Behebung von Risiken für Lambda-Funktionen

AWS Security Hub kann Ergebnisse zur Gefährdung von AWS Lambda (Lambda-) Funktionen generieren.

In der Security Hub Hub-Konsole sind die Lambda-Funktion, die an einer Risikofeststellung beteiligt war, und ihre identifizierenden Informationen im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der GetFindingsV2Security Hub CSPM-API abrufen.

Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.

Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.

Anmerkung

Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS

Inhalt

• Fehlkonfigurationsmerkmale für Lambda-Funktionen

  • Die Lambda-Funktion führt eine Laufzeit aus, die nicht unterstützt wird

  • Die Lambda-Funktion wird außerhalb einer Amazon VPC bereitgestellt

  • Die Lambda-Funktion kann eine IAM-Rolle übernehmen

  • Die mit der Lambda-Funktion verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie

  • Die der Lambda-Funktion zugeordnete IAM-Rolle hat eine Richtlinie mit administrativem Zugriff auf einen Dienst AWS

  • Die Lambda-Funktion ist über API Gateway ohne Autorisierung zugänglich

• Erreichbarkeitsmerkmale für Lambda-Funktionen

  • Die Lambda-Funktion kann öffentlich aufgerufen werden

• Schwachstellenmerkmale für Lambda-Funktionen

  • Die Lambda-Funktion weist Softwareschwachstellen auf, die über das Netzwerk ausgenutzt werden können

  • Die Lambda-Funktion weist Softwareschwachstellen auf

  • Die Lambda-Funktion enthält schädliche Softwarepakete

  • Die Lambda-Funktion weist Code-Schwachstellen auf

Fehlkonfigurationsmerkmale für Lambda-Funktionen

Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Lambda-Funktionen und empfohlene Schritte zur Behebung.

Die Lambda-Funktion führt eine Laufzeit aus, die nicht unterstützt wird

Lambda ermöglicht es Entwicklern, Code auszuführen, ohne Server bereitzustellen oder zu verwalten, und zwar über Laufzeiten, die Ihren Code in einer verwalteten Umgebung ausführen. Lambda wendet automatisch Patches und Sicherheitsupdates auf verwaltete Laufzeiten und die entsprechenden Container-Basis-Images an. Wenn eine Runtime-Version nicht mehr unterstützt wird, erhält sie keine Sicherheitsupdates, Bugfixes oder technischen Support mehr. Funktionen, die auf veralteten Laufzeiten ausgeführt werden, können Sicherheitslücken aufweisen und aufgrund von Problemen wie dem Ablauf von Zertifikaten irgendwann nicht mehr funktionieren. Darüber hinaus können Laufzeiten, die nicht unterstützt werden, anfällig für neu entdeckte Sicherheitslücken sein, für die keine Patches verfügbar sind. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, gepatchte, unterstützte Laufzeiten für Lambda-Funktionen zu verwenden.

Aktualisieren Sie die Laufzeit der Funktion

Öffnen Sie auf der Registerkarte Ressourcen der Exposure die Ressource mit dem Hyperlink. Dadurch wird das Lambda-Funktionsfenster geöffnet. Um Ihre Funktion auf eine unterstützte Laufzeit zu aktualisieren, konfigurieren Sie die Runtime-Management-Konfiguration. Sie können festlegen, dass Ihre Funktion automatisch auf die neueste Runtime-Version aktualisiert wird. Bevor Sie diese Option auswählen, sollten Sie jedoch prüfen, ob automatische Upgrades Auswirkungen auf Ihre laufenden Anwendungen haben könnten. Weitere Informationen finden Sie unter Grundlegendes zur Verwaltung von Laufzeitversionsupdates durch Lambda.

Die Lambda-Funktion wird außerhalb einer Amazon VPC bereitgestellt

Lambda-Funktionen werden standardmäßig mit Zugriff auf das öffentliche Internet bereitgestellt. Diese Standardkonfiguration gibt Lambda-Funktionen die Möglichkeit, AWS Service-Endpunkte und externe Endpunkte zu erreichen APIs, setzt sie aber auch potenziellen Sicherheitsrisiken aus. Funktionen mit Internetzugang könnten verwendet werden, um Daten zu exfiltrieren, mit nicht autorisierten Servern zu kommunizieren oder als Einstiegspunkte für externe Akteure zu dienen, wenn sie kompromittiert werden. Amazon VPC bietet Netzwerkisolierung, indem es Ihre Lambda-Funktionen so einschränkt, dass sie nur mit Ressourcen innerhalb Ihres definierten privaten Netzwerks kommunizieren. Gemäß den Standardsicherheitsprinzipien empfehlen wir die Bereitstellung von Lambda-Funktionen innerhalb einer VPC, um die Sicherheit durch Netzwerkisolierung zu verbessern.

Funktion an VPC anhängen

Öffnen Sie in der Expositionsanalyse die Ressource mit dem Hyperlink. Dadurch wird das Lambda-Funktionsfenster geöffnet. Um Ihre Lambda-Funktion zu sichern, indem Sie ihren Netzwerkzugriff einschränken, verbinden Sie sie mit einer VPC, die über die entsprechenden Netzwerksteuerungen verfügt. Bevor Sie Ihre Funktion an eine VPC anhängen, planen Sie den eventuell benötigten AWS Dienstzugriff ein, da Funktionen in privaten Subnetzen ohne NAT-Gateways oder VPC-Endpunkte den Service nicht erreichen können. AWS APIs Informationen zum Anhängen einer Lambda-Funktion an eine Amazon VPC in Ihrem Konto finden Sie unter Lambda-Funktionen an eine Amazon VPC anhängen in Ihrem. AWS-Konto Erwägen Sie die Verwendung von VPC-Endpunkten für die Dienstkonnektivität ohne Internetzugang, wenn Ihre Funktion den Zugriff auf AWS Dienste innerhalb eines privaten Subnetzes erfordert. Konfigurieren Sie ein NAT-Gateway, wenn Sie ausgehende Internetkonnektivität von privaten Subnetzen benötigen.

Die Lambda-Funktion kann eine IAM-Rolle übernehmen

Lambda-Funktionen verwenden IAM-Rollen, um mit AWS Diensten zu interagieren. Diese Rollen gewähren der Lambda-Funktion Berechtigungen für den Zugriff auf AWS Ressourcen während der Ausführung. Obwohl diese Rollen manchmal erforderlich sind, damit Lambda-Funktionen ihre Aufgaben erfüllen können, sollten diese Rollen dem Prinzip der geringsten Rechte folgen. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, zu überprüfen, ob die der Rolle zugewiesenen Berechtigungen für die beabsichtigte Funktionalität der Funktion angemessen sind.

1. Stellen Sie fest, ob die angehängte IAM-Rolle erforderlich ist

   Stellen Sie fest, ob für die Lambda-Funktion eine IAM-Ausführungsrolle konfiguriert werden muss. Für den Betrieb der meisten Lambda-Funktionen sind grundlegende Berechtigungen erforderlich, z. B. das Schreiben von Protokollen in CloudWatch. Überprüfen Sie die der Ausführungsrolle der Funktion zugewiesenen Berechtigungen und stellen Sie fest, ob die IAM-Rolle für die Funktion erforderlich ist. Informationen zu Lambda-Ausführungsrollen finden Sie unter Definieren von Lambda-Funktionsberechtigungen mit einer Ausführungsrolle im AWS Lambda Entwicklerhandbuch.

2. Implementieren des Zugriffs mit geringsten Berechtigungen

   Ersetzen Sie zu freizügige Richtlinien durch Richtlinien, die nur die spezifischen Berechtigungen gewähren, die für den Betrieb der Funktion erforderlich sind. Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie im Benutzerhandbuch unter Anwenden von Berechtigungen mit den geringsten Rechten.AWS Identity and Access Management Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ergebnisse für externen und ungenutzten Zugriff. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Lambda-Funktionen beeinträchtigt werden, die die vorhandene Rolle verwenden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu. Anweisungen zum Ersetzen einer IAM-Rolle für eine Funktion finden Sie unter Aktualisieren der Ausführungsrolle einer Funktion im AWS Lambda Entwicklerhandbuch.

Die mit der Lambda-Funktion verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie

Administrative Zugriffsrichtlinien bieten Lambda-Funktionen umfassende Berechtigungen für AWS Dienste und Ressourcen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Funktionalität nicht erforderlich sind. Die Bereitstellung einer IAM-Identität mit einer administrativen Zugriffsrichtlinie für eine Lambda-Funktion anstelle der Mindestberechtigungen, die die Ausführungsrolle benötigt, kann den Umfang eines Angriffs erhöhen, wenn die Funktion beeinträchtigt wird. Gemäß den Standardsicherheitsprinzipien wird AWS empfohlen, die geringsten Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.

1. Überprüfen und identifizieren Sie die Verwaltungsrichtlinien

   Identifizieren Sie in der Risikoprüfung den Rollennamen. Gehen Sie zum IAM-Dashboard und suchen Sie die Rolle mit dem zuvor identifizierten Rollennamen. Überprüfen Sie die der IAM-Rolle beigefügte Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach AdministratorAccess oderIAMFullAccess. Suchen Sie andernfalls im Strategiedokument nach Aussagen, die die Aussagen "Effect": "Allow", "Action": "*" "Resource": "*" zusammen enthalten.

2. Implementieren des Zugriffs mit geringsten Berechtigungen

   Ersetzen Sie Verwaltungsrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für den Betrieb der Funktion erforderlich sind. Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie im Benutzerhandbuch unter Anwenden von Berechtigungen mit den geringsten Rechten.AWS Identity and Access Management Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ergebnisse für externen und ungenutzten Zugriff. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Lambda-Funktionen, die die vorhandene Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle. Ordnen Sie dann die neue Rolle der Instanz zu. Informationen zum Ersetzen einer IAM-Rolle für eine Funktion finden Sie unter Aktualisieren der Ausführungsrolle einer Funktion im AWS Lambda Entwicklerhandbuch.

3. Überlegungen zur sicheren Konfiguration

   Wenn für die Instanz Administratorzugriffsberechtigungen erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:

   • Multi-Faktor-Authentifizierung (MFA) — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Multi-Faktor-Authentifizierung (MFA) erforderlich.

   • IAM-Bedingungen — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken.

   • Berechtigungsgrenzen — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren.AWS Identity and Access Management

Die der Lambda-Funktion zugeordnete IAM-Rolle hat eine Richtlinie mit administrativem Zugriff auf einen Dienst AWS

Mithilfe von Dienstadministratorrichtlinien können Lambda-Funktionen alle Aktionen innerhalb eines bestimmten AWS Dienstes ausführen. Diese Richtlinien gewähren in der Regel mehr Berechtigungen, als für den Betrieb einer Funktion erforderlich sind. Wenn eine Lambda-Funktion mit einer Service-Admin-Richtlinie kompromittiert wird, könnte ein Angreifer diese Berechtigungen verwenden, um potenziell auf sensible Daten oder Dienste in Ihrer AWS Umgebung zuzugreifen oder diese zu ändern. Gemäß den Standardsicherheitsprinzipien empfehlen wir, die geringsten Rechte zu gewähren, was bedeutet, dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.

1. Überprüfen und identifizieren Sie die Verwaltungsrichtlinien

   Identifizieren Sie im Expositionsbefund den Rollennamen im ARN. Gehen Sie zum IAM-Dashboard und suchen Sie nach dem Rollennamen. Überprüfen Sie die der Rolle zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach AdministratorAccess oderIAMFullAccess. Andernfalls suchen Sie im Richtliniendokument nach Aussagen, die die Aussagen "Effect": "Allow", "Action": "*" und enthalten"Resource": "*".

2. Implementieren des Zugriffs mit geringsten Berechtigungen

   Ersetzen Sie Verwaltungsrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für den Betrieb der Funktion erforderlich sind. Weitere Informationen finden Sie unter Anwenden von geringsten Berechtigungen im AWS Identity and Access Management -Benutzerhandbuch. Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ergebnisse für externen und ungenutzten Zugriff. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Lambda-Funktionen beeinträchtigt werden, die die vorhandene Rolle verwenden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu. Anweisungen zum Ersetzen einer IAM-Rolle für eine Funktion finden Sie unter Aktualisieren der Ausführungsrolle einer Funktion im AWS Lambda Entwicklerhandbuch.

3. Überlegungen zur sicheren Konfiguration

   Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:

   • Multi-Faktor-Authentifizierung (MFA) — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Multi-Faktor-Authentifizierung (MFA) erforderlich.

   • IAM-Bedingungen — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken.AWS Identity and Access Management

   • Berechtigungsgrenzen — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Berechtigungsgrenzen zur Delegierung der AWS Identity and Access Management Berechtigungsverwaltung.

Die Lambda-Funktion ist über API Gateway ohne Autorisierung zugänglich

API Gateway-Methoden ohne Autorisierung ermöglichen es jedem Anrufer mit Zugriff auf das API Gateway, die integrierte Lambda-Funktion ohne Identitätsprüfung aufzurufen. Diese Konfiguration birgt Sicherheitsrisiken, da Aufrufer die Lambda-Funktion ohne entsprechende Autorisierung aufrufen können, was möglicherweise zum Missbrauch von Funktionsfunktionen, zum Ressourcenverbrauch, zum Zugriff auf sensible Daten oder zu nicht autorisierten Vorgängen führen kann. API Gateway kann zwar über Zugriffskontrollen auf Netzwerkebene verfügen, das Fehlen einer Autorisierung auf Methodenebene könnte jedoch den freien Aufruf der Funktion durch jeden Anrufer mit Netzwerkzugriff auf das API Gateway ermöglichen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, geeignete Autorisierungsmechanismen für API-Gateway-Methoden zu implementieren, die in Lambda-Funktionen integriert sind.

API-Gateway-Authentifizierung konfigurieren

Klicken Sie auf der Registerkarte Ressourcen der Exposure auf den Hyperlink Ressource öffnen, um auf die API Gateway Gateway-Methode zuzugreifen. Überprüfen Sie die aktuelle Autorisierungskonfiguration und implementieren Sie die entsprechenden Authentifizierungsmechanismen. API Gateway unterstützt mehrere Authentifizierungsoptionen, darunter AWS IAM, Amazon Cognito Cognito-Benutzerpools, Lambda-Autorisierer und API-Schlüssel. Wählen Sie die Authentifizierungsmethode, die Ihren Sicherheitsanforderungen und Ihrem Anwendungsfall am besten entspricht. Ausführliche Anweisungen zur Konfiguration der Authentifizierung finden Sie unter Steuern und Verwalten des Zugriffs auf eine REST-API in API Gateway im API Gateway Developer Guide.

Erreichbarkeitsmerkmale für Lambda-Funktionen

Im Folgenden finden Sie Merkmale zur Erreichbarkeit von Lambda-Funktionen und empfohlene Schritte zur Problembehebung.

Die Lambda-Funktion kann öffentlich aufgerufen werden

Ressourcenbasierte Lambda-Richtlinien bestimmen, wer Ihre Funktionen aufrufen kann. Eine Funktion mit einer Ressourcenrichtlinie, die „*“ als Prinzipal (oder gar keinen Prinzipal) enthält, ermöglicht es allen authentifizierten AWS Benutzern, sie aufzurufen. Dies stellt ein erhebliches Risiko dar, insbesondere bei Funktionen, die vertrauliche Daten verarbeiten, Ressourcen ändern oder über erweiterte Berechtigungen verfügen. Unbefugte Benutzer könnten diese Konfiguration ausnutzen, um unerwünschte Operationen auszuführen, wodurch möglicherweise Daten offengelegt, Ressourcen manipuliert oder Funktionsfunktionen missbraucht werden. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Zugriff auf Lambda-Funktionen nur auf autorisierte Prinzipale zu beschränken.

Ändern Sie die ressourcenbasierte Richtlinie der Funktion

Öffnen Sie auf der Registerkarte Ressourcen der Exposition die Ressource mit dem Hyperlink. Dadurch wird das Lambda-Funktionsfenster geöffnet. Beschränken Sie den Zugriff auf Ihre Lambda-Funktion, indem Sie in der ressourcenbasierten Richtlinie nur autorisierte AWS Konten IDs oder bestimmte IAM-Prinzipale (Benutzer, Rollen oder Dienste) angeben. Sie können ressourcenbasierte Richtlinien nur programmgesteuert ändern.

Schwachstellenmerkmale für Lambda-Funktionen

Im Folgenden finden Sie Schwachstellenmerkmale für Lambda-Funktionen und empfohlene Schritte zur Behebung.

Die Lambda-Funktion weist Softwareschwachstellen auf, die über das Netzwerk ausgenutzt werden können

Softwarepakete, die im Lambda-Funktionscode verwendet werden, können Common Vulnerabilities and Exposures (CVEs) enthalten, bei denen die Wahrscheinlichkeit hoch ist, dass sie ausgenutzt werden. Kritische CVEs Sicherheitsrisiken stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Angreifer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Wir empfehlen, diese Sicherheitslücken zu patchen, um Ihre Funktion vor Angriffen zu schützen.

Aktualisieren Sie die betroffenen Funktionen

Suchen Sie im Abschnitt „Referenzen“ auf der Registerkarte „Sicherheitslücke“ nach dem Merkmal. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten. Aktualisieren Sie die anfälligen Bibliotheken gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. In der Regel hängt der Korrektur-Workflow davon ab, ob Sie das Lambda-Paket bereitgestellt haben, indem Sie eine ZIP-Datei hochgeladen oder eine Lambda-Funktion mit einem Container-Image erstellt haben. Nachdem Sie die Bibliotheken aktualisiert haben, aktualisieren Sie den Lambda-Funktionscode, um die feste Version zu verwenden. Stellen Sie anschließend die aktualisierte Version bereit.

Die Lambda-Funktion weist Softwareschwachstellen auf

Lambda-Funktionen verwenden häufig Bibliotheken und Abhängigkeiten von Drittanbietern, die Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als kritische Sicherheitslücken enthalten können. CVEs Auch wenn diese unkritischen Sicherheitslücken möglicherweise nicht sofort ausgenutzt werden können, stellen sie dennoch Sicherheitslücken dar, die mit anderen Sicherheitslücken verkettet werden können, um Ihre Funktion zu gefährden. Im Laufe der Zeit könnten auch neue Exploit-Techniken auftauchen, die das Risiko dieser Sicherheitslücken erhöhen. Gemäß den üblichen Sicherheitsprinzipien empfehlen wir, diese Sicherheitslücken zu patchen, um eine sichere Umgebung aufrechtzuerhalten.

Das Merkmal finden Sie im Abschnitt Referenzen auf der Registerkarte Sicherheitslücke. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten. Aktualisieren Sie die anfälligen Bibliotheken gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. In der Regel hängt der Korrektur-Workflow davon ab, ob Sie das Lambda-Paket bereitgestellt haben, indem Sie eine ZIP-Datei hochgeladen oder eine Lambda-Funktion mit einem Container-Image erstellt haben. Nachdem Sie die Bibliotheken aktualisiert haben, aktualisieren Sie den Lambda-Funktionscode, um die feste Version zu verwenden. Stellen Sie anschließend die aktualisierte Version bereit.

Die Lambda-Funktion enthält schädliche Softwarepakete

Bösartige Pakete sind Softwarekomponenten, die schädlichen Code enthalten, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Pakete stellen eine aktive und kritische Bedrohung für Ihre Lambda-Funktion dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, schädliche Pakete zu entfernen, um Ihre Lambda-Funktion vor potenziellen Angriffen zu schützen.

Entfernen Sie bösartige Pakete

Sehen Sie sich die Informationen zu den bösartigen Paketen im Abschnitt Referenzen auf der Registerkarte Sicherheitslücke des jeweiligen Merkmals an, um sich über die Bedrohung zu informieren. Entfernen Sie die identifizierten bösartigen Pakete aus Ihrem Funktionscode und Ihren Abhängigkeiten. Überprüfen Sie bei Funktionen, die Ebenen verwenden, ob die schädlichen Pakete in irgendwelchen Ebenen installiert sind, und entfernen Sie sie. Aktualisieren Sie Ihr Bereitstellungspaket oder Container-Image, um die schädlichen Pakete auszuschließen, und stellen Sie dann die aktualisierte Version bereit. Anweisungen finden Sie unter Bereitstellen von Lambda-Funktionen als ZIP-Dateiarchive für .zip-Dateiarchive oder Erstellen einer Lambda-Funktion mithilfe eines Container-Images für Container-Images.

Die Lambda-Funktion weist Code-Schwachstellen auf

Der Anwendungscode der Lambda-Funktion enthält Sicherheitslücken, die von Bedrohungsakteuren ausgenutzt werden könnten. Zu den Sicherheitslücken im Code gehören Datenlecks, Injektionsfehler, fehlende Verschlüsselung und schwache Kryptografie, die durch automatisierte Codeanalyse identifiziert werden. Diese Sicherheitslücken stellen Sicherheitsrisiken für Ihre AWS Umgebung dar, da Angreifer sie ausnutzen können, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Code-Schwachstellen stellen Sicherheitslücken dar, die mit anderen Angriffsvektoren verkettet werden können, um Ihre Funktion zu gefährden. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, diese Code-Schwachstellen zu beheben, um Ihre Funktion vor Angriffen zu schützen.

Aktualisieren Sie die betroffenen Funktionen

Sehen Sie sich den Abschnitt „Referenzen“ auf der Registerkarte „Sicherheitslücke“ des Merkmals an. Die Ergebnisse von Amazon Inspector können spezifische Anleitungen zur Problembehebung und Codefragmente enthalten, die die anfälligen Codestellen aufzeigen. Beheben Sie die identifizierten Sicherheitsprobleme in Ihrem Funktionscode mithilfe der bereitgestellten plug-and-play Codeblöcke oder durch die Implementierung sicherer Codierungsmethoden. Lesen Sie immer die Vorschläge zur Codebehebung, bevor Sie sie übernehmen, da Sie sie möglicherweise bearbeiten müssen, um sicherzustellen, dass Ihr Code wie beabsichtigt funktioniert. Nachdem Sie die Sicherheitslücken behoben haben, aktualisieren Sie den Lambda-Funktionscode, um die korrigierte Version zu verwenden. Anweisungen finden Sie unter Aktualisieren des Funktionscodes im AWS Lambda Entwicklerhandbuch. Stellen Sie anschließend die aktualisierte Version bereit. Anweisungen finden Sie unter Bereitstellen von Lambda-Funktionen als ZIP-Dateiarchive für .zip-Dateiarchive oder Erstellen einer Lambda-Funktion mithilfe eines Container-Images für Container-Images. Weitere Informationen zum Scannen von Amazon Inspector-Code finden Sie unter Amazon Inspector Lambda-Code-Scanning im Amazon Inspector Inspector-Benutzerhandbuch.