモードでは、Inspector は SSM エージェントを利用してインスタンスから情報を収集して脆弱性評価を実行し、SSM エージェントがインストールまたは設定されていないインスタンスでは自動的にエージェントレススキャンに切り替えます。エージェントレススキャンの場合、Inspector は EBS ボリュームのスナップショットを取得してインスタンスからソフトウェアアプリケーションインベントリを収集し、脆弱性評価を実行します。エージェントベースのスキャンモードでは、Inspector は SSM エージェントがインストールおよび設定されているインスタンスのみをスキャンします。EC2 スキャンを有効にする新規のお客様はデフォルトでハイブリッドモードに設定されますが、既存のお客様は Inspector コンソール内の EC2 設定ページにアクセスするだけでハイブリッドモードに移行できます。有効にすると、Inspector はすべての EC2 インスタンスを自動的に検出し、ソフトウェアの脆弱性の評価を開始します。

引用：https://aws.amazon.com/jp/about-aws/whats-new/2024/04/amazon-inspector-agentless-vulnerability-assessments-ec2-ga/

これまでAmazon Inspectorによる脆弱性評価にはSSMエージェントをインストールしている必要がありましたが、SSMエージェントをインストールしていないEC2インスタンスに対しても脆弱性評価が可能になりました。

以下の記事でプレビューとして紹介されている内容が正式に一般提供開始(GA)された形になります。

エージェントレススキャンの仕組み

エージェントレススキャンの場合、Inspector は EBS ボリュームのスナップショットを取得してインスタンスからソフトウェアアプリケーションインベントリを収集し、脆弱性評価を実行します。エージェントベースのスキャンモードでは、Inspector は SSM エージェントがインストールおよび設定されているインスタンスのみをスキャンします。

エージェントベースのスキャンではSSMエージェントを通じてEC2インスタンスに対して直接脆弱性評価を行なっていたのに対して、エージェントレススキャンはスキャン用にEBSスナップショットを作成し、それに対して脆弱性評価を行います。

エージェントベースのスキャン

エージェントレススキャン

何が嬉しいか？

SSMエージェントがなくても脆弱性評価が可能になる

アップデートの内容そのものですが、従来まで必要だったSSMエージェントのインストールをしなくても脆弱性評価が可能になるのは嬉しい点です。
Amazon LinuxやWindows Serverなど起動時のAMIによってはSSMエージェントがインストールされているものがありますが、RHELなどSSMエージェントがインストールされていないAMIで起動したEC2インスタンスでは新たにSSMエージェントのインストールが必要でした。今回のアップデートによって新規インストールをせずとも脆弱性評価が可能になるため、Amazon Inspector導入のハードルが下がるのではないでしょうか。

全リージョンで利用可能になる

プレビューの段階では限られたリージョン(バージニア北部、オレゴン、アイルランド)でしか利用できませんでしたが、一般提供開始(GA)に伴い全リージョンで利用可能になりました。これによって日本のシステムで採用されることの多い東京リージョンでの利用も可能になりました。
日本で働くエンジニアとしては嬉しいことです。

注意点

スキャン頻度が異なる

エージェントレススキャンとエージェントベースのスキャンでは脆弱性スキャンの頻度が異なります。
簡単に説明すると、エージェントレススキャンでは24時間ごとのスキャンであるのに対し、エージェントベースのスキャン(Linux)ではパッケージインストール時やCVE追加時のスキャンが可能です。
エージェントレススキャンとエージェントベースのスキャンで全く同じ性能ではないという点に注意が必要です。

やってみる

現在Amazon Inspectorを有効にしている場合は、Scan modeを「Hybrid」に設定する必要があります。(新規にInspectorを有効にする場合はデフォルトでHybridになっている)

まずはAmazon Inspectorのコンソールを開き、サイドタブから「EC2 scanning settings」をクリックします。

Scan modeの「編集」をクリックします。

Hybridを選択し保存します。

scan modeが変更されていることを確認します。

設定自体はこれで完了です。

続いてSSMエージェントがインストールされていないAMI(今回はRHLEを選択)でEC2インスタンスを起動して検証してみます。

起動から10分ほど経つと、Monitored usingが「Agentless」となっていました。

検出結果を確認するとパッケージの脆弱性を検出できていました。

最後に

今回はEC2インスタンスに対するAmazon Inspector エージェントレス脆弱性評価が一般提供開始 (GA)のアップデートについて記載しました。
今回のアップデートによってAmazon Inspectorの運用方法がガラッと変わるということはないと思いますが、新規にAmazon Inspectorの導入を検討している方にとってはハードルが下がる良いアップデートだと思います。