HAQM Inspector が AWS Lambda 関数をスキャンして脆弱性を検出するようになりました

HAQM Inspector は脆弱性管理サービスで、HAQM Elastic Compute Cloud (HAQM EC2) インスタンスや HAQM Elastic Container Registry (HAQM ECR) 内のコンテナイメージにまたがるワークロードを継続的にスキャンしますが、本日より AWS Lambda 関数と Lambda レイヤーのワークロードも対象になりました。

今日まで、混在ワークロード (EC2 インスタンス、コンテナイメージ、Lambda 関数など) を一般的な脆弱性に対して分析したいと考えていたお客様は、AWS やサードパーティーのツールを使用する必要がありました。これにより、すべてのワークロードを安全に保つことが複雑になっていました。

さらに、数か月前に発生した Log4j の脆弱性の例を見ると、デプロイ前にのみ関数の脆弱性をスキャンするだけでは不十分であることがよくわかります。新しい脆弱性はいつでも出現する可能性があるため、ワークロードを継続的に監視し、新しい脆弱性が公開されたときにほぼリアルタイムで再スキャンすることがアプリケーションのセキュリティにとって非常に重要です。

開始方法
使用を開始するための最初のステップとして、HAQM Inspector をアカウントまたは AWS Organizations 全体で有効にします。一度アクティブ化すると、HAQM Inspector は選択したアカウントの関数を自動的にスキャンします。HAQM Inspector は AWS のネイティブサービスです。つまり、これを機能させるためにライブラリやエージェントを関数やレイヤーにインストールする必要はありません。

HAQM Inspector は、Java、NodeJS、および Python で記述された関数とレイヤーについて、本日よりご利用いただけます。デフォルトでは、アカウント内のすべての関数が継続的にスキャンされますが、キーが InspectorExclusion で値が LambdaStandardScanning のタグをアタッチすると、特定の Lambda 関数を除外できます。

HAQM Inspector は、デプロイ時に関数とレイヤーを最初にスキャンし、Lambda 関数が更新されたときや新しい脆弱性 (CVE) が公開されたときなど、ワークロードに変更があったときに自動的に再スキャンします。

HAQM Inspector では、関数に加えて Lambda レイヤーもスキャンしますが、スキャンされるのは関数で使用される特定のレイヤーバージョンのみです。レイヤーまたはレイヤーバージョンは、どの関数でも使用されていない場合、分析されません。サードパーティーのレイヤーを使用している場合、HAQM Inspector はそれらのレイヤーも脆弱性がないかスキャンします。

HAQM Inspector [Findings] (検出結果) コンソールで、さまざまな関数の検出結果を [By Lambda function] (Lambda 関数別) でフィルタリングして確認できます。HAQM Inspector で何か検出されると、すべての検出結果が AWS Security Hub と HAQM EventBridge に転送されるため、デベロッパーやシステム管理者に通知を送信するなどの自動化ワークフローを構築できます。

今すぐ利用可能
HAQM Inspector による AWS Lambda 関数とレイヤーのサポートは、米国東部 (オハイオ)、米国東部 (バージニア北部)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)、アジアパシフィック (香港)、アジアパシフィック (ムンバイ)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、カナダ (中部)、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (ミラノ)、欧州 (パリ)、欧州 (ストックホルム)、中東 (バーレーン)、および南米 (サンパウロ) で一般提供を開始しました。

この新機能を試してみたい場合は、15 日間無料で試用できます。サービスと無料トライアルの詳細については、サービスページを参照してください。

– Marcia

原文はこちらです。