EC2 スキャン - Virtual Scanner Appliance の配置

Qualys Virtual Scanner Appliance は、AWS Marketplace の Amazon Machine Image(AMI)として使用でき、ユーザはすぐに Amazon EC2-Classic および EC2-VPC でこれを開始することができます。

スキャナの配置には次のものがあります。

Qualys における設定 | AWS における設定

配置における推奨事項

スキャナを配置する際に、ネットワークトポロジと、Scanner Appliance をホストするのに必要な EC2 インスタンスのサイズに関して、Qualys から推奨事項がいくつかあります。それらを以下に示します。

スキャナをホストするのに必要なインスタンスサイズ

Qualys Virtual Scanner Appliance をホストする場合に Qualys がサポートするスキャナインスタンスのサイズの上限値は、16 CPU および 16 GB RAM です。また、A1、c6g、m6g、t4g、r6g インスタンスファミリなど、ARM ベースのインスタンスタイプへのスキャナの配置はサポートされていません。スキャンされる EC2 インスタンス数と、インスタンスがスキャンされる回数に応じて、16 CPU および 16 GB RAM までスケールアップすることができます。  

ENA インスタンスのサポート

Qualys Virtual Scanner Appliance は、拡張ネットワーキング(ENA)および NVMe SSD ボリュームをサポートするインスタンスタイプへの配置も可能です。AWS の現行世代のインスタンスタイプによってサポートされるネットワーキングとストレージ機能については、次の表を参照してください。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html#instance-type-summary-table

Qualys Virtual Scanner Appliance が配置できるのは、最大で 16 CPU および 16 GB RAM までのインスタンスタイプであることに留意してください。

スキャン対象の制限

デフォルトでは、インスタンスタイプ t1.micro、m1.small、t2.nano を持つ対象でスキャンを開始することはできないので注意してください。この制限を解除し、これらのインスタンスタイプを持つアセットがコネクタ設定に基づいて自動アクティブ化されるようにするには、テクニカルアカウントマネージャまたは Qualys サポートにお問い合わせください。

ネットワークトポロジに基づくスキャナの配置

Amazon Virtual Private Cloud(Amazon VPC)には、包括的な仮想ネットワーク機能セットがあるため、AWS ユーザは、AWS クラウドでネットワークを設計および実装するための多くのオプションを使用することができます。Amazon VPC を使用すると、論理的に独立した仮想ネットワークをプロビジョニングして、AWS リソースをホストすることができます。AWS ネットワークの設定状況に応じて、スキャナの配置方法に関する推奨事項をいくつか示します。

- 1 つのリージョン内のピア接続されていない VPC - Qualys では、VPC がピア接続されていない場合、1 つのリージョンの 1 つの VPC に対して 1 つ以上のスキャナを設定することをお勧めします。

- 1 つのリージョン内のピア接続されている VPC - 1 つのリージョンで他の VPC とピア接続されている中央の VPC に 1 つ以上のスキャナを設定できます(ハブ「n」スポークモデル)。

- 複数のリージョンにわたる複数の VPC - 他のリージョンへの VPN または VPC トランジットのある VPC に 1 つ以上のスキャナを設定できます。

考慮すべき事項

以下の機能はサポートされておらず、すべてのクラウド(プライベートおよびパブリック)プラットファームで無効になっています。

- WAN/Split network SETTINGS - 分離ネットワーク設定の「WAN Interface」オプションは、スキャナ UI/コンソールから使用できません。Qualys サーバのスキャンと接続の両方に使用される、クラウド UI の LAN/シングルネットワーク設定のみがサポートされています。

- NATIVE VLAN - ネイティブ VLAN を設定するための「VLAN on LAN」オプションは、スキャナ UI/コンソールから使用できません。

- STATIC VLAN(IPV4 および IPV6) - 静的 VLAN を設定するための「VLANs」オプションは、Qualys UI から使用できません。

- STATIC ROUTES(IPV4 および IPV6) - 「Static Routes」を設定するためのオプションは、Qualys UI から使用できません。  

- IPV6 ON LAN - 「IPv6 on LAN」を設定するためのオプションは、Qualys UI から使用できません。

必要条件

「Virtual Scanner」オプションがアカウントで有効になっている必要があります。このオプションを有効にするには、Qualys サポートまたはテクニカルアカウントマネージャにお問い合わせください。

マネージャであるか、「Manage virtual scanner appliances」パーミッションを持つサブユーザである必要があります。このパーミッションは、ユニットマネージャに付与できます。スキャナにこのパーミッションを付与できるようサブスクリプションを設定することができます。

Qualys における設定

新しい Virtual Scanner Appliance を追加し、パーソナル化コードを取得します。

「Scans」->「Appliances」に移動して、「New」->「Virtual Scanner Appliance」を選択します。「I have my image」を選択して、「Continue」をクリックします。

スキャナに名前を指定します。サブユーザである場合は、マネージャユーザがビジネスユニットに割り当てているアセットグループを選択する必要があります。アセットグループが表示されない場合は、ビジネスユニットにアセットグループ(「All」グループ以外)を割り当てるようマネージャに依頼してください

画面上の手順に従って、Virtual Scanner Appliance を設定し、パーソナル化コードを取得します。パーソナル化コードは、AMI インスタンスを起動する際に必要です。

「Add New Virtual Scanner」ウィザードのパーソナル化コード

AWS における設定

Amazon AWS の AMI インスタンスの起動

Qualys Virtual Scanner は、AWS Marketplace から、または AWS アカウントで共有されているカスタム AMI から起動できます。AWS 管理コンソールを使用して、AMI インスタンスを起動することもできます(コンソールにサインインし、「Services」->「EC2」を選択し、以下に従って AMI 設定を入力します)。

1)Qualys Virtual Scanner Appliance を配置します。

AWS Marketplace から起動する場合

AWS Marketplace の「Qualys Virtual Scanner Appliance」ページに移動し、AWS アカウントにログインします。

AWS Marketplace の Qualys Virtual Scanner Appliance HVM

AWS Marketplace

 

AWS コンソールからカスタム AMI を起動する場合

AWS アカウントで共有されているカスタム AMI から起動するには、AWS コンソールにログインし、「Images」->「AMI」->「Private Images」を選択し、検索ボックスに「qVSA」と入力すると、アカウントで共有されているすべての Qualys Virtual Scanner イメージが表示されます。

2)リージョン内の Virtual Scanner AMI を起動します。

3)ウィザードを使用して、AMI 設定を入力します。「Advance Details」項で、「Metadata version」として「V1 and V2 (token optional)」を使用します。現時点では、「V2 (token required)」はサポートされていません。したがって、「User data」フィールドに、Qualys ユーザインタフェースから取得したパーソナル化コードを入力する必要があります。また、必要に応じて、プロキシサーバも入力します(使用されている場合)。

AWS の AMI 設定の「User data」フィールドのパーソナル化コード

 

パーソナル化コード - Qualys から取得したパーソナル化コードを PERSCODE= の後に続けて入力します。

プロキシサーバ(オプション) - プロキシサーバ情報をパーソナル化コードとは別の行に、PROXY_URL の後に続けて入力します。プロキシサーバは、スキャナが Qualys クラウドプラットフォームに直接接続されない場合に使用されます。

重要: プロキシサーバは、AWS リージョン固有のエンドポイントへのアクセスを許可する必要があります。リージョンとエンドポイントの詳細については、こちらを参照してください。http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region

例:

PERSCODE=12345678901234
PROXY_URL=username:password@proxyhost:port

形式の設定:

ドメインユーザがいる場合は、「domain\username:password@proxyhost:port」の形式になります。

認証が使用されない場合は、「proxyhost:port」の形式になります。

「proxyhost」は、プロキシサーバの IPv4 アドレスまたは FQDN です

起動後の Virtual Scanner Appliance の Qualys クラウドプラットフォームへの接続

この手順により、Virtual Scanner Appliance が Qualys アカウントに登録されます。また、アプライアンスは最新のソフトウェア更新すべてをすぐにダウンロードするため、スキャンの準備が整っています。

Virtual Scanner Appliance のセキュリティグループの設定

Scanner Appliance に割り当てられたセキュリティグループに次の送信ルールを設定します。

- プロキシサーバを使用している場合、送信ルールで、ポート 443 およびプロキシサーバとの通信に使用されるポート上でのアクセスが許可されるようにします。

- Scanner Appliance がインターネットに直接接続している場合、送信ルールで、Qualys セキュアオペレーションセンター(SOC)の IP アドレスにポート 443 でアクセスできるようにします。SOC の IP アドレス範囲を取得するには、Qualys ポータルにログインし、「Help」->「About」オプションを選択します。

- スキャナは、スキャンを実行するためにすべての対象インスタンスにアクセスできる必要があります。スキャナがスキャンする対象の EC2 インスタンスのすべてのポートとサブネットへのアクセスを許可するように、送信ルールを設定することをお勧めします。

トラブルシューティング

Qualys Virtual Scanner Appliance のトラブルシューティングまたはエラーチェックを行うには、AWS EC2 内の「Get Instance Screenshot」および「Get System Log」機能からシステムログにアクセスします。

インスタンススクリーンショットの取得

スキャナインスタンスコンソールのスクリーンショットを生成するには、EC2 コンソール GUI にログインし、スキャナインスタンスを特定します。「Actions」->「Instance Settings」->「Get Instance Screenshot:」をクリックします。

Refresh」ボタンをクリックして、最新のログセットを取得します。

システムログの取得

「Get System Log」は、インスタンスの移行状態(開始、停止、再起動、終了)のすぐ後にポストされたバッファ情報を返すシリアルコンソール出力を表示します。 

シリアルコンソール出力ログを生成するには、EC2 コンソール GUI にログインし、スキャナインスタンスを特定します。「Actions」->「Instance Settings」->「Get System Log:」をクリックします。

注記: EC2 コンソール GUI から出力する場合、ポストされた出力は継続して更新されません。最初の 64 KB コンソール出力のみが表示されます。

AWS CLI を使用してシリアルコンソール出力の最新の 64 KB を取得するには、スキャナインスタンスを Nitro ベースのハイパーバイザに配置する必要があります。  Nitro システムで作成されたインスタンスタイプのリストについては、こちらを参照してください。

AWS CLI を使用したシステムログの取得

デフォルトでは、シリアルコンソール出力は、インスタンスの移行状態(開始、停止、再起動、終了)のすぐ後にポストされたバッファ情報を返します。この情報は、最新のポスト後少なくとも 1 時間以内は取得できます。シリアルコンソール出力の最新の 64 KB のみが取得できます。

その他の方法として、「--latest」オプションを使用してインスタンスのライフサイクル時ならいつでも最新のシリアルコンソール出力を取得できます。このオプションは、Nitro ハイパーバイザを使用するインスタンスタイプでサポートされています。

CLI を使用してシリアルコンソールログを取得するには、次の手順に従います。

1)AWS の最新 CLI バージョン(https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html)を使用して、AWS CLI 環境を設定します。

2)次の AWS CLI コマンドを実行します。

aws ec2 get-console-output --instance-id <インスタンス ID> --latest --output text

注記: 「--latest」オプションは、Nitro ハイパーバイザを使用するインスタンスタイプでのみサポートされています。

エラーおよびトラブルシューティングの情報については、「Scanner Appliance のトラブルシューティングと FAQ」を参照してください。