Automatizar as avaliações de segurança para o Lambda com o Amazon Inspector
O Amazon Inspector
O suporte do Amazon Inspector fornece avaliações de vulnerabilidade de segurança contínuas e automatizadas para funções do Lambda e camadas. O Amazon Inspector fornece dois tipos de verificação para o Lambda:
-
Verificação padrão do Lambda: verifica as dependências das aplicações dentro de uma função do Lambda e suas camadas em busca de vulnerabilidades de pacotes.
-
Verificação de código do Lambda: verifica o código da aplicação personalizada nas funções e camadas em busca de vulnerabilidades de código. Ative o escaneamento padrão do Lambda ou ative o escaneamento padrão do Lambda junto com o escaneamento de código do Lambda.
Para habilitar o Amazon Inspector, navegue até o console do Amazon Inspector
Você pode habilitar o Amazon Inspector para várias contas e delegar permissões para gerenciar o Amazon Inspector para a organização em contas específicas enquanto configura o Amazon Inspector. Durante a habilitação, você precisa conceder permissões ao Amazon Inspector ao criar a função: AWSServiceRoleForAmazonInspector2
. O console do Amazon Inspector permite que você crie essa função usando uma opção de um clique.
Para a verificação padrão do Lambda, o Amazon Inspector inicia verificações de vulnerabilidade das funções do Lambda nas seguintes situações:
-
Assim que o Amazon Inspector descobre uma função do Lambda existente.
-
Quando você implanta uma nova função do Lambda.
-
Ao implantar uma atualização no código do aplicativo ou nas dependências de uma função do Lambda existente ou de suas camadas.
-
Sempre que o Amazon Inspector adiciona um novo item de CVEs (vulnerabilidades e exposições comuns) ao seu banco de dados, e esse CVE é relevante para sua função.
Para a verificação do código do Lambda, o Amazon Inspector avalia o código da aplicação da função do Lambda usando raciocínio automatizado e machine learning que analisam o código da aplicação para verificar a conformidade geral com a segurança. Se o Amazon Inspector detectar uma vulnerabilidade no código da aplicação da função do Lambda, o Amazon Inspector produzirá uma descoberta detalhada de Vulnerabilidade de código. Para obter uma lista de detecções possíveis, consulte a Amazon CodeGuru Detector Library.
Para visualizar as descobertas, acesse o console do Amazon Inspector
Para excluir uma função do Lambda da verificação padrão, marque a função com o seguinte par de chave/valor:
-
Key:InspectorExclusion
-
Value:LambdaStandardScanning
Para excluir uma função do Lambda das verificações de código, marque a função com o seguinte par de chave/valor:
-
Key:InspectorCodeExclusion
-
Value:
LambdaCodeScanning
Por exemplo, conforme mostrado na imagem a seguir, o Amazon Inspector detecta automaticamente vulnerabilidades e categoriza as descobertas do tipo Vulnerabilidade de código, o que indica que a vulnerabilidade está no código da função e não em uma das bibliotecas dependentes do código. Você pode verificar esses detalhes para uma função específica ou várias funções ao mesmo tempo.
Você pode se aprofundar em cada uma dessas descobertas e saber como corrigir o problema.
Ao trabalhar com suas funções do Lambda, certifique-se de cumprir as convenções de nomenclatura para as funções do Lambda. Para ter mais informações, consulte Criação de variáveis de ambiente do Lambda.
Você é responsável pelas sugestões de remediação que aceita. Sempre analise as sugestões de remediação antes de aceitá-las. Talvez seja necessário fazer edições nas sugestões de correção para garantir que o código faça o que você pretende.