Amazon AWS Lambda Inspector를 사용한 스캔 기능 - Amazon Inspector
Lambda 함수 스캔의 스캔 동작지원되는 런타임 및 함수Lambda 표준 스캔Lambda 코드 스캔

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon AWS Lambda Inspector를 사용한 스캔 기능

Amazon Inspector 함수 지원은 Lambda AWS Lambda 함수 및 계층에 대한 지속적이고 자동화된 보안 취약성 평가를 제공합니다. Amazon Inspector는 Lambda에 대해 두 가지 유형의 스캔을 제공합니다. 이러한 스캔 유형은 서로 다른 유형의 취약성을 찾아냅니다.

Amazon Inspector Lambda 표준 스캔

기본 Lambda 스캔 유형입니다. Lambda 표준 스캔은 Lambda 함수 및 해당 계층 내의 애플리케이션 종속성을 스캔하여 패키지 취약성을 찾아냅니다. 자세한 정보는 Lambda 표준 스캔을 참조하세요.

Amazon Inspector Lambda 코드 스캔

이 스캔 유형은 함수 및 계층의 사용자 지정 애플리케이션 코드를 스캔하여 코드 취약성을 찾아냅니다. Lambda 표준 스캔을 활성화하거나, Lambda 코드 스캔과 함께 Lambda 표준 스캔을 활성화할 수 있습니다. 자세한 정보는 Amazon Inspector Lambda 코드 스캔을 참조하세요.

Lambda 스캔을 활성화하면 Amazon Inspector는 계정에 AWS CloudTrail 다음과 같은 서비스 연결 채널을 생성합니다.

  • cloudtrail:CreateServiceLinkedChannel

  • cloudtrail:DeleteServiceLinkedChannel

Amazon Inspector는 이러한 채널을 관리하고 이를 사용하여 스캔을 위한 CloudTrail 이벤트를 모니터링합니다. 서비스 연결 채널에 대한 자세한 내용은 CLI를 CloudTrail 사용한 서비스 연결 채널 보기를 참조하십시오. AWS

참고

Amazon Inspector에서 만든 서비스 연결 채널을 사용하면 계정의 이벤트를 CloudTrail 추적한 것처럼 CloudTrail 볼 수 있지만 계정의 이벤트를 관리하려면 CloudTrail 직접 만드는 것이 좋습니다.

Lambda 함수 스캔 활성화에 대한 지침은 스캔 유형 활성화 섹션을 참조하세요.

Lambda 함수 스캔의 스캔 동작

Amazon Inspector는 활성화되면 계정에서 지난 90일 동안 호출되거나 업데이트된 모든 Lambda 함수를 스캔합니다. Amazon Inspector는 다음과 같은 경우에 Lambda 함수의 취약성 스캔을 시작합니다.

  • Amazon Inspector에서 기존 Lambda 함수를 발견하는 즉시

  • Lambda 서비스에 새 Lambda 함수를 배포하는 경우

  • 기존 Lambda 함수 또는 해당 계층의 애플리케이션 코드 또는 종속성에 대한 업데이트를 배포하는 경우

  • Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 함수와 관련이 있는 경우

Amazon Inspector는 Lambda 함수가 삭제되거나 검사에서 제외될 때까지 전체 기간 동안 각 Lambda 함수를 모니터링합니다.

Lambda 함수의 취약성을 마지막으로 확인한 시기는 계정 관리 페이지의 Lambda 함수 탭에서 또는 ListCoverage API를 사용하여 확인할 수 있습니다. Amazon Inspector는 다음 이벤트에 대한 응답으로 Lambda 함수의 마지막 스캔 시간 필드를 업데이트합니다.

  • Amazon Inspector에서 Lambda 함수의 첫 번째 스캔을 완료한 경우

  • Lambda 함수가 업데이트된 경우

  • 함수에 영향을 미치는 새 CVE 항목이 Amazon Inspector 데이터베이스에 추가되어 Amazon Inspector에서 Lambda 함수를 다시 스캔하는 경우

지원되는 런타임 및 적합한 함수

Amazon Inspector는 Lambda 표준 스캔 및 Lambda 코드 스캔에 대해 다양한 런타임을 지원합니다. 스캔 유형별 지원되는 런타임 목록은 지원되는 런타임: Amazon Inspector Lambda 표준 스캔지원되는 런타임: Amazon Inspector Lambda 코드 스캔 섹션을 참조하세요.

지원되는 런타임이 외에도 Lambda 함수가 Amazon Inspector 스캔 대상이 되려면 다음 기준을 충족해야 합니다.

  • 함수가 지난 90일 이내에 호출 또는 업데이트되었습니다.

  • 함수가 $LATEST로 표시됩니다.

  • 함수가 태그 기준 스캔에서 제외되지 않았습니다.

참고

지난 90일 이내에 호출 또는 수정되지 않은 Lambda 함수는 스캔에서 자동으로 제외됩니다. 자동으로 제외된 함수가 다시 호출되거나 Lambda 함수 코드가 변경되면 Amazon Inspector에서 해당 함수의 스캔을 재개합니다.

Amazon Inspector Lambda 표준 스캔

Amazon Inspector Lambda 표준 스캔은 Lambda 함수 코드 및 계층에 추가하는 애플리케이션 패키지 종속성의 소프트웨어 취약성을 식별합니다. 예를 들어 Lambda 함수에서 사용하는 python-jwt 패키지 버전에 알려진 취약성이 있을 경우 Lambda 표준 스캔은 해당 함수에 대한 결과를 생성합니다.

Amazon Inspector에서 Lambda 함수 애플리케이션 패키지 종속성의 취약성을 탐지한 경우 Amazon Inspector는 상세한 패키지 취약성 유형의 결과를 생성합니다.

스캔 유형 활성화에 대한 지침은 스캔 유형 활성화 섹션을 참조하세요.

참고

Lambda 표준 스캔은 Lambda 런타임 환경에 기본적으로 설치된 SDK 종속성을 AWS 스캔하지 않습니다. Amazon Inspector는 함수 코드와 함께 업로드되거나 계층에서 상속된 종속성만 스캔합니다.

참고

Amazon Inspector Lambda 표준 스캔을 비활성화하면 Amazon Inspector Lambda 코드 스캔도 비활성화됩니다.

Lambda 표준 스캔에서 함수 제외

특정 함수에 태그를 지정하여 Amazon Inspector Lambda 표준 스캔에서 제외할 수 있습니다. 함수를 스캔에서 제외하면 조치할 수 없는 알림을 방지하는 데 도움이 됩니다.

Lambda 함수를 Lambda 표준 스캔에서 제외하려면 다음 키-값 쌍을 사용하여 함수에 태그를 지정합니다.

  • 키: InspectorExclusion

  • 값: LambdaStandardScanning

Lambda 표준 스캔에서 함수를 제외하려면

  1. 자격 증명을 사용하여 로그인한 다음 https://console.aws.amazon.com/lambda/ 에서 Lambda 콘솔을 엽니다.

  2. 함수를 선택합니다.

  3. 함수 테이블에서 Amazon Inspector Lambda 표준 스캔에서 제외하려는 함수의 이름을 선택합니다.

  4. 구성을 선택하고 메뉴에서 태그를 선택합니다.

  5. 태그 관리, 새 태그 추가를 차례로 선택합니다.

  6. 필드에 InspectorExclusion을 입력한 다음 필드에 LambdaStandardScanning을 입력합니다.

  7. 저장을 선택하여 태그를 추가하고 Amazon Inspector Lambda 표준 스캔에서 함수를 제외합니다.

Lambda에 태그를 추가하는 방법에 대한 자세한 내용은 Lambda 함수에서 태그 사용을 참조하세요.

Amazon Inspector Lambda 코드 스캔

중요

또한 이 기능은 Lambda 함수 스니펫을 캡처하여 탐지된 취약성을 강조 표시하며, 이러한 스니펫에는 하드코딩된 자격 증명이나 기타 민감한 자료가 일반 텍스트로 표시될 수 있습니다.

Lambda 코드 스캔은 Lambda 함수의 사용자 지정 애플리케이션 코드를 스캔하여 보안 모범 사례를 AWS 기반으로 하는 코드 취약성을 찾아내고 다음을 탐지할 수 있습니다.

  • 인젝션 결함

  • 데이터 유출

  • 취약한 암호화

  • 코드에 암호화가 없습니다.

사용 가능한 지역에 대한 자세한 내용은 을 참조하십시오리전별 기능 가용성.

참고

Lambda 코드 스캔은 Lambda 표준 스캔과 함께 활성화할 수 있습니다.

Amazon Inspector는 자동화된 추론 및 기계 학습을 사용하여 Amazon과 공동으로 개발한 Lambda 함수 애플리케이션 코드와 내부 탐지기를 평가하여 정책 위반 및 취약성을 식별합니다. CodeGuru 가능한 탐지 목록은 탐지기 라이브러리를 참조하십시오. CodeGuru

Amazon Inspector가 Lambda 함수 애플리케이션 코드에서 취약성을 탐지하면 코드 취약성 찾기 유형을 생성합니다. 이 검색 유형은 문제를 보여주는 코드 스니펫을 포함하고, 코드에서 이 문제의 위치를 지정하고, 문제를 해결하는 방법을 제안합니다. 수정 제안에는 취약한 plug-and-play 코드 줄을 대체하는 데 사용할 수 있는 코드 블록이 포함되어 있습니다. 이 검색 유형에 대한 일반 코드 수정 지침과 함께 제안된 코드 수정이 제공됩니다.

코드 수정 제안은 자동화된 추론 및 생성적 인공 지능 서비스를 기반으로 하며 의도한 대로 작동하지 않을 수 있습니다. 하지만 채택한 코드 수정 제안에 대한 책임은 귀하에게 있습니다. 코드가 의도한 대로 작동하는지 확인하기 위해 수정해야 할 수도 있으므로 채택하기 전에 항상 코드 수정 제안을 검토하세요. 자세한 내용은 책임감 있는 AI 정책을 참조하십시오.

코드 취약성 결과에서 코드 암호화

CodeGuru Lambda 코드 스캔을 사용하여 발견된 코드 취약성과 관련된 것으로 탐지된 코드 스니펫을 저장합니다.

기본적으로 코드를 CodeGuru 암호화하는 데 사용되는 AWS 소유 키를 제어합니다. 하지만 Amazon Inspector API를 통해 암호화에 자체 고객 관리 키를 사용할 수 있습니다. 자세한 내용은 결과 코드에 대한 저장 중 암호화 섹션을 참조하세요.

Lambda 코드 스캔은 Lambda 표준 스캔으로 활성화할 수 있습니다. 스캔 유형 활성화에 대한 지침은 스캔 유형 활성화 섹션을 참조하세요.

Lambda 코드 스캔에서 함수 제외

조치 불가능한 알림 수신을 중지하려면 Lambda 코드 스캔에서 제외하려는 Lambda 함수에 태그를 지정할 수 있습니다.

Lambda 코드 스캔에서 제외하려는 Lambda 함수에 태그를 지정할 때는 다음 키-값 쌍을 사용하십시오.

  • 키 - InspectorCodeExclusion

  • 값 - LambdaCodeScanning

다음 절차에서는 이 작업을 수행하는 방법을 더 자세히 설명합니다.

Lambda 코드 스캔에서 함수를 제외하려면

  1. 자격 증명을 사용하여 로그인한 다음 https://console.aws.amazon.com/lambda/ 에서 Lambda 콘솔을 엽니다.

  2. 함수를 선택합니다.

  3. 함수 테이블에서 Amazon Inspector Lambda 코드 스캔에서 제외하려는 함수의 이름을 선택합니다.

  4. 구성(Configuration)을 선택한 다음 태그(Tags)를 선택합니다.

  5. 태그 관리를 선택한 다음 새 태그 추가를 선택합니다.

  6. 필드에 InspectorCodeExclusion을 입력합니다. 필드에 를 입력합니다. LambdaCodeScanning

  7. [Save] 를 선택하여 Lambda 코드 스캔에서 함수를 제외하는 태그를 추가합니다.

Lambda에서 태그를 추가하는 방법에 대한 자세한 내용은 개발자 안내서의 Lambda 함수에서 태그 사용을 참조하십시오.AWS Lambda