使用 Amazon Inspector 將 Lambda 的安全評估 - AWS Lambda

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Inspector 將 Lambda 的安全評估

Amazon Inspector 是一項漏洞管理服務,可持續掃描工作負載,以尋找已知的軟體漏洞和意外的網路暴露。Amazon Inspector 會建立調查結果以描述漏洞、識別受影響的資源、評定漏洞嚴重性並提供修補指引。

Amazon Inspector 支援為 Lambda 函數和層提供持續的自動化安全性漏洞評估。Amazon Inspector 為 Lambda 提供兩種掃描類型:

  • Lambda 標準掃描 (預設):掃描 Lambda 函數及其層內的應用程式相依性,以尋找套件漏洞

  • Lambda 程式碼掃描:掃描函數和層內的自訂應用程式程式碼,以尋找程式碼漏洞。您可以啟動 Lambda 標準掃描,或同時啟動 Lambda 標準掃描和 Lambda 程式碼掃描。

若要啟用 Amazon Inspector,請導覽至 Amazon Inspector 主控台,展開設定區段,然後選擇帳戶管理。在帳戶索引標籤上,選擇啟動,然後選取其中一個掃描選項。

您可以為多個帳戶啟用 Amazon Inspector,並在設定 Amazon Inspector 時為特定帳戶的組織委派管理 Amazon Inspector 的許可。啟用時,您需要透過建立以下角色來授予 Amazon Inspector 許可:AWSServiceRoleForAmazonInspector2。Amazon Inspector 主控台允許您使用一鍵式選項建立此角色。

對於 Lambda 標準掃描,Amazon Inspector 會在下列情況下啟動 Lambda 函數的漏洞掃描。

  • 一旦 Amazon Inspector 發現現有 Lambda 函數。

  • 當您部署新的 Lambda 函數時。

  • 當您對現有的 Lambda 函數或其層的應用程式程式碼或相依性部署更新時。

  • 每當 Amazon Inspector 新增一個常見漏洞和暴露 (CVE) 項目到其資料庫,而該 CVE 與您的函數相關時。

對於 Lambda 程式碼掃描,Amazon Inspector 會使用自動推理和機器學習來評估您的 Lambda 函數應用程式程式碼,以分析您的應用程式程式碼是否符合整體安全規範。若 Amazon Inspector 在您的 Lambda 函數應用程式程式碼中偵測到漏洞,Amazon Inspector 會產生一份詳細的程式碼漏洞調查結果。如需可能偵測的清單,請參閱 Amazon 偵測 CodeGuru 器程式庫

若要檢視調查結果,請前往 Amazon Inspector 主控台。在調查結果選單上,選擇依 Lambda 函數以顯示對 Lambda 函數執行的安全性掃描結果。

若要從標準掃描中排除 Lambda 函數,請使用以下鍵值對標記函數:

  • Key:InspectorExclusion

  • Value:LambdaStandardScanning

若要從程式碼掃描中排除 Lambda 函數,請使用以下鍵值對標記函數:

  • Key:InspectorCodeExclusion

  • Value:LambdaCodeScanning

例如,如下圖所示,Amazon Inspector 會自動偵測漏洞並將發現的漏洞分類為程式碼漏洞類型,這表示這些漏洞存在於函數的程式碼中,而不是在其中一個程式碼相依程式庫中。您可以一次檢查一個特定函數或多個函數的這些詳細資訊。

Amazon Inspector finds vulnerabilities in Lambda code.

您可以深入研究每項結果,並了解如何修補問題。

Amazon Inspector console displays code vulnerability details.

在使用您的 Lambda 函數時,確認您遵守 Lambda 函數的命名慣例。如需詳細資訊,請參閱 使用 Lambda 環境變數來設定程式碼中的值

您要負責執行自己接受的修補建議。在接受前,請務必檢閱修補建議。您可能需要編輯修補建議,以確保您的程式碼符合您的預期。