亚马逊AWS官方博客

Amazon Inspector 现可对 AWS Lambda 函数进行漏洞扫描



Amazon Inspector 是一项漏洞管理服务,它会持续扫描 Amazon Elastic Compute Cloud(Amazon EC2)实例、Amazon Elastic Container Registry(Amazon ECR)中的容器镜像,以及(从今天开始)AWS Lambda 函数和 Lambda 层中的工作负载。

在此之前,如果客户需要分析其混合工作负载(包括 EC2 实例、容器镜像和 Lambda 函数)的常见漏洞,则需要使用 AWS 和第三方工具。这导致维护所有工作负载安全性的工作变得更加。

此外,正如几个月前的 log4j 漏洞所证明,仅在部署之前扫描函数是否存在漏洞是不够的。由于新漏洞可能随时出现,因此需要在新漏洞补丁发布的同时,对工作负载进行持续监控和近乎实时的重新扫描,这对于确保应用程序安全性至关重要。

入门
要开始使用 Amazon Inspector,首先要为您的账户或整个 AWS Organizations 启用此服务。激活后,Amazon Inspector 会自动扫描所选账户中的函数。Amazon Inspector 是一项原生 AWS 服务;这意味着您无需在函数或层中安装库或代理即可正常工作。

从今天开始,Amazon Inspector 可用于使用 Java、NodeJS 和 Python 编写的函数和层。默认情况下,它会持续扫描您账户内的所有函数,但是,如果您想排除特定的 Lambda 函数,则可以附加键为 InspectorExclusion 和值为 LambdaStandardScanning 的标签。

Amazon Inspector 最初会在部署时扫描函数和层,并在工作负载发生更改时自动重新扫描,例如,在 Lambda 函数更新或新漏洞补丁(CVE)发布时。

Amazon Inspector 调查结果概览

除函数外,Amazon Inspector 还会扫描您的 Lambda 层;不过,它仅会扫描某个函数中使用的特定层版本。如果某个层或层版本未被任何函数使用,则不会分析该层或层版本。如果您使用的是第三方层,Amazon Inspector 还会扫描它们是否存在漏洞。

您可以在 Amazon Inspector 调查结果控制台中按 Lambda 函数筛选,从而查看不同函数的调查结果。当 Amazon Inspector 发现问题时,所有调查结果都会传送到 AWS Security HubAmazon EventBridge,以便您构建自动化工作流,例如向开发人员或系统管理员发送通知。

按函数筛选调查结果

现已推出
Amazon Inspector 对 AWS Lambda 函数和层的支持现已在以下区域全面开放:美国东部(俄亥俄州)、美国东部(弗吉尼亚州北部)、美国西部(北加利福尼亚)、美国西部(俄勒冈州)、亚太地区(香港)、亚太地区(孟买)、亚太地区(首尔)、亚太地区(新加坡)、亚太地区(悉尼)、亚太地区(东京)、加拿大(中部)、欧洲地区(法兰克福)、欧洲地区(爱尔兰)、欧洲地区(伦敦)、欧洲地区(米兰)、欧洲地区(巴黎)、欧洲地区(斯德哥尔摩)、中东(巴林)和南美洲(圣保罗)。

如果您想试用此新功能,可以享受 15 天免费试用。要了解有关此服务和免费试用的更多信息,请 访问服务页面

Marcia