Amazon Inspector를 사용하여 Lambda에 대한 보안 평가 자동화 - AWS Lambda

Amazon Inspector를 사용하여 Lambda에 대한 보안 평가 자동화

Amazon Inspector는 알려진 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는 워크로드를 지속적으로 스캔하는 취약성 관리 서비스입니다. Amazon Inspector는 취약성을 설명하고, 영향을 받는 리소스를 식별하며, 취약성의 심각도를 평가하고, 해결 지침을 제공하는 조사 결과를 생성합니다.

Amazon Inspector 지원은 Lambda 함수 및 계층에 대한 지속적이고 자동화된 보안 취약성 평가를 제공합니다. Amazon Inspector는 Lambda에 대해 두 가지 유형의 스캔을 제공합니다.

  • Lambda 표준 스캔(기본값): Lambda 함수 및 해당 계층 내의 애플리케이션 종속 항목을 스캔하여 패키지 취약성을 찾습니다.

  • Lambda 코드 스캔: 함수 및 계층에서 사용자 지정 애플리케이션 코드를 스캔하여 코드 취약성을 찾습니다. Lambda 표준 스캔을 활성화하거나, Lambda 코드 스캔과 함께 Lambda 표준 스캔을 활성화할 수 있습니다.

Amazon Inspector를 활성화하려면 Amazon Inspector 콘솔로 이동하고 설정 섹션을 확장한 다음, 계정 관리를 선택합니다. 계정 탭에서 활성화를 선택한 다음, 스캔 옵션 중 하나를 선택합니다.

Amazon Inspector를 설정하는 동안 여러 계정에 대해 Amazon Inspector를 활성화하고 조직의 Amazon Inspector를 관리할 권한을 특정 계정에 위임할 수 있습니다. 활성화하는 동안 역할(AWSServiceRoleForAmazonInspector2)을 생성하여 Amazon Inspector에 권한을 부여해야 합니다. Amazon Inspector 콘솔에서는 원클릭 옵션을 사용하여 이 역할을 생성할 수 있습니다.

Lambda 표준 스캔의 경우 Amazon Inspector는 다음과 같은 경우에 Lambda 함수의 취약성 스캔을 시작합니다.

  • Amazon Inspector에서 기존 Lambda 함수를 발견하는 즉시

  • 새 Lambda 함수를 배포하는 경우

  • 기존 Lambda 함수 또는 해당 계층의 애플리케이션 코드 또는 종속성에 대한 업데이트를 배포하는 경우

  • Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 함수와 관련이 있는 경우

Lambda 코드 스캔의 경우 Amazon Inspector는 애플리케이션 코드의 전반적인 보안 규정 준수를 분석하는 자동 추론 및 기계 학습을 사용하여 Lambda 함수 애플리케이션 코드를 평가합니다. Amazon Inspector에서 Lambda 함수 애플리케이션 코드의 취약성을 탐지한 경우 Amazon Inspector는 상세한 코드 취약성 결과를 생성합니다. 가능한 탐지 목록은 Amazon CodeGuru Detector Library를 참조하세요.

결과를 보려면 Amazon Inspector 콘솔로 이동합니다. 결과 메뉴에서 Lambda 함수 기준을 선택하여 Lambda 함수에서 수행한 보안 스캔 결과를 표시합니다.

Lambda 함수를 표준 스캔에서 제외하려면 다음 키 값 페어를 사용하여 함수에 태그를 지정합니다.

  • Key:InspectorExclusion

  • Value:LambdaStandardScanning

Lambda 함수를 코드 스캔에서 제외하려면 다음 키 값 페어를 사용하여 함수에 태그를 지정합니다.

  • Key:InspectorCodeExclusion

  • Value:LambdaCodeScanning

예를 들어, 다음 이미지에 표시된 대로, Amazon Inspector는 자동으로 취약성을 감지하고 결과를 코드 취약성 유형으로 분류합니다. 코드 종속 라이브러리가 아니라 함수의 코드에 취약성이 있음을 나타냅니다. 특정 함수 또는 여러 함수에 대한 이러한 세부 정보를 한 번에 확인할 수 있습니다.

Amazon Inspector finds vulnerabilities in Lambda code.

이러한 각 결과를 자세히 살펴보고 문제를 해결하는 방법을 알아볼 수 있습니다.

Amazon Inspector console displays code vulnerability details.

Lambda 함수를 작업할 때는 Lambda 함수의 이름 지정 규칙을 준수해야 합니다. 자세한 내용은 Lambda 환경 변수 생성 단원을 참조하십시오.

제안된 해결 방법을 수락할 경우 이에 따른 책임은 귀하에게 있습니다. 그러므로 제안된 해결 방법을 수락하기 전에 항상 검토하세요. 코드가 의도한 대로 작동하도록 제안된 해결 방법을 수정해야 할 수도 있습니다.