レビュー

AWSやGCPといったクラウドサービスのセキュリティ項目を無料で監査できるオープンソースソフト「Scout Suite」レビュー


AWSやGCP、Azureといったクラウドサービスには数多くの設定があり、セキュリティ上の問題に設定画面から気づくのは難しい場合もあります。無料のオープンソースソフト「Scout Suite」では、各クラウドのAPI機能を利用して、クラウド上に構築した環境の設定に対し、セキュリティの問題がないかの監査を行うことが可能です。

GitHub - nccgroup/ScoutSuite: Multi-Cloud Security Auditing Tool
https://github.com/nccgroup/ScoutSuite

Scout Suiteが記事作成時点で正式に対応しているサービスは、AWS、GCP、Azureの3サービス。Alibaba CloudとOracle Cloud Infrastructureには実験的に対応しています。今回はGCP上のプロジェクトに対し、Scout Suiteによる監査を実行してみます。


Scout SuiteはGCPが外部に公開しているAPIを利用して監査を行うので、別途Scout Suiteを実行するためのクライアントも必要です。今回はUbuntu 18.04上でScout Suiteを実行します。


まずはPythonのパッケージマネージャ「pip」をクライアントにインストールします。

sudo apt install python3 python3-pip


続いてScout SuiteをGitHubからダウンロードし「ScoutSuite」ディレクトリに移動します。

git clone https://github.com/nccgroup/ScoutSuite.git && cd ScoutSuite


次のコマンドを実行して、Scout Suiteの実行に必要なパッケージ群をインストール。

pip3 install -r requirements.txt


GCPのAPIを利用するため、サービスアカウントキーを作成するGCPのページにアクセスし、サービスアカウントを選択して「作成」をクリックします。


キーが記載されたファイルが出力されるので「ファイルを保存」をクリック。


PCが環境変数「GOOGLE_APPLICATION_CREDENTIALS」に先ほど保存したキーファイルのパスを設定します。これでScout SuiteをGCPに対して実行する準備が整いました。

export GOOGLE_APPLICATION_CREDENTIALS="/home/[ユーザー名]/Downloads/[ファイル名].json

"

さっそく「ScoutSuite」ディレクトリ内で下記コマンドを実行してScout Suiteを実行します。

python3 scout.py gcp --user-account


実行すると、「scoutsuite-report」ディレクトリ内にレポートファイルが出力されました。


ディレクトリ内のHTMLをブラウザで表示することで、レポートの内容を確認することができます。「Service」はクラウド内のサービス名、「Resources」は検知した設定項目の数、「Rules」は監査項目の数、「Findings」は問題が見つかった設定の要素数、「Checks」は検査した設定の要素数を表します。


監査で問題が検出された機能には、左に黄色や赤色のフラグが表示されます。黄色のフラグで問題を指摘されている「Compute Engine」をクリックしてみると……


問題のある項目が一覧で表示されました。


右側の「+」ボタンをクリックすると、項目ごとの指摘内容を確認できます。


試しに「Instance without deletion protection(インスタンスの削除保護機能が無効)」の指摘内容を確認すると、プロダクトとしてVMを利用する場合は有効にしておくべきとの指摘が表示されました。


指摘された通り、GCPのVM設定画面から「削除からの保護」を有効にして、もう一度Scout Suiteの監査を実行すると……


「Instance without deletion protection」の項目が緑色のフラグに変わり、警告が消えていました。Scout Suiteではこんな感じで自身が運用するクラウドに対して監査を実行し、問題のある項目を改善していくことができます。


上部のタブから確認したい機能を選択すれば、クラウドの設定内容を確認することも可能。


例えばファイアウォールの設定は以下のように表示されます。今回はコンピューティング機能のみ動作しているプロジェクトに対して監査を行いましたが、データベースやクラウドストレージなどについても監査を行うことができます。

この記事のタイトルとURLをコピーする

・関連記事
Amazon・Google・Microsoftのクラウドのパフォーマンスを比較した結果が公開中 - GIGAZINE

無料&オープンソースで大規模なネットワークを常時グラフィカルに監視できる「Moloch」 - GIGAZINE

GIGAZINE(ギガジン) - Googleが「もう石油・ガス会社のためにはAIを提供しない」と宣言

無料&オープンソースでシステム障害のレポートを一元化できるNetflix製インシデント管理ツール「Dispatch」 - GIGAZINE

規定文字数のパスワードや読みやすいパスワードなどを条件に合わせて大量に作れるフリーソフト「Password Tech」 - GIGAZINE

・関連コンテンツ

in レビュー,   ソフトウェア, Posted by darkhorse_log

You can read the machine translated English article here.