Amazon Inspector は、AWS 環境の共通脆弱性識別子(CVE)や意図しない露出を発見するマネージドのセキュリティ診断サービスです。例えば EC2 インスタンス、コンテナイメージ、Lambda 関数などの脆弱性をスキャンし、CVE を検出することができます。検出すると findings(検出結果)として出力します。
目次
Amazon Inspector の特徴
Amazon Inspector は、自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができます。自動的にアプリケーションを評価し、露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認できます。
EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性の継続的なスキャンをできます。
継続的スキャン(continuous scanning)
- リポジトリにあるイメージを継続的に追いかける。
- あとから新しい CVE が公開された場合でも、既存イメージが危険になったことを検知できる。
プッシュ時スキャン(on-push scanning)
イメージを ECR に push したそのタイミングで自動的にスキャンして既知の脆弱性(CVE)を検出します。更に脆弱性の重大度などのレポートを作成します。
更に、CI/CD の流れに合わせやすい形で利用できます。(push → スキャン結果 → デプロイ判断、など)
Lambda 関数のスキャン
Amazon Inspector は、Lambda 関数に対して継続的な自動化されたセキュリティ脆弱性評価を提供します。過去 90 日間に呼び出されたり変更されたりしていない Lambda 関数は、自動的にスキャンから除外されます。2つのスキャンタイプがあります。
Amazon Inspector Lambda 標準スキャン
デフォルトの Lambda スキャンタイプです。Lambda 関数とレイヤー内のアプリケーションの依存関係をスキャンして、パッケージの脆弱性について調べます。
Amazon Inspector Lambda コードスキャン
このスキャンタイプでは、Lambda 関数やレイヤー内のカスタムアプリケーションコードをスキャンして、コードの脆弱性について調べます。
コメント