こんにちは!技術1課、濱岡です!
最近、いちごが美味しくて、ついつい食べてしまいます、、、
今回はAmazon InspectorのLambda関数の脆弱性スキャンを試してみました!
Amazon Inspectorとは?
Amazon Inspector は、ソフトウェアの脆弱性や意図しないバグを継続的にスキャンする自動脆弱性管理サービスです。
脆弱性スキャンの対象としては以下があります。
- Amazon EC2 インスタンス
- コンテナ
- Lambda関数
今回はLambda関数についてまとめました。
やってみる
まずは、Amazon Inspectorを有効化する必要があります。 コンソール画面のAmazon Inspectorの画面から有効化を押下してください。
※有効化すると自動的にスキャンが開始されます。
しばらくすると結果が表示されます。
脆弱性が発見された場合、関数名がリンクとなります。
脆弱性スキャンされる対象は、サポートされているランタイムがあり、過去90日間の中で呼び出されたものまたは更新されたものかつ$LATESTとマークされたものがすべて対象となります。
画像の中ではステータスの欄がアクティブと表記されています。
対象外のものは、ステータスがスキャンの適格性が失効しましたと表示されます。
サポートされているランタイムについては以下をご参照ください。
では、脆弱性がでた場合、どのように表示されるかみてみます。
このように発見されたCVEが表示されます。 タイトルを押下すると詳細の内容が確認できます。
スキャンのタイミング
スキャンのタイミングは以下となります。
- 新しいLambda関数をデプロイするとき
- 既存のLambda関数を更新するとき
- 新しいCVEの項目が追加されたとき
利用料金を気にして使っていない時は無効化しておこうと考えている方もいると思うのですが、新しいCVE項目が追加されたときもスキャンされるため常に有効化するメリットもありそうですね。
スキャン対象としないLambda関数がある場合は?
中にはスキャンの対象としなくていいLambda関数があると思います。 その際は、キー:InspectorExclusion、値:LambdaStandardScanningのタグをを付与すると対象外とすることができます。
表示をみるとタグで除外済みとなっています。
料金 (2023/03現在)
無料枠が15日間あるので試しに使ってみたいという方は利用してみてください!
通常の利用料金はAWS Lambda 関数の月間平均スキャン数に対してかかります。
AWS Lambda 関数の月間平均スキャン数は
(Lambda 関数に対する Amazon Inspector のカバー時間の合計)/(1 ヶ月の時間数、つまり 720 時間)
とかかれています。
つまり、1ヶ月間アクティブなLambda関数が2つある場合は (720+720)/720=2 となります。
AWS Lambda 関数ごとに 0.36USDとなっているので利用料金としては 2×0.36USD= 0.72 USD となります。
1ヶ月の内、15日間で削除されたアクティブなLambda関数であれば (360÷720)×0.36USD=0.28USD となります。
最新の利用料金については以下を参照してください。
参考
まとめ
InspectorのLambda関数の脆弱性スキャンについてまとめました。 Lambda関数の脆弱性が気になるという方は利用してみてくださいね!
以上、濱岡でした!
