Amazon Inspector를 사용하여 Lambda에 대한 보안 평가 자동화
Amazon Inspector
Amazon Inspector 지원은 Lambda 함수 및 계층에 대한 지속적이고 자동화된 보안 취약성 평가를 제공합니다. Amazon Inspector는 Lambda에 대해 두 가지 유형의 스캔을 제공합니다.
Amazon Inspector를 활성화하려면 Amazon Inspector 콘솔
Amazon Inspector를 설정하는 동안 여러 계정에 대해 Amazon Inspector를 활성화하고 조직의 Amazon Inspector를 관리할 권한을 특정 계정에 위임할 수 있습니다. 활성화하는 동안 역할(AWSServiceRoleForAmazonInspector2)을 생성하여 Amazon Inspector에 권한을 부여해야 합니다. Amazon Inspector 콘솔에서는 원클릭 옵션을 사용하여 이 역할을 생성할 수 있습니다.
Lambda 표준 스캔의 경우 Amazon Inspector는 다음과 같은 경우에 Lambda 함수의 취약성 스캔을 시작합니다.
-
Amazon Inspector에서 기존 Lambda 함수를 발견하는 즉시
-
새 Lambda 함수를 배포하는 경우
-
기존 Lambda 함수 또는 해당 계층의 애플리케이션 코드 또는 종속성에 대한 업데이트를 배포하는 경우
-
Amazon Inspector가 새로운 일반적인 취약성 및 노출(CVE) 항목을 데이터베이스에 추가하고, 해당 CVE가 함수와 관련이 있는 경우
Lambda 코드 스캔의 경우 Amazon Inspector는 애플리케이션 코드의 전반적인 보안 규정 준수를 분석하는 자동 추론 및 기계 학습을 사용하여 Lambda 함수 애플리케이션 코드를 평가합니다. Amazon Inspector에서 Lambda 함수 애플리케이션 코드의 취약성을 탐지한 경우 Amazon Inspector는 상세한 코드 취약성 결과를 생성합니다. 가능한 탐지 목록은 Amazon CodeGuru Detector Library를 참조하세요.
결과를 보려면 Amazon Inspector 콘솔
Lambda 함수를 표준 스캔에서 제외하려면 다음 키 값 페어를 사용하여 함수에 태그를 지정합니다.
-
Key:InspectorExclusion -
Value:LambdaStandardScanning
Lambda 함수를 코드 스캔에서 제외하려면 다음 키 값 페어를 사용하여 함수에 태그를 지정합니다.
-
Key:InspectorCodeExclusion -
Value:LambdaCodeScanning
예를 들어, 다음 이미지에 표시된 대로, Amazon Inspector는 자동으로 취약성을 감지하고 결과를 코드 취약성 유형으로 분류합니다. 코드 종속 라이브러리가 아니라 함수의 코드에 취약성이 있음을 나타냅니다. 특정 함수 또는 여러 함수에 대한 이러한 세부 정보를 한 번에 확인할 수 있습니다.
이러한 각 결과를 자세히 살펴보고 문제를 해결하는 방법을 알아볼 수 있습니다.
Lambda 함수를 작업할 때는 Lambda 함수의 이름 지정 규칙을 준수해야 합니다. 자세한 내용은 Lambda 환경 변수를 사용하여 코드의 값 구성 단원을 참조하십시오.
제안된 해결 방법을 수락할 경우 이에 따른 책임은 귀하에게 있습니다. 그러므로 제안된 해결 방법을 수락하기 전에 항상 검토하세요. 코드가 의도한 대로 작동하도록 제안된 해결 방법을 수정해야 할 수도 있습니다.
