🌟
Amazon InspectorをLambdaに適用する
AWS re:Inventに初めて参加中です。
Keynoteの中で発表のあった、Amazon InspectorのLambda対応について、現地で追加されたセッション(Detecting vulnerabilities in AWS Lambda functions using Amazon Inspector)に参加した(今参加している)ので記事に残します。
アップデート内容
Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークのやりとりがないかを継続的にチェックする自動脆弱性管理サービスです。これまでは、EC2とECR内のイメージが対象でしたが、今回のアップデートでLambdaも対象となりました。
試してみる
早速試してしてみます。
ダッシュボードでInspectorの画面に遷移して有効化するだけです。
※既にInspectorを有効化していた場合は、下記クラスメソッドさんの記事に記載の通り、注意が必要なようです。
結果
下記の通り、Lambdaも対象になっていることが確認できます。具体的な結果については、脆弱性を晒すことにもなるので、ご勘弁を、、
EC2に関しては、下記の記事に記載の通り、SSMエージェントのインストールなどが必要です。Lambdaも100%にならないのはなんでだろう。。わかったら追記します。
いつスキャンが走るのか?
- デプロイ時
- 更新時
- 新しい脆弱性がCVEに公開された時
料金
まだ公式には記載がありませんが、セッションの中で紹介がありました。
バージニアリージョンの場合、1関数あたり$0.3/月のようです。
(15日間で関数が消された場合は$0.15)
※現在は有効化した後、15日間の無料期間があります。
その他メモ
- Organizationsと統合でき、管理アカウントからは他のメンバアカウントの情報が見れる
- 脆弱性検出時はEventBridgeと連携することでワークフローを自動化できる
Discussion