Amazon Inspector skanuje teraz funkcje AWS Lambda pod kątem luk w zabezpieczeniach

Amazon Inspector to usługa zarządzania lukami w zabezpieczeniach, która stale skanuje obciążenia w instancjach Amazon Elastic Compute Cloud (Amazon EC2), obrazy kontenerów znajdujące się w Amazon Elastic Container Registry (Amazon ECR), a od dzisiaj także funkcje AWS Lambda i warstwy Lambda.

Do dziś klienci, którzy chcieli przeanalizować swoje mieszane obciążenia (w tym instancje EC2, obrazy kontenerów i funkcje Lambda) pod kątem typowych luk musieli korzystać z AWS i narzędzi innych firm. Zwiększyło to złożoność zapewniania bezpieczeństwa wszystkich obciążeń.

Ponadto luka w zabezpieczeniach log4j sprzed kilku miesięcy była doskonałym przykładem tego, że skanowanie funkcji w poszukiwaniu luk tylko przed wdrożeniem nie wystarczy. Ponieważ nowe luki w zabezpieczeniach mogą pojawić się w dowolnym momencie, dla bezpieczeństwa aplikacji bardzo ważne jest, aby obciążenia były stale monitorowane i ponownie skanowane w czasie zbliżonym do rzeczywistego w miarę publikowania nowych luk w zabezpieczeniach.

Jak zacząć

Pierwszym krokiem do rozpoczęcia korzystania z Amazon Inspector jest włączenie go na swoim koncie lub w całej organizacji AWS. Po aktywacji Amazon Inspector automatycznie skanuje funkcje na wybranych kontach. Amazon Inspector to natywna usługa AWS; oznacza to, że nie musisz instalować biblioteki ani agenta w swoich funkcjach lub warstwach, aby to działało.

Amazon Inspector jest dostępny od dzisiaj dla funkcji i warstw napisanych w Javie, NodeJS i Pythonie. Domyślnie stale skanuje wszystkie funkcje na Twoim koncie, ale jeśli chcesz wykluczyć konkretną funkcję Lambda, możesz dołączyć tag z kluczem InspectorExclusion i wartością LambdaStandardScanning.

Amazon Inspector skanuje funkcje i warstwy początkowo po wdrożeniu i automatycznie skanuje je ponownie, gdy nastąpią zmiany w obciążeniach, na przykład po aktualizacji funkcji Lambda lub opublikowaniu nowej luki w zabezpieczeniach (CVE).

Oprócz funkcji, Amazon Inspector skanuje twoje warstwy Lambda; jednak skanuje tylko określoną wersję warstwy, która jest używana w funkcji. Jeśli warstwa lub wersja warstwy nie jest używana przez żadną funkcję, nie zostanie przeanalizowana. Jeśli używasz warstw innych firm, Amazon Inspector skanuje je również pod kątem luk w zabezpieczeniach.

Możesz zobaczyć wyniki dla różnych funkcji w konsoli Amazon Inspector Findings filtrowanej według funkcji Lambda. Kiedy Amazon Inspector coś znajdzie, wszystkie wyniki są kierowane do AWS Security Hub i Amazon EventBridge, dzięki czemu można budować automatyczne przepływy pracy, takie jak wysyłanie powiadomień do programistów lub administratorów systemu.

Dostępne już dziś

Obsługa Amazon Inspector dla funkcji i warstw AWS Lambda jest obecnie ogólnie dostępna we wschodnich stanach USA (Ohio, Wirginia Północna), zachodnich stanach USA (Północna Kalifornia, Oregon), regionie Azji i Pacyfiku (Hongkong, Bombaj, Seul, Singapur, Sydney, Tokio), Kanadzie (Centrum), Europie (Frankfurt, Irlandia, Londyn, Mediolan, Paryż, Sztokholm), Bliskim Wschodzie (Bahrajn) i Ameryce Południowej (Sao Paulo).

Jeśli chcesz wypróbować tę nową funkcję, autorzy mają dla Ciebie 15-dniowy bezpłatny okres próbny. Odwiedź stronę usługi, aby dowiedzieć się więcej o usłudze i bezpłatnej wersji próbnej.

źródło:AWS