Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Lambdacommandes
Ces contrôles sont liés aux ressources Lambda.
Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (21) 53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::Lambda::Function
Règle AWS Config : lambda-function-public-access-prohibited
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la politique basée sur les ressources de la fonction Lambda interdit l'accès public en dehors de votre compte. Le contrôle échoue si l'accès public est autorisé. Le contrôle échoue également si une fonction Lambda est invoquée depuis Amazon S3 et que la politique n'inclut aucune condition limitant l'accès public, telle que. AWS:SourceAccount Nous vous recommandons d'utiliser d'autres conditions S3 AWS:SourceAccount en plus de votre politique de compartiment pour un accès plus précis.
La fonction Lambda ne doit pas être accessible au public, car cela peut permettre un accès involontaire à votre code de fonction.
Correction
Pour résoudre ce problème, vous devez mettre à jour la politique basée sur les ressources de votre fonction afin de supprimer les autorisations ou d'ajouter la condition. AWS:SourceAccount Vous ne pouvez mettre à jour la politique basée sur les ressources qu'à partir de l'API Lambda ou. AWS CLI
Pour commencer, consultez la politique basée sur les ressources sur la console Lambda. Identifiez l'énoncé de politique dont les valeurs de Principal champ rendent la politique publique, telles que "*" ou{ "AWS": "*" }.
Vous ne pouvez pas modifier la politique depuis la console. Pour supprimer les autorisations associées à la fonction, exécutez la remove-permissioncommande depuisAWS CLI.
$ aws lambda remove-permission --function-name<function-name>--statement-id<statement-id>
Remplacez-le <function-name><statement-id>Sid) de l'instruction que vous souhaitez supprimer.
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Protéger - Développement sécurisé
Gravité : Moyenne
Type de ressource : AWS::Lambda::Function
Règle AWS Config : lambda-function-settings-check
Type de calendrier : changement déclenché
Paramètres :
-
runtime:dotnet6, go1.x, java17, java11, java8, java8.al2, nodejs18.x, nodejs16.x, nodejs14.x, python3.11, python3.10, python3.9, python3.8, python3.7, ruby3.2, ruby2.7
Ce contrôle vérifie que les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge pour chaque langue. Le contrôle vérifie les paramètres des fonctions pour les durées d'exécution indiquées précédemment sous paramètres. Le contrôle échoue si une fonction Lambda n'utilise pas un environnement d'exécution compatible.
La AWS Config règle ignore les fonctions dont le type de Image package est.
Les environnements d'exécution Lambda sont conçus autour d'une combinaison de systèmes d'exploitation, de langages de programmation et de bibliothèques de logiciels soumis à des mises à jour de maintenance et de sécurité. Lorsqu'un composant d'exécution n'est plus pris en charge pour les mises à jour de sécurité, Lambda le déconseille. Même si vous ne pouvez pas créer de fonctions utilisant l’environnement d'exécution obsolète, la fonction est toujours disponible pour traiter les événements d'invocation. Assurez-vous que vos fonctions Lambda sont à jour et qu'elles n'utilisent pas d'environnements out-of-date d'exécution.
Pour en savoir plus sur les environnements d'exécution pris en charge pour lesquels ce contrôle vérifie les langues prises en charge, consultez la section AWS LambdaRuntimes dans le Guide du AWS Lambdadéveloppeur.
Correction
Pour plus d'informations sur les environnements d'exécution et les programmes d'obsolescence pris en charge, consultez la section Politique de dépréciation des environnements d'exécution dans le Guide du développeur. AWS Lambda Lorsque vous migrez vos environnements d'exécution vers la dernière version, suivez la syntaxe et les conseils des éditeurs de la langue.
[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC
Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3) .800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Gravité : Faible
Type de ressource : AWS::Lambda::Function
Règle AWS Config : lambda-inside-vpc
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une fonction Lambda se trouve dans un VPC. Il se peut que vous constatiez des résultats erronés pour les ressources Lambda @Edge.
Il n'évalue pas la configuration de routage de sous-réseau VPC pour déterminer l'accessibilité publique.
Correction
Pour configurer une fonction existante afin de se connecter aux sous-réseaux privés de votre VPC, consultez la section Configuration de l'accès au VPC dans le guide du développeur. AWS Lambda Nous vous recommandons de choisir au moins deux sous-réseaux privés pour une haute disponibilité et au moins un groupe de sécurité répondant aux exigences de connectivité de la fonction.
[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité
Important
En novembre 2023, le titre de ce contrôle est devenu le titre indiqué ici. Pour en savoir plus, consultez Journal des modifications pour les contrôles du Security Hub.
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::Lambda::Function
Règle AWS Config : lambda-vpc-multi-az-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une fonction Lambda qui se connecte à un cloud privé virtuel (VPC) est associée à plusieurs zones de disponibilité (AZ). Le contrôle échoue si un seul AZ est associé à la fonction.
Le déploiement de ressources sur plusieurs zones de disponibilité est une AWS bonne pratique pour garantir une haute disponibilité au sein de votre architecture. La disponibilité est un pilier essentiel du modèle de sécurité tridimensionnel de confidentialité, d'intégrité et de disponibilité. Toutes les fonctions Lambda connectées à un VPC doivent faire l'objet d'un déploiement multi-AZ afin de garantir qu'une seule zone de défaillance n'entraîne pas une interruption totale des opérations.
Correction
Si vous configurez votre fonction pour qu'elle se connecte à un VPC dans votre compte, spécifiez des sous-réseaux dans plusieurs zones de disponibilité pour garantir une haute disponibilité. Pour obtenir des instructions, consultez la section Configuration de l'accès au VPC dans le guide du AWS Lambdadéveloppeur.
Lambda exécute automatiquement d'autres fonctions dans plusieurs zones de disponibilité afin de garantir sa disponibilité pour traiter les événements en cas d'interruption de service dans une seule zone.
