[アップデート] Amazon Inspector が AWS Lambda と AWS Lambda Layers の脆弱性をスキャンに対応しました #reinvent

[アップデート] Amazon Inspector が AWS Lambda と AWS Lambda Layers の脆弱性をスキャンに対応しました #reinvent

Clock Icon2022.11.29

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは、CX事業本部、re:Invent 2022 現地参加組の田中孝明です。

対応内容

Amazon Inspector は脆弱性管理サービスで、Amazon EC2、Amazon ECRに存在するコンテナ イメージを継続的にスキャンします。 今日からAWS Lambda関数と AWS Lambda Layers に対応しました。

今まで、AWS Lambda を脆弱性診断したい場合は、AWS とサードパーティツールを使用する必要がありました。

この機能をアクティブ化すると、Amazon Inspector は選択したアカウントを自動的にスキャンします。 Amazon Inspector は AWS のネイティブ サービスであるため、AWS Lambda または AWS Lambda Layers にライブラリまたはエージェントをインストールする必要がありません。

Java、Node,js 、および Python で記述された AWS Lambda と AWS Lambda Layers に利用できます。

Amazon Inspector を有効にしたアカウントで、 Findings -> By Lambda function で確認できます。

スキャンを除外する場合

デフォルトでは、アカウント内のすべての AWS Lambda を継続的にスキャンしますが、キー InspectorExclusion に値 LambdaStandardScanning を含むタグを添付すると、特定の AWS Lambda を除外できます。

Amazon Inspector 再スキャンのタイミング

以下の場合に自動的に再スキャンします。

  • AWS Lambda デプロイ時
  • AWS Lambda 更新時
  • 新しい脆弱性が CVE に公開された時

利用可能なリージョン

  • US East (Ohio)
  • US East (N. Virginia)
  • US West (N. California)
  • US West (Oregon)
  • Asia Pacific (Hong Kong)
  • Asia Pacific (Mumbai)
  • Asia Pacific (Seoul)
  • Asia Pacific (Singapore)
  • Asia Pacific (Sydney)
  • Asia Pacific (Tokyo)
  • Canada (Central)
  • Europe (Frankfurt)
  • Europe (Ireland)
  • Europe (London)
  • Europe (Milan)
  • Europe (Paris)
  • Europe (Stockholm)
  • Middle East (Bahrain)
  • South America (Sao Paulo)

所感

AWS Lambda の脆弱性診断ツールはサードパーティが提供していたものがあったのですが、ネイティブサポートということで色々な選択肢が出てきました。サードパーティのツールを使う場合の利点など、この辺りは検証を進めていきたいと思います。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.