520-AWS SAP AWS 「理論・実践・一問道場」自動CVEs
理論
自動CVEsスキャンとセキュリティスキャンに関する基本知識
- CVEs(Common Vulnerabilities and Exposures)とは:
- CVEは、ソフトウェアやシステムにおける既知の脆弱性や露出を識別するための標準化された識別番号です。これらはセキュリティリスクを特定し、修正するための情報源となります。自動CVEsスキャンは、これらの脆弱性を自動的に検出し、セキュリティの問題に早期に対処するための手段です。
- Amazon Inspector:
- Amazon Inspectorは、AWS環境内で動作するリソースのセキュリティと脆弱性を評価するためのサービスです。特に、CVEsを検出する自動化されたスキャンを提供します。これにより、Lambda関数やEC2インスタンスなどのリソースで既知の脆弱性を識別することができます。
- Lambda関数のスキャン: Amazon Inspectorは、Lambda関数のコードをスキャンし、脆弱性(例えば、CVEs)を検出します。これにより、アプリケーションのセキュリティが強化され、潜在的なリスクを事前に発見できます。
- Lambdaコードスキャン:
- Lambdaコードスキャンは、コードの脆弱性や潜在的な問題(データ漏洩や誤った設定など)を検出するプロセスです。これにより、コードレベルでのセキュリティの問題を特定できます。
- 自動化されたスキャンによって、コード内のセキュリティ問題を迅速に修正でき、セキュリティリスクを最小化できます。
- タグによる管理:
- AWSリソースにタグを付けることで、リソースを論理的に分類し、スキャン対象を絞り込むことができます。例えば、特定のLambda関数にタグを付け、そのタグに基づいてスキャン対象を決定できます。これにより、必要なLambda関数だけをスキャン対象として自動化できます。
- Amazon GuardDutyとLambda Protection:
- Amazon GuardDutyはAWSアカウントやリソースの脅威を監視するサービスですが、Lambda関数のコードスキャンやCVEsの検出には直接関連しません。GuardDutyは、AWS環境内での不正アクセスや異常な挙動の検出に特化しています。
まとめ:
- 自動CVEsスキャンは、システムのセキュリティリスクを早期に発見し修正するための重要な手段です。Amazon Inspectorを使用することで、Lambda関数のコードやそのレイヤーに対する脆弱性スキャンを自動化できます。
- Lambdaコードスキャンは、潜在的なデータ漏洩や脆弱性を検出するために不可欠です。タグを使用して、スキャン対象を選択的に絞り込むことができ、セキュリティ管理を効率化できます。
実践
略
一問道場
問題 #520
ある企業が、Pythonで書かれた複数のAWS Lambda関数を持っています。これらの関数は、.zipパッケージデプロイタイプでデプロイされています。関数は、共通のライブラリとパッケージを含むLambdaレイヤーを使用しており、このレイヤーは.zipファイルで提供されています。Lambdaの.zipパッケージとLambdaレイヤーの.zipファイルは、Amazon S3バケットに格納されています。
企業は、Lambda関数とLambdaレイヤーの自動スキャンを実行し、CVEs(共通脆弱性および露出)を特定する必要があります。Lambda関数のサブセットは、自動コードスキャンを実行して、潜在的なデータ漏洩やその他の脆弱性を検出する必要があります。コードスキャンは、すべてのLambda関数ではなく、選択されたLambda関数に対してのみ実行する必要があります。
この要件を満たすために必要なアクションの組み合わせはどれですか?(3つ選んでください)
A. Amazon Inspectorを有効にし、自動CVEsスキャンを開始します。
B. Amazon InspectorでLambda標準スキャンとLambdaコードスキャンを有効にします。
C. Amazon GuardDutyを有効にし、GuardDutyのLambda Protection機能を有効にします。
D. コードスキャンが必要なLambda関数の「Monitor設定」でスキャンを有効にします。
E. コードスキャンが必要ないLambda関数にタグを付け、タグに「InspectorCodeExclusion」というキーと「LambdaCodeScanning」という値を含めます。
F. Amazon Inspectorを使用して、Lambdaの.zipパッケージとLambdaレイヤーの.zipファイルが格納されているS3バケットをコードスキャンします。
解説
この問題では、AWS Lambda関数とLambdaレイヤーに対する脆弱性スキャンを自動化し、選択されたLambda関数に対してコードスキャンを実行する方法を選ぶ必要があります。具体的には、CVEs(共通脆弱性および露出)の検出とデータ漏洩などの脆弱性の自動スキャンを行い、スキャンを実施するLambda関数を特定する方法を考慮します。
選択肢の評価:
A. Amazon Inspectorを有効にし、自動CVEsスキャンを開始します。
- 正しい選択肢:
- Amazon Inspectorは、セキュリティの脆弱性をスキャンするためのサービスで、特にCVEsをスキャンするのに有効です。Lambda関数や関連するレイヤーを対象にCVEsの自動スキャンを実行できます。
B. Amazon InspectorでLambda標準スキャンとLambdaコードスキャンを有効にします。
- 正しい選択肢:
- Amazon Inspectorは、Lambda関数とそのレイヤーの標準スキャン(CVEsの検出)と、コードスキャン(潜在的なデータ漏洩や脆弱性の検出)を提供します。この選択肢は、Lambda関数とレイヤーの両方に対して必要なスキャンを実施するための最適な方法です。
C. Amazon GuardDutyを有効にし、GuardDutyのLambda Protection機能を有効にします。
- 誤った選択肢:
- Amazon GuardDutyは、AWSの脅威検出サービスですが、Lambda関数のコードスキャンやCVEsの検出には使用されません。GuardDutyは、主にAWSアカウントやリソースに対する不正アクセスや異常な挙動を検出するために使われますが、コードスキャンには関連しません。
D. コードスキャンが必要なLambda関数の「Monitor設定」でスキャンを有効にします。
- 誤った選択肢:
- Lambdaの「Monitor設定」でスキャンを有効にするオプションはありません。コードスキャンや脆弱性スキャンは、通常、Amazon Inspectorなどのサービスで設定されます。この設定自体は存在しないため、不適切です。
E. コードスキャンが必要ないLambda関数にタグを付け、タグに「InspectorCodeExclusion」というキーと「LambdaCodeScanning」という値を含めます。
- 正しい選択肢:
- タグを使用してLambda関数を除外することは、選択されたLambda関数のみにコードスキャンを適用する方法として有効です。タグを利用することで、Amazon Inspectorがスキャン対象から除外する関数を特定できます。
F. Amazon Inspectorを使用して、Lambdaの.zipパッケージとLambdaレイヤーの.zipファイルが格納されているS3バケットをコードスキャンします。
- 誤った選択肢:
- Amazon Inspectorは、S3バケット内のファイルに対するコードスキャンを直接実施することはできません。Lambda関数のコードスキャンは、Lambda関数自体に対して行う必要があり、S3に格納された.zipファイルに対しては適用されません。
正しい組み合わせ:
- A, B, Eが正しい選択肢です。
- AでCVEsの自動スキャンを有効にし、Bでコードスキャン(標準スキャンとコードスキャン)の両方を有効にします。
- Eでタグ付けを活用し、スキャン対象を限定します。
結論:
この組み合わせにより、Lambda関数とレイヤーのスキャンを効果的に自動化し、選択した関数にのみコードスキャンを実施できます。
- Author:minami
- URL:https://www.minami.ac.cn/private-license/180d7ae8-88e2-806d-ac86-c590c4e27a05
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
