クラウドペリミタースキャン
このページの全文を参照するには、ここをクリックしてください

クラウドペリミタースキャンジョブの設定

クラウドペリミタースキャンは、Qualys クラウドプラットフォームに配置された Qualys 外部スキャナ(インターネットリモートスキャナ)を使用します。プライベートクラウドプラットフォームのサブスクリプションでは、内部スキャナを使用するようにアカウントを設定できます。サブスクリプションでこのオプションを有効にするには、Qualys サポートまたはテクニカルアカウントマネージャにお問い合わせください。

クラウドペリミタースキャンは、対象のインスタンスのパブリック DNS またはパブリック IP を使用して開始される DNS または IP ベースのスキャンです。アセットにパブリック DNS とパブリック IP アドレスの両方が存在する場合、パブリック DNS を使用してスキャンが開始されます。

これらのスキャンは、VM/VMDR の脆弱性スキャンと PC/SCA のコンプライアンススキャンでサポートされています。

AWS EC2 の要件

アカウントでクラウドペリミタースキャン、EC2 スキャン、Scan by Hostname の機能を有効にする必要があります。

アカウントに、マネージャまたはユニットマネージャのロールが付与されている必要があります。

EC2 コネクタが必要です。コネクタについて

コネクタからパブリックロードバランサをスキャンに含めるには、CloudView アカウントで同じ設定の EC2 コネクタを作成する必要があります。同じ設定のコネクタを作成するには、アカウントに CloudView サブスクリプション、プラットフォームに CloudView のベース URL「qweb_cloud_view_base_url」へのアクセス権が必要です。CloudView オンラインヘルプの「AWS コネクタの設定」を参照してください。

スキャンに micro/nano/small インスタンスタイプを含める場合、アカウントでこれらのインスタンスタイプをアクティブ化する必要があります。

Amazon AWS インフラストラクチャのスキャンの概要については、こちらを参照してください。

Azure VM(仮想マシン)の要件

アカウントでクラウドペリミター Azure VM スキャン、クラウドペリミタースキャン、EC2 スキャン、Scan by Hostname の機能を有効にする必要があります。

アカウントに、マネージャまたはユニットマネージャのロールが付与されている必要があります。

Azure コネクタが必要です。コネクタについて  

クラウドペリミタースキャンの操作

すべてのクラウドペリミタースキャンは、「今すぐ」(1 回限りのスキャンジョブ)または「定期的」のどちらかでスケジュールされます。保存すると、スキャンジョブが「Schedules」リストに表示されます。スキャンジョブが開始されると、そのスキャンは「Scans」リストに表示されます。

「Scans」タブを選択し、「New」->「Cloud Perimeter Scan」を選択します。このオプションは、「Schedules」タブでも表示されます。

「Scans」タブの「New Cloud Perimeter Scan」オプション

クラウド情報

最初に、クラウドプロバイダ(「Amazon Web Services」または「Microsoft Azure」)を選択します(「Microsoft Azure」オプションは、「Cloud Perimeter Azure VM Scan」が有効の場合にのみ表示されます。上記の要件を参照してください)。

クラウドプロバイダの選択

スキャンの詳細

スキャンにタイトルを付け、認証を設定したオプションプロファイルを選択します。

スキャンの基本情報の指定

対象ホスト

コネクタと対象ホストを選択します。表示されるオプションは、選択したクラウドプロバイダによって異なります。

AWS EC2 の場合

対象ホストを選択します。プラットフォーム、リージョンコード、VPC ID、アセットタグ、ロードバランサ DNS 名を指定しない場合、コネクタから特定されたアセットに対してスキャンが開始されます。

- (必須)設定した EC2 コネクタを選択します。

- (オプション)プラットフォームオプションの選択 - 「EC2 Classic」、「EC2 VPC (All VPCs in region)」、「EC2 VPC (Selected VPC)」のいずれかを選択します。この選択に基づいて、リージョンを選択します。

- (オプション)インスタンスタイプが t2.nano、t3.nano、t1.micro、m1.small のアセットをスキャンに含めることができます。このオプションを選択すると、これらのインスタンスについて認証なしのライトポートスキャンの実行を推奨する警告メッセージが表示されます。スキャンに micro/nano/small インスタンスタイプを含める場合、アカウントでこれらのインスタンスタイプをアクティブ化する必要があります。

- (オプション)アセットタグを選択します。これらは、コネクタに対して有効化されているアセットです。

- (オプション)このオプションが使用できるかどうかは、上記の「AWS EC2 の要件」を参照してください。使用できる場合、「Include Public Load balancers from selected connector」オプションを選択すると、選択したコネクタと同じ設定の CloudView の AWS コネクタからパブリックロードバランサが取得されます。このオプションを選択する場合、CloudView アカウントで、選択したコネクタと同じ設定のコネクタを用意しておいてください。CloudView で同じ設定のコネクタが見つからない場合、このオプションを選択してもパブリックロードバランサは取得されません。CloudView オンラインヘルプの「AWS コネクタの設定」を参照してください。(注記: EC2 Classic プラットフォームは、パブリックロードバランサをサポートしていません。)

- (オプション)ロードバランサの DNS 名を入力してパブリックロードバランサとともにスキャンに含めます。「Add」をクリックし、手動で DNS 名を入力します。

EC2 の対象ホスト

 

Azure VM の場合

対象ホストを選択します。アセットタグ、ロードバランサ DNS 名を指定しない場合、コネクタから特定されたアセットに対してスキャンが開始されます。

- (必須)設定した Azure コネクタを選択します。

- (オプション)アセットタグを選択します。これらは、コネクタに対して有効化されているアセットです。

- (オプション)ロードバランサの DNS 名を入力してスキャンに含めます。「Add」をクリックし、手動で DNS 名を入力します。Azure VM スキャンでは、Cloud View モジュールからロードバランサ DNS 名を取得することはサポートされていません。

Azure の対象ホスト

スキャナ

デフォルトでは、クラウドペリミタースキャンには Qualys 外部スキャナを使用します。

スキャナオプションの選択

プライベートクラウドプラットフォームの場合、クラウドペリミタースキャンジョブに Scanner Appliance を使用するよう、サブスクリプションを設定できます。この場合、リストから 1 つ以上の Scanner Appliance を選択します(「Build my list」オプションを使用)。

プライベートクラウドプラットフォームのスキャナ選択

スケジュールと通知

スキャンを実行するタイミングに対して「Now」または「Recurring」を選択してください。

「Now」を選択しても、スキャンがすぐに開始されないことがあります。数分ごとに新しいスキャン要求があるかどうかを確認します。スキャナが使用可能で、同時スキャン数の制限に達していない場合、スキャンが開始されます。スキャナが使用できない場合、または制限に達した場合は、次の機会にスキャンが開始されます。

「Recurring」を選択すると、スケジュールと通知オプションも設定されます。これらは他のスキャンスケジュールと同じ設定なので、見覚えがあるはずです。

スキャンのタイミングの指定と通知の設定

確認

ユーザの設定に基づいてスキャンするアセットを特定します。

AWS EC2 の場合

EC2 スキャンのスキャン設定を確認します。

 

Azure VM の場合

Azure VM スキャンのスキャン設定を確認します。

 

以下のアセット数が表示されます。

Assets Identified / Synced - このスキャンジョブで選択したコネクタによって検出されたアセットの数。

Assets Qualified for scan - 選択したプラットフォーム、リージョン(EC2)、アセットタグ(Azure および EC2)にも一致するコネクタによって検出されたアセットの数。EC2 の場合、micro/nano/small インスタンスを含めるオプションを選択すると、これらのインスタンスの数もスキャン対象アセットの合計数に追加されます。Terminated インスタンスは削除されます。

Assets Submitted to scan - スキャンジョブで送信するアセットの数。EC2 の場合、micro/nano/small インスタンスを含めるオプションを選択すると、これらのインスタンスの数も含まれます。認定アセット(前回のカウント)から始め、VM(脆弱性スキャン)または PC(コンプライアンススキャン)用にアクティブ化されていないアセットを除外します。

Additional Load balancer targets from Connector - 選択したコネクタによって検出されたパブリックロードバランサの数。

スキャンジョブの作成

設定を確認し、アセット数を確認したら、「Create Scan Job」をクリックします。

スキャンジョブを送信すると、1)コネクタや、任意で選択された“ プラットフォーム ”および“ アセットタグ ”から特定されるアセットおよびパブリックロードバランサがない場合と、2)ロードバランサの DNS 名が指定されていない場合は、「no scannable assets are found」という警告メッセージが表示されます。スキャンジョブの送信を続ける場合は、「OK」をクリックします。このようなスキャンジョブは、「Scans」->「Schedules」タブで確認できます。

対象解決エラー

次に実行されること

新しいスキャンジョブが「Schedules」リストに表示されます。

「Schedules」リストのスキャンジョブ

スキャンが開始されると、そのスキャンは「Scans」リストに表示されます。他のスキャンと同様に、スキャンのキャンセルや一時停止、スキャンステータスの表示、結果のダウンロードなどの操作を実行できます。

もう一度スキャンを実行する場合は、「Quick Actions」メニューから「New Scan Job」を選択します。元のスキャンジョブの特定のスキャン設定を保持し、「Now」でスキャンを実行するようにスケジュールを設定します。

スキャンステータスが表示されたスキャンリスト