この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
はじめに
こんにちは、CX事業本部、re:Invent 2022 現地参加組の田中孝明です。
対応内容
Amazon Inspector は脆弱性管理サービスで、Amazon EC2、Amazon ECRに存在するコンテナ イメージを継続的にスキャンします。 今日からAWS Lambda関数と AWS Lambda Layers に対応しました。
今まで、AWS Lambda を脆弱性診断したい場合は、AWS とサードパーティツールを使用する必要がありました。
この機能をアクティブ化すると、Amazon Inspector は選択したアカウントを自動的にスキャンします。 Amazon Inspector は AWS のネイティブ サービスであるため、AWS Lambda または AWS Lambda Layers にライブラリまたはエージェントをインストールする必要がありません。
Java、Node,js 、および Python で記述された AWS Lambda と AWS Lambda Layers に利用できます。
Amazon Inspector を有効にしたアカウントで、 Findings -> By Lambda function で確認できます。
スキャンを除外する場合
デフォルトでは、アカウント内のすべての AWS Lambda を継続的にスキャンしますが、キー InspectorExclusion に値 LambdaStandardScanning を含むタグを添付すると、特定の AWS Lambda を除外できます。
Amazon Inspector 再スキャンのタイミング
以下の場合に自動的に再スキャンします。
- AWS Lambda デプロイ時
- AWS Lambda 更新時
- 新しい脆弱性が CVE に公開された時
利用可能なリージョン
- US East (Ohio)
- US East (N. Virginia)
- US West (N. California)
- US West (Oregon)
- Asia Pacific (Hong Kong)
- Asia Pacific (Mumbai)
- Asia Pacific (Seoul)
- Asia Pacific (Singapore)
- Asia Pacific (Sydney)
- Asia Pacific (Tokyo)
- Canada (Central)
- Europe (Frankfurt)
- Europe (Ireland)
- Europe (London)
- Europe (Milan)
- Europe (Paris)
- Europe (Stockholm)
- Middle East (Bahrain)
- South America (Sao Paulo)
所感
AWS Lambda の脆弱性診断ツールはサードパーティが提供していたものがあったのですが、ネイティブサポートということで色々な選択肢が出てきました。サードパーティのツールを使う場合の利点など、この辺りは検証を進めていきたいと思います。
0
