AWS Lambda Fungsi pemindaian dengan Amazon Inspector

Dukungan Amazon Inspector untuk AWS Lambda fungsi dan lapisan menyediakan penilaian kerentanan keamanan otomatis yang berkelanjutan. Amazon Inspector menawarkan dua jenis pemindaian fungsi Lambda:

Pemindaian standar Amazon Inspector Lambda

Jenis pemindaian ini adalah jenis pemindaian Lambda default. Ini memindai dependensi aplikasi dalam fungsi dan lapisan Lambda untuk kerentanan paket.

Pemindaian kode Amazon Inspector Lambda

Jenis pemindaian ini memindai kode aplikasi khusus di fungsi dan lapisan Lambda Anda untuk kerentanan kode. Anda dapat mengaktifkan pemindaian standar Lambda atau pemindaian standar Lambda dengan pemindaian kode Lambda.

Jika Anda ingin mengaktifkan pemindaian kode Lambda, Anda harus mengaktifkan pemindaian standar Lambda terlebih dahulu. Untuk informasi selengkapnya, lihat Mengaktifkan jenis pemindaian.

Saat Anda mengaktifkan pemindaian fungsi Lambda, Amazon Inspector membuat saluran terkait layanan berikut di akun Anda: dan. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector mengelola saluran ini dan menggunakannya untuk memantau CloudTrail peristiwa untuk pemindaian. Saluran memungkinkan Anda untuk melihat CloudTrail acara di akun Anda seolah-olah Anda memiliki jejak CloudTrail. Sebaiknya buat jejak Anda sendiri CloudTrail untuk mengelola acara di akun Anda. Untuk informasi tentang cara melihat saluran ini, lihat Melihat saluran terkait layanan di AWS CloudTrail Panduan Pengguna.

catatan

Amazon Inspector tidak mendukung pemindaian fungsi Lambda yang dienkripsi dengan kunci yang dikelola pelanggan. Ini berlaku untuk pemindaian standar Lambda dan pemindaian kode Lambda.

Memindai perilaku untuk pemindaian fungsi Lambda

Setelah aktivasi, Amazon Inspector memindai semua fungsi Lambda yang dipanggil atau diperbarui dalam 90 hari terakhir di akun Anda. Amazon Inspector memulai pemindaian kerentanan fungsi Lambda dalam situasi berikut:

• Segera setelah Amazon Inspector menemukan fungsi Lambda yang ada.

• Saat Anda menerapkan fungsi Lambda baru ke layanan Lambda.

• Saat Anda menerapkan pembaruan ke kode aplikasi atau dependensi fungsi Lambda yang ada atau lapisannya.

• Setiap kali Amazon Inspector menambahkan item common vulnerabilities and exposure (CVE) baru ke database-nya, dan CVE tersebut relevan dengan fungsi Anda.

Amazon Inspector memantau setiap fungsi Lambda sepanjang masa pakainya hingga dihapus atau dikecualikan dari pemindaian.

Anda dapat memeriksa kapan fungsi Lambda terakhir diperiksa untuk kerentanan dari tab fungsi Lambda di halaman Manajemen akun, atau dengan menggunakan API. ListCoverage Amazon Inspector memperbarui bidang Terakhir dipindai di untuk fungsi Lambda sebagai respons terhadap peristiwa berikut:

• Saat Amazon Inspector menyelesaikan pemindaian awal fungsi Lambda.

• Saat fungsi Lambda diperbarui.

• Saat Amazon Inspector memindai ulang fungsi Lambda karena item CVE baru yang memengaruhi fungsi tersebut ditambahkan ke database Amazon Inspector.

Runtime yang didukung dan fungsi yang memenuhi syarat

Amazon Inspector mendukung runtime yang berbeda untuk pemindaian standar Lambda dan pemindaian kode Lambda. Untuk daftar runtime yang didukung untuk setiap jenis pemindaian, lihat Runtime yang didukung: Pemindaian standar Amazon Inspector Lambda danRuntime yang didukung: Pemindaian kode Amazon Inspector Lambda.

Selain memiliki runtime yang didukung, fungsi Lambda harus memenuhi kriteria berikut agar memenuhi syarat untuk pemindaian Amazon Inspector:

• Fungsi telah dipanggil atau diperbarui dalam 90 hari terakhir.

• Fungsinya ditandai$LATEST.

• Fungsi ini tidak dikecualikan dari pemindaian oleh tag.

catatan

Fungsi Lambda yang belum dipanggil atau dimodifikasi dalam 90 hari terakhir secara otomatis dikecualikan dari pemindaian. Amazon Inspector akan melanjutkan pemindaian fungsi yang dikecualikan secara otomatis jika dipanggil lagi atau jika perubahan dilakukan pada kode fungsi Lambda.