Amazon Web Services 한국 블로그

Amazon Inspector – AWS Lambda 함수의 취약성 스캔

Amazon InspectorAmazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 워크로드, Amazon Elastic Container Registry(Amazon ECR)에 있는 컨테이너 이미지, 그리고 오늘부터 AWS Lambda 함수 및 Lambda 계층을 지속적으로 스캔하는 취약성 관리 서비스입니다.

지금까지는 혼합 워크로드(EC2 인스턴스, 컨테이너 이미지 및 Lambda 함수 포함)의 일반적인 취약성을 분석하고자 했던 고객은 AWS와 타사 도구를 사용해야 했습니다. 이로 인해 모든 워크로드를 안전하게 유지하는 것이 더 복잡해졌습니다.

또한 몇 달 전에 발견된 log4j 취약성은 배포 전에 함수의 취약성을 스캔하는 것만으로는 충분하지 않다는 좋은 예를 보여주었습니다. 새로운 취약성은 언제든지 등장할 수 있으므로 워크로드를 지속적으로 모니터링하고 새로운 취약성이 게시될 때마다 거의 실시간으로 재스캔하는 것이 애플리케이션 보안에 매우 중요합니다.

시작하기
Amazon Inspector를 시작하기 위한 첫 번째 단계는 계정 또는 전체 AWS Organizations에 대해 Amazon Inspector를 활성화하는 것입니다. 활성화된 Amazon Inspector는 선택한 계정의 함수를 자동으로 스캔합니다. Amazon Inspector는 네이티브 AWS 서비스입니다. 즉, 함수 또는 계층에 라이브러리나 에이전트를 설치하지 않아도 이 서비스를 사용할 수 있습니다.

Amazon Inspector는 오늘부터 Java, NodeJS 및 Python으로 작성된 함수 및 계층에 사용할 수 있습니다. 기본적으로 계정 내의 모든 함수를 계속 스캔하지만 특정 Lambda 함수를 제외하려는 경우 InspectorExclusion 키와 LambdaStandardScanning 값을 가진 태그를 연결할 수 있습니다.

Amazon Inspector는 처음에 배포 시 함수와 계층을 스캔하고, Lambda 함수가 업데이트되거나 새로운 취약성(CVE)이 게시되는 등 워크로드에 변화가 있을 때 자동으로 다시 스캔합니다.

Amazon Inspector 스캔 결과 요약

Amazon Inspector는 함수뿐 아니라 Lambda 계층도 스캔하지만 이 경우 함수에 사용되는 특정 계층 버전만 스캔합니다. 어떤 함수에서도 해당 레이어 또는 레이어 버전을 사용하지 않는 경우에는 분석이 수행되지 않습니다. 타사 계층을 사용하는 경우 Amazon Inspector는 해당 계층도 스캔하여 취약성을 검사합니다.

Amazon Inspector 스캔 결과(Findings) 콘솔에서 다양한 함수에 대해 Lambda 함수별로 필터링된 스캔 결과를 확인할 수 있습니다. Amazon Inspector에서 찾은 모든 스캔 결과는 AWS Security HubAmazon EventBridge로 라우팅되므로 개발자나 시스템 관리자에게 알림을 전송하는 같은 자동화 워크플로를 구축할 수 있습니다.

기능별 스캔 결과

지금 이용 가능
AWS Lambda 함수 및 계층에 대한 Amazon Inspector 지원은 오늘부터 미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(캘리포니아 북부), 미국 서부(오레곤), 아시아 태평양(홍콩), 아시아 태평양(뭄바이), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), 캐나다(중부), 유럽(프랑크푸르트), 유럽(아일랜드), 유럽(런던), 유럽(밀라노), 유럽(파리), 유럽(스톡홀름), 중동(바레인) 및 남아메리카(상파울루)에서 정식 버전으로 사용할 수 있습니다.

이 새로운 기능을 사용해보고 싶다면 15일 무료 평가판을 이용하세요. 서비스 페이지를 방문하여 서비스 및 무료 평가판에 대한 자세한 내용을 읽어보세요.

— Marcia