Amazon Inspector
ユーザーガイド (Version Latest)

ネットワーク到達可能性

ネットワーク到達可能性パッケージのルールは、ネットワーク設定を分析して EC2 instances のセキュリティ上の脆弱性を見つけます。Amazon Inspector が生成した結果から、安全ではないアクセスの許可に関するガイダンスも得られます。

ネットワーク到達可能性ルールパッケージは、AWS の Provable Security イニシアチブの最新のテクノロジを使用しています。

これらのルールによって生成された結果は、ポートがインターネットからインターネットゲートウェイ (Application Load Balancers または Classic Load Balancer の背後のインスタンスを含む)、VPC ピアリング接続、または仮想ゲートウェイを介した VPN を通じて到達可能かどうかを示します。これらの結果では、管理が誤っているセキュリティグループ、ACL、IGW など、潜在的に悪意のあるアクセスを許可するネットワーク設定もハイライトされています。

これらのルールは、AWS ネットワークのモニタリングを自動化し、EC2 instance へのネットワークアクセスが誤って設定されている可能性がある場所を特定するのに役立ちます。このパッケージを評価の実行に含めることで、スキャナーをインストールしてパケットを送信しなくても、特に VPC ピアリング接続と VPN では、維持するのに複雑でコストがかかる、詳細なネットワークセキュリティチェックを実装できます。

重要

Amazon Inspector エージェントは、このルールパッケージを使用して EC2 instance を評価する必要はありません。ただし、インストールされているエージェントは、ポートで待機しているプロセスの存在に関する情報を提供できます。

重要

このルールパッケージは Amazon EC2 Classic ネットワークをサポートしません。

詳細については、「サポートされているオペレーティングシステムに関して、Amazon Inspector ルールパッケージ」を参照してください。

分析された設定

ネットワーク到達可能性ルールは以下のエンティティの設定の脆弱性を分析します。

重要

ネットワーク到達可能性ルールパッケージは、インバウンドアクセスを許可または制限する他の設定素を考慮していません。

到達可能性ルート

ネットワーク到達可能性ルールは、次の到達可能性ルートを確認します。これは、VPC の外部からポートにアクセスできる方法に対応しています。

  • Internet - インターネットゲートウェイ (Application Load Balancer および Classic Load Balancer を含む)

  • PeeredVPC - VPC ピアリング接続

  • VGW - 仮想プライベートゲートウェイ

結果のタイプ

ネットワーク到達可能性ルールパッケージを含む評価では、各到達可能性ルートについて次のタイプの結果が返される可能性があります。

RecognizedPort

一般的によく知られているサービスに使用されるポートは到達可能です。エージェントがターゲット EC2 instance に存在する場合、生成された結果はポートにアクティブなリスニングプロセスがあるかどうかも示します。このタイプの結果には、よく知られているサービスのセキュリティへの影響に基づいて重大度が指定されます。

  • RecognizedPortWithListener – 認識されたポートは、特定のネットワークコンポーネントを介してパブリックインターネットにより、外部から到達可能であり、プロセスはそのポートでリッスンしています。

  • RecognizedPortNoListener – ポートは、特定のネットワークコンポーネントを介してパブリックインターネットにより、外部から到達可能であり、そのポートでリッスンしているプロセスはありません。

  • RecognizedPortNoAgent – ポートは、特定のネットワークコンポーネントを介してパブリックインターネットにより、外部から到達可能です。ターゲットインスタンスにエージェントをインストールしないと、ポートをリッスンしているプロセスが存在するかどうかを判断できません。

次のテーブルは、認識されているポートの一覧を示しています。

サービス

TCP ポート

UDP ポート

SMB

445

445

NetBIOS

137、139

137、138

LDAP

389

389

LDAP over TLS

636

グローバルカタログ LDAP

3268

グローバルカタログ LDAP over TLS

3269

NFS

111、2049、4045、1110

111、2049、4045、1110

Kerberos

88、464、543、544、749、751

88、464、749、750、751、752

RPC

111、135、530

111、135、530

WINS

1512、42

1512、42

DHCP

67、68、546、547

67、68、546、547

Syslog

601

514

印刷サービス

515

Telnet

23

23

FTP

21

21

SSH

22

22

RDP

3389

3389

MongoDB

27017、27018、27019、28017

SQL Server

1433

1434

MySQL

3306

PostgreSQL

5432

Oracle

1521、1630

Elasticsearch

9300、9200

HTTP

80 80

HTTPS

443 443

UnrecogizedPortWithListener

前記のテーブルに記載されていないポートは到達可能で、アクティブなリスニングプロセスがあります。このタイプの結果はリスニングプロセスに関する情報を示すため、Amazon Inspector エージェントがターゲット EC2 instance にインストールされている場合にのみ生成できます。このタイプの結果は [Low (低)] の重要度が与えられます。

NetworkExposure

このタイプの結果は、EC2 instance 到達可能なポートに関する集計情報 を示しています。EC2 instance の Elastic Network Interface とセキュリティグループの組み合わせごとに、到達可能な TCP および UDP ポート範囲のセットが示されます。このタイプの結果の重要度は、[Informational (情報)] です。