Amazon のコネクタは、Amazon API 統合を使用して、Amazon EC2 および VPC アセットの検出を継続的に行います。コネクタは、1 つ以上の Amazon アカウントに接続するよう設定できます。これにより、すべての Amazon EC2 リージョンと Amazon VPC から仮想マシンインスタンスのインベントリへの変更が自動で検出され同期されます。
AWS アカウントからのインベントリとメタデータの同期、Qualys センサの配置、スキャン、AWS EC2 インスタンスのセキュリティとコンプライアンスの表示など、Qualys を使用して Amazon Web Services の安全を確保するための手順を参照してください。
クロスアカウントロールを持つ AWS コネクタは、Qualys アカウントを使用します。Qualys アカウントを使用したくない場合は、基本アカウント機能を使用して、AWS コネクタを設定できます。Qualys アカウントを使用する代わりに、AWS コネクタの設定時に、自身の AWS アカウントを基本アカウントとして設定できます。
1 つのアカウントタイプに作成できる基本アカウントは 1 つのみです。その基本アカウントを設定する AWS アカウント ID に、AWS コンソールで関連付けられているポリシーがあることを確認してください。
新しいコネクタを作成する前に、同じアカウントタイプの基本アカウントを作成します(リージョン)。基本アカウントを作成しない場合でも、コネクタを作成できます。
「コネクタ」->「コネクタ」を選択して、「ベースアカウントの設定」をクリックします。名前、AWS アカウント ID、アクセス権、秘密鍵を指定し、アカウントタイプを選択します。表示表示
1 つの AWS アカウントに対して 1 つの EC2 コネクタを設定することをお勧めし ます。コネクタウィザードに従って、ARN 認証の設定、EC2 リージョンの選択、スキャンに使用する EC2 アセットのアクティブ化の手順を実行します。
- クロスアカウントロール認証: これにより、Qualys は、AWS セキュリティ資格情報を共有することなく、AWS EC2 インスタンスにアクセスできるようになります。Qualys は、AWS アカウントで作成される IAM ロールを前提として、AWS EC2 インスタンスにアクセスします。これにより、Qualys サブスクリプションの IAM ユーザキーの管理のオーバーヘッドが解消されます。詳細については、「Qualys を使用した Amazon Web Services のセキュリティ保護」(PDF)を参照してください。
1)アプリケーションピッカーから「AssetView(AV)」を選択します。次に、「コネクタ」タブに移動し、「EC2 コネクタの作成」をクリックします。
2)名前、説明を指定し、アカウントタイプを選択します。Role ARN を指定し、「続行」をクリックします。詳細詳細
Qualys は、クロスアカウントアクセスロールを使用した AWS EC2 コネクタの作成をサポートしています。これにより、Qualys は、AWS セキュリティ資格情報を共有することなく、AWS EC2 インスタンスにアクセスできるようになります。Qualys は、AWS アカウントで作成される IAM ロールを前提として、AWS EC2 インスタンスにアクセスします。これにより、Qualys サブスクリプションの IAM ユーザキーの管理のオーバーヘッドが解消されます。
EC2 API を通じて AWS アカウントから読み取りを行うには、有効な AWS IAM(Identity and Access Management)資格情報に十分な権限を関連付ける必要があります。この資格情報の形式は、AWS IAM アクセスキーのペアとなります。これは、AWS 管理者が作成し、Qualys EC2 コネクタの設定に入力または貼り付ける必要があります。
AWS には、すぐに使用できるさまざまな「読み取り専用」パーミッションポリシーテンプレートがあります。これらの多くで、EC2 コネクタが機能します。本書の執筆時点では、次の 3 つのテンプレートには、Qualys EC2 コネクタの十分なアクセス権が含まれています。
- Read Only Access
- Amazon EC2 Read Only Access
- Security Audit
カスタムの AWS パーミッションポリシーを作成して、最小限のパーミッションを指定する場合、Qualys EC2 コネクタで実際に必要なのは、本書の執筆時点では、次の Amazon EC2 API パーミッションのみです。
- DescribeInstances
- DescribeImages
- DescribeNetworkInterfaces
これらのパーミッションを AWS IAM のユーザレベルまたはグループレベルで関連付けることができます。
Qualys は、アセットインベントリの検出と同期を 4 時間ごとに行います。アセットインベントリは、スキャンに依存しません。
ウィザードを使用して、スキャンする EC2 ホストを選択する手順を実行します。
3)EC2 データを収集するリージョンを選択します。
「アセットを同期」ボタンを使用すると、各リージョンのアセット数を取得できます。ここでリージョンを少ししか選択しなかった場合でも、後からリージョンを追加するよう変更できます。
ヒント: すべてのリージョンを選択することをお勧めします。これにより、別のリージョンで他のユーザがインスタンスを稼働しているかどうかを表示できます。
4)スキャンを実行できるよう、Qualys ライセンスで EC2 アセットをアクティブ化する必要があります。
AWS で Virtual Scanner を使用する場合、ここでアセットをアクティブ化するか、または AssetView から手動でアクティブ化する必要があります。「Automatically activate」を選択すると、検出されたすべての EC2 アセットが自動的にアクティブ化されます(中サイズ以上)。これでスキャンの準備が整いました。
デフォルトでは、m1.small、t1.micro、または t2.nano インスタンスタイプのアセットは、アクティブ化から除外されます。これらのアセットは、Qualys にインポートされますが、VM、PC、SCA ではアクティブ化されません。この制限を解除し、これらのインスタンスタイプを持つアセットがコネクタ設定に基づいて自動アクティブ化されるようにするには、テクニカルアカウントマネージャまたは Qualys サポートにお問い合わせください。
5)EC2 コネクタの作成時に、「CreateConnector in CloudView」オプション(「Tags and Activation」パネルにあります)を使用して、CloudView アプリケーションで EC2 コネクタを使用できるようにします。これにより、CloudView で別個にコネクタを作成する手間が省けます。AssetView で有効化すると、このオプションを後で無効化しても、CloudView から対応するコネクタは削除されません。削除するには、CloudView アプリケーションから、コネクタを明示的に削除する必要があります。
6)Qualys による EC2 スキャンは、「タグによるスキャン」のワークフローを使用します。
ヒント: Qualys タグをすべての EC2 インスタンスに関連付けます。Virtual Scanner を使用してスキャンを行う場合、タグの使用は必須です。汎用のアセットタグ(「EC2」など)を最低 1 つ作成し、インポートされたすべてのアセットにコネクタが EC2 タグを自動的に適用するように設定することをお勧めします。
動的タグを作成し、検出された EC2 インスタンスの IP アドレスおよびその他の EC2 属性に基づいて、EC2 アセットを自動的にタグ付けできるようにすることもできます。
コネクタの作成を完了するには、「完了」をクリックします。