OCI Vulnerability Scanning Serviceでインスタンスの脆弱性を検出する
2021年4月にOracle Cloud Infrastructureのセキュリティの新しいサービスとしてVulnerability Scanning Serviceがリリースされました。VMインスタンスが作成される際のデフォルト・プラグインを利用しているためOCIのコンソール設定だけで簡単に利用することができます。また、Cloud Guardと組み合わせてよりセキュアなOCI環境を構築することが可能です。
この機能は、無償サービスとして提供されています。
それでは、実際の設定方法を紹介します。
以降の設定はAdministratorグループに所属するユーザーで実行していますが、それ以外の場合はこちらを参考にリソースにアクセスするための適切なポリシーを自身に割り当てて下さい、
ポリシーの設定
Host Scanningを実行するために、以下のIAMをポリシーを割り当てる。(Compartment指定の場合は、こちら)
allow service vulnerability-scanning-service to manage instances in tenancy
allow service vulnerability-scanning-service to read compartments in tenancy
allow service vulnerability-scanning-service to read vnics in tenancy
allow service vulnerability-scanning-service to read vnic-attachments in tenancy
レシピの作成
スキャン・レシピ -> 作成するコンパートメントを指定して、作成をクリック
お好みの設定を指定して作成
ターゲットの作成
ターゲットを指定して新規作成
作成したレシピを選択、ターゲット範囲を指定して作成。以下はコンパートメント配下すべてのインスタンス
設定はこれで完了です。しばらくするとスキャンの結果が反映されます。以降は設定したスケジュールで定期的に自動実行されます。
ホスト・スキャン
コンパートメント配下にあるすべてのインスタンスのホスト・スキャン結果サマリー
インスタンスごとのスキャン結果
検出されたオープンポート
検出された脆弱性。CVE(Common Vulnerabilities and Exposures)の詳細はNISTのページにリンクされる
CISベンチマーク(Oracle CloudのCISベンチマークはこちら)
ポート・スキャン
- すべてのインスタンスのポート・スキャンの結果サマリー
Cloud Guardとの連携
- Cloud Guardを有効化しておけば、スキャンによって検出された脆弱性は問題として認識される。結果をEvents + Notificationsサービスで管理者に通知させることが可能
- Cloud Guardからの通知メール例
Author And Source
この問題について(OCI Vulnerability Scanning Serviceでインスタンスの脆弱性を検出する), 我々は、より多くの情報をここで見つけました https://qiita.com/western24/items/ed24a60b870731983bb8著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .