🌟

Amazon InspectorをLambdaに適用する

2022/12/01に公開

AWS re:Inventに初めて参加中です。
Keynoteの中で発表のあった、Amazon InspectorのLambda対応について、現地で追加されたセッション(Detecting vulnerabilities in AWS Lambda functions using Amazon Inspector)に参加した(今参加している)ので記事に残します。

https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-amazon-inspector-support-aws-lambda-functions/

アップデート内容

Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークのやりとりがないかを継続的にチェックする自動脆弱性管理サービスです。これまでは、EC2とECR内のイメージが対象でしたが、今回のアップデートでLambdaも対象となりました。

試してみる

早速試してしてみます。
ダッシュボードでInspectorの画面に遷移して有効化するだけです。

※既にInspectorを有効化していた場合は、下記クラスメソッドさんの記事に記載の通り、注意が必要なようです。

https://dev.classmethod.jp/articles/lambda-inspector-activation-required/

結果

下記の通り、Lambdaも対象になっていることが確認できます。具体的な結果については、脆弱性を晒すことにもなるので、ご勘弁を、、

EC2に関しては、下記の記事に記載の通り、SSMエージェントのインストールなどが必要です。Lambdaも100%にならないのはなんでだろう。。わかったら追記します。

https://dev.classmethod.jp/articles/re-introduction-2020-inspector/#toc-

いつスキャンが走るのか?

  • デプロイ時
  • 更新時
  • 新しい脆弱性がCVEに公開された時

料金

まだ公式には記載がありませんが、セッションの中で紹介がありました。

バージニアリージョンの場合、1関数あたり$0.3/月のようです。
(15日間で関数が消された場合は$0.15)

※現在は有効化した後、15日間の無料期間があります。

その他メモ

  • Organizationsと統合でき、管理アカウントからは他のメンバアカウントの情報が見れる
  • 脆弱性検出時はEventBridgeと連携することでワークフローを自動化できる

Discussion