Mettre en œuvre l'observabilité pour la sécurité et la conformité Lambda - AWS Lambda
Visibilité de configurationVisibilité de conformitéFrontièresRésoudre les conclusions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre en œuvre l'observabilité pour la sécurité et la conformité Lambda

AWS Config est un outil utile pour rechercher et corriger les ressources AWS sans serveur non conformes. Chaque modification que vous apportez à vos ressources sans serveur est enregistrée dans AWS Config. Vous AWS Config permet également de stocker des données de capture instantanée de configuration sur S3. Vous pouvez utiliser Amazon Athena et Amazon QuickSight pour créer des tableaux de bord et consulter les données. AWS Config Dans Détectez les déploiements et les configurations Lambda non conformes avec AWS Config, nous avons discuté de la manière dont nous pouvons visualiser une certaine configuration, comme les couches Lambda. Cette rubrique développe ces concepts.

Visibilité sur les configurations Lambda

Vous pouvez utiliser des requêtes pour extraire des configurations importantes telles que l' Compte AWS ID, la région, la configuration de AWS X-Ray suivi, la configuration VPC, la taille de la mémoire, le temps d'exécution et les balises. Voici un exemple de requête que vous pouvez utiliser pour extraire ces informations d'Athena :

WITH unnested AS (
    SELECT
      item.awsaccountid AS account_id,
      item.awsregion AS region,
      item.configuration AS lambda_configuration,
      item.resourceid AS resourceid,
      item.resourcename AS resourcename,
      item.configuration AS configuration,
      json_parse(item.configuration) AS lambda_json
    FROM
      default.aws_config_configuration_snapshot,
      UNNEST(configurationitems) as t(item)
    WHERE
      "dt" = 'latest'
      AND item.resourcetype = 'AWS::Lambda::Function'
  )
  
  SELECT DISTINCT
    account_id,
    tags,
    region as Region,
    resourcename as FunctionName,
    json_extract_scalar(lambda_json, '$.memorySize') AS memory_size,
    json_extract_scalar(lambda_json, '$.timeout') AS timeout,
    json_extract_scalar(lambda_json, '$.runtime') AS version
    json_extract_scalar(lambda_json, '$.vpcConfig.SubnetIds') AS vpcConfig
    json_extract_scalar(lambda_json, '$.tracingConfig.mode') AS tracingConfig
  FROM
    unnested

Vous pouvez utiliser la requête pour créer un QuickSight tableau de bord Amazon et visualiser les données. Pour agréger les données de configuration des AWS ressources, créer des tables dans Athena et créer des QuickSight tableaux de bord Amazon à partir des données d'Athena, consultez Visualiser les données à l'aide d' AWS Config Athena et d'Amazon QuickSight sur le blog Cloud Operations and Management. AWS Notamment, cette requête récupère également les informations de balise pour les fonctions. Cela permet de mieux comprendre vos charges de travail et vos environnements, en particulier si vous utilisez des balises personnalisées.

Query results in Amazon QuickSight dashboard

Pour plus d'informations sur les actions que vous pouvez entreprendre, consultez la section Prise en compte des constatations relatives à l'observabilité plus loin dans cette rubrique.

Visibilité sur la conformité à Lambda

Avec les données générées par AWS Config, vous pouvez créer des tableaux de bord au niveau de l'organisation pour surveiller la conformité. Cela permet un suivi et une surveillance cohérents de :

  • Packs de conformité par score de conformité

  • Règles en fonction des ressources non conformes

  • Statut de conformité

AWS Config console dashboard

Vérifiez chaque règle pour identifier les ressources non conformes à cette règle. Par exemple, si votre organisation impose que toutes les fonctions Lambda soient associées à un VPC et si vous avez déployé une AWS Config règle pour identifier la conformité, vous pouvez sélectionner la lambda-inside-vpc règle dans la liste ci-dessus.

View non-compliant resources in AWS Config console

Pour plus d'informations sur les actions que vous pouvez entreprendre, consultez la section Prise en compte des constatations relatives à l'observabilité ci-dessous.

Visibilité des limites des fonctions Lambda à l'aide de Security Hub

Diagram of example AWS Security Hub inputs for Lambda, such as resource policy, runtime, and code

Pour garantir que les AWS services tels que Lambda sont utilisés en toute sécurité, nous avons AWS introduit les meilleures pratiques de sécurité fondamentales v1.0.0. Cet ensemble de bonnes pratiques fournit des directives claires pour sécuriser les ressources et les données dans l' AWS environnement, en soulignant l'importance de maintenir une posture de sécurité solide. Il AWS Security Hub complète cela en proposant un centre de sécurité et de conformité unifié. Il regroupe, organise et hiérarchise les résultats de sécurité provenant de plusieurs AWS services tels qu'Amazon Inspector AWS Identity and Access Management Access Analyzer et Amazon. GuardDuty

Si Security Hub, Amazon Inspector, IAM Access Analyzer sont GuardDuty activés au sein de votre AWS organisation, Security Hub agrège automatiquement les résultats de ces services. Prenons par exemple Amazon Inspector. Security Hub vous permet d'identifier efficacement les vulnérabilités du code et des packages dans les fonctions Lambda. Dans la console Security Hub, accédez à la section inférieure intitulée Dernières découvertes en matière d' AWS intégrations. Ici, vous pouvez consulter et analyser les résultats provenant de divers AWS services intégrés.

Security Hub console "Latest findings from AWS integrations" section

Pour voir les détails, cliquez sur le lien Voir les résultats dans la deuxième colonne. Cela affiche une liste des résultats filtrés par produit, comme Amazon Inspector. Pour limiter votre recherche aux fonctions Lambda, définissez ResourceType sur AwsLambdaFunction. Cela affiche les résultats d'Amazon Inspector relatifs aux fonctions Lambda.

Filter for Amazon Inspector results related to Lambda functions

En GuardDuty effet, vous pouvez identifier les modèles de trafic réseau suspects. De telles anomalies peuvent suggérer l'existence d'un code potentiellement malveillant dans votre fonction Lambda.

Avec IAM Access Analyzer, vous pouvez vérifier les politiques, en particulier celles comportant des instructions de condition qui accordent l'accès aux fonctions à des entités externes. De plus, IAM Access Analyzer évalue les autorisations définies lors de l'utilisation de l'AddPermissionopération dans l'API Lambda avec un. EventSourceToken

Prise en compte des constatations relatives à l'observabilité

Compte tenu du large éventail de configurations possibles pour les fonctions Lambda et de leurs exigences distinctes, une solution d'automatisation standardisée pour la correction peut ne pas convenir à toutes les situations. De plus, les modifications sont mises en œuvre différemment selon les environnements. Si vous rencontrez une configuration qui ne semble pas conforme, tenez compte des directives suivantes :

  1. Stratégie de balisage

    Nous vous recommandons de mettre en œuvre une stratégie de balisage complète. Chaque fonction Lambda doit être étiquetée avec des informations clés telles que :

    • Propriétaire : personne ou équipe responsable de la fonction.

    • Environnement : production, mise en scène, développement ou bac à sable.

    • Application : le contexte plus large auquel appartient cette fonction, le cas échéant.

  2. Sensibilisation des propriétaires

    Au lieu d'automatiser les modifications majeures (comme l'ajustement de la configuration du VPC), contactez de manière proactive les propriétaires des fonctions non conformes (identifiées par le tag du propriétaire) en leur laissant suffisamment de temps pour :

    • Ajuster les configurations non conformes sur les fonctions Lambda.

    • Fournir une explication et demander une exception, ou affiner les normes de conformité.

  3. Gestion d'une base de gestion des configurations (CMDB)

    Bien que les balises puissent fournir un contexte immédiat, le maintien d'une CMDB centralisée peut fournir des informations plus approfondies. Il peut contenir des informations plus détaillées sur chaque fonction Lambda, ses dépendances et d'autres métadonnées critiques. Une CMDB est une ressource inestimable pour les audits, les contrôles de conformité et l'identification des responsables des fonctions.

Le paysage de l'infrastructure sans serveur étant en constante évolution, il est essentiel d'adopter une position proactive en matière de surveillance. Grâce à des outils tels que AWS Config Security Hub et Amazon Inspector, les anomalies potentielles ou les configurations non conformes peuvent être rapidement identifiées. Cependant, les outils ne peuvent à eux seuls garantir une conformité totale ou des configurations optimales. Il est essentiel d'associer ces outils à des processus bien documentés et aux meilleures pratiques.

  • Boucle de rétroaction : une fois les étapes de correction entreprises, assurez-vous qu'il existe une boucle de rétroaction. Cela implique de revoir régulièrement les ressources non conformes pour vérifier si elles ont été mises à jour ou si elles présentent toujours les mêmes problèmes.

  • Documentation : documentez toujours les observations, les mesures prises et les exceptions accordées. Une documentation appropriée aide non seulement lors des audits, mais contribue également à améliorer le processus afin d'améliorer la conformité et la sécurité à l'avenir.

  • Formation et sensibilisation : assurez-vous que toutes les parties prenantes, en particulier les responsables des fonctions Lambda, sont régulièrement formées et informées des meilleures pratiques, des politiques organisationnelles et des mandats de conformité. Des ateliers, des webinaires ou des sessions de formation réguliers peuvent contribuer dans une large mesure à garantir que tout le monde est sur la même longueur d'onde en matière de sécurité et de conformité.

En conclusion, alors que les outils et les technologies fournissent des capacités robustes pour détecter et signaler les problèmes potentiels, l'élément humain (compréhension, communication, formation et documentation) reste essentiel. Ensemble, ils forment une puissante combinaison qui garantit que vos fonctions Lambda et votre infrastructure globale restent conformes, sécurisées et optimisées pour répondre aux besoins de votre entreprise.