本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon Inspector 掃描 AWS Lambda 函數
Amazon Inspector 支援 AWS Lambda 函數和層,提供持續自動化的安全漏洞評估。Amazon Inspector 提供兩種類型的 Lambda 函數掃描:
Amazon Inspector Lambda 標準掃描
此掃描類型是預設的 Lambda 掃描類型。它會掃描 Lambda 函數和 layer 中的應用程式相依性,以找出套件漏洞。
Amazon Inspector Lambda 程式碼掃描
此掃描類型會掃描 Lambda 函數和 layer 中的自訂應用程式程式碼,以找出程式碼漏洞。您可以使用 Lambda 程式碼掃描來啟用 Lambda 標準掃描或 Lambda 標準掃描。
如果您想要啟用 Lambda 程式碼掃描,您必須先啟用 Lambda 標準掃描。如需詳細資訊,請參閱啟用掃描類型。
當您啟用 Lambda 函數掃描時,Amazon Inspector 會在您的帳戶中建立下列服務連結頻道: cloudtrail:CreateServiceLinkedChannel和 cloudtrail:DeleteServiceLinkedChannel。Amazon Inspector 會管理這些頻道,並使用它們來監控 CloudTrail 事件以進行掃描。這些頻道可讓您檢視帳戶中的 CloudTrail 事件,就像在 CloudTrail 中擁有線索一樣。我們建議您在 CloudTrail 中建立自己的線索,以管理帳戶中的事件。如需有關如何檢視這些頻道的資訊,請參閱AWS CloudTrail 《 使用者指南》中的檢視服務連結頻道。
注意
Amazon Inspector 不支援掃描使用客戶受管金鑰加密的 Lambda 函數。這適用於 Lambda 標準掃描和 Lambda 程式碼掃描。
Lambda 函數掃描的掃描行為
啟用時,Amazon Inspector 會掃描您帳戶中過去 90 天內叫用或更新的所有 Lambda 函數。Amazon Inspector 會在下列情況啟動 Lambda 函數的漏洞掃描:
-
一旦 Amazon Inspector 發現現有 Lambda 函數。
-
當您將新的 Lambda 函數部署到 Lambda 服務時。
-
當您對現有的 Lambda 函數或其層的應用程式程式碼或相依性部署更新時。
-
每當 Amazon Inspector 新增一個常見漏洞和暴露 (CVE) 項目到其資料庫,而該 CVE 與您的函數相關時。
Amazon Inspector 會在其生命週期內監控每個 Lambda 函數,直到刪除或排除在掃描之外為止。
您可以從帳戶管理頁面上的 Lambda 函數索引標籤或使用 ListCoverage API 檢查 Lambda 函數上次檢查漏洞的時間。Amazon Inspector 會更新 Lambda 函數的上次掃描欄位,以回應下列事件:
-
當 Amazon Inspector 完成 Lambda 函數的初始掃描時。
-
更新 Lambda 函數時。
-
當 Amazon Inspector 重新掃描 Lambda 函數時,因為影響該函數的新 CVE 項目已新增至 Amazon Inspector 資料庫。
支援的執行時間和合格的函數
Amazon Inspector 支援 Lambda 標準掃描和 Lambda 程式碼掃描的不同執行時間。如需每種掃描類型支援的執行時間清單,請參閱 支援的執行時間:Amazon Inspector Lambda 標準掃描和 支援的執行時間:Amazon Inspector Lambda 程式碼掃描。
除了具有支援的執行時間之外,Lambda 函數還需要符合下列條件,才有資格進行 Amazon Inspector 掃描:
-
在過去 90 天內已叫用或更新函數。
-
函數會標示為
$LATEST。 -
該函數不會被標籤排除在掃描之外。
注意
在過去 90 天內未叫用或修改的 Lambda 函數會自動從掃描中排除。如果再次調用自動排除的函數,或者對 Lambda 函數程式碼進行變更,Amazon Inspector 會繼續掃描該函數。
