ゴールデンイメージ生成のための継続的パイプラインの構築
イメージ生成パイプライン
Amazon Machine Images (AMI) のゴールデンイメージ (アプリケーションをデプロイするための基本となるイメージ) を生成するためのパイプラインを構築します。
- 最新の OS バージョン (すべてのパッチが適用された状態) から開始
- 組織のポリシーに従って構成のハードニングを適用
- 必要なすべてのエージェントを事前にインストール。例えば、マルウェア対策ソフト、ファイル整合性監視ツール、特に AWS Systems Manager Agent (SSM Agent) など。
多くの AMI には、Amazon Linux や Windows バージョンなど、SSM Agent が事前にインストール されています。
AWS Config ルール (approved-amis-by-tag 、approved-amis-by-id ) を活用して、承認された AMI (パイプラインによって生成されたもの) のみが使用されていることを確認できます。
EC2 Image Builder
サードパーティの代替手段
オープンソースソリューションやサードパーティソリューションを使用して、ベースイメージを構築する方法は複数あります。例えば、HCP packer や Chef などがあります。
主なリスクと軽減
- ゴールデンイメージパイプラインがないと、OS の構成強化に一貫性がなくなり、パッチが適用されていない OS やミドルウェアの使用に関連する脆弱性が生じる可能性があります。これにより、攻撃者が初期アクセスのために公開されているアプリケーションを悪用する 可能性があります。
評価のガイダンス
- ゴールデンイメージパイプラインを実装していますか?
- 組織内で広く使用されていますか?
- それらを検証していますか?
料金
- EC2 Image Builder は無料です
- ソリューションによって生成されるリソース/イメージに対してのみ料金が発生します