[アップデート] Amazon Inspector が AWS Lambda と AWS Lambda Layers の脆弱性をスキャンに対応しました #reinvent

はじめに

こんにちは、CX事業本部、re:Invent 2022 現地参加組の田中孝明です。

対応内容

Amazon Inspector は脆弱性管理サービスで、Amazon EC2、Amazon ECRに存在するコンテナ イメージを継続的にスキャンします。 今日からAWS Lambda関数と AWS Lambda Layers に対応しました。

今まで、AWS Lambda を脆弱性診断したい場合は、AWS とサードパーティツールを使用する必要がありました。

この機能をアクティブ化すると、Amazon Inspector は選択したアカウントを自動的にスキャンします。 Amazon Inspector は AWS のネイティブ サービスであるため、AWS Lambda または AWS Lambda Layers にライブラリまたはエージェントをインストールする必要がありません。

Java、Node,js 、および Python で記述された AWS Lambda と AWS Lambda Layers に利用できます。

Amazon Inspector を有効にしたアカウントで、 Findings -> By Lambda function で確認できます。

スキャンを除外する場合

デフォルトでは、アカウント内のすべての AWS Lambda を継続的にスキャンしますが、キー InspectorExclusion に値 LambdaStandardScanning を含むタグを添付すると、特定の AWS Lambda を除外できます。

Amazon Inspector 再スキャンのタイミング

以下の場合に自動的に再スキャンします。

• AWS Lambda デプロイ時
• AWS Lambda 更新時
• 新しい脆弱性が CVE に公開された時

利用可能なリージョン

• US East (Ohio)
• US East (N. Virginia)
• US West (N. California)
• US West (Oregon)
• Asia Pacific (Hong Kong)
• Asia Pacific (Mumbai)
• Asia Pacific (Seoul)
• Asia Pacific (Singapore)
• Asia Pacific (Sydney)
• Asia Pacific (Tokyo)
• Canada (Central)
• Europe (Frankfurt)
• Europe (Ireland)
• Europe (London)
• Europe (Milan)
• Europe (Paris)
• Europe (Stockholm)
• Middle East (Bahrain)
• South America (Sao Paulo)

所感

AWS Lambda の脆弱性診断ツールはサードパーティが提供していたものがあったのですが、ネイティブサポートということで色々な選択肢が出てきました。サードパーティのツールを使う場合の利点など、この辺りは検証を進めていきたいと思います。