AWS Lambdaの脆弱性スキャン
AWS Lambdaの脆弱性スキャン
- Amazon InspectorによるAWS Lambdaのスキャン結果を取り込み、FutureVuls上で管理する
- 外部連携 AWS 認証設定でAWSの認証情報登録が必要
- サーバ種別:疑似サーバに複数のLambda関数を登録可能
- サポートされているLambda関数のランタイム
コンテナイメージタイプのLambda関数はAWS Inspectorによるスキャンがサポートされていないため、FutureVulsで登録することができません。
AWS Lambdaスキャン機能を利用するにあたり、「2024-4-1リリース」より以前にAWS認証設定を行った場合は、更新が必要です。
FutureVulsで利用するポリシーを参照し、 FutureVulsAssumeRole のIAM Policyに Action として lambda:GetFunction を追加してください。
Amazon Inspectorの有効化
- Amazon Inspector コンソールを開きます。
- [使用を開始する]を選択します。
- Inspectorをアクティブ化します。
- Inspector > 設定 > アカウント管理から、AWS Lambda スキャンをアクティブ化します。
AWS Lambdaのスキャン結果確認
Inspector > 検出結果 > Lambda関数別から、連携したいLambda関数のスキャン結果を確認できたらAWS上の設定は完了です。
登録方法1: FutureVuls上でLambda関数を一括登録
- サーバ > サーバ追加 > 擬似サーバ追加から、AWS Lambda 関数登録に使う疑似サーバを作成します。
- サーバ詳細 > AWS Lambda 関数 > 一括追加 に、グループのAWS認証情報に紐付く Lambda 関数の一覧が表示されます。
- 一覧の中から、登録したい関数名を選択します。(複数選択可能)
登録方法2: Lambda関数のARNを指定して登録
ARN を直指定する際には、まず AWS コンソールの関数の詳細ページにて、関数の ARN をコピーします。
続いて、「サーバ詳細 > AWS Lambda関数 > 追加」から、先程コピーした Lambda関数の ARN を Lambda関数の ARN を入力します。
スキャンの実行
手動スキャン ボタンによりスキャンが実行されると、Inspectorの検出結果が連携され、脆弱性やタスクが作成されます。