Aqua Enterprise：从代码到运行，全面保障AWS Lambda端到端安全性

#### **Aqua平台概述** Aqua安全平台使开发人员和安全团队能够通过检测流水线中的风险并对其建立上下文环境，识别不合规和过度权限，执行合规策略并保护在运行时功能，从而确保[AWS Lambda](https://aws.amazon.com/cn/lambda/?trk=cndc-detail)功能的生命周期安全。 Aqua确保在[AWS Lambda](https://aws.amazon.com/cn/lambda/?trk=cndc-detail)容器化功能和[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)工作负载之间通过CI集成实现一致的安全策略。Aqua的NanoEnforcer可作为Lambda层级自动注入，无缝集成安全监控和执行，无需更改代码或操作。 这些功能是作为一个全面的云原生安全平台的一部分来提供的，并与AWS服务和工具深度集成--包括容器化的Lambda和基于AWS Graviton2的Lambda。 #### **无服务器安全所面临的挑战** **被限制的安全可见性** — [无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)功能是短暂的，包含了服务和软件的依赖项，而且很难确定代码在哪里以及何时大规模运行。 **生产环境中过载的权限** — 开发人员会将在开发测试环境中获得权限延续到生产环境。当一个功能被启动时，由于对其他功能/服务的潜在影响，很难再更改权限。 **漏洞和嵌入式密钥** — 虽然Lambda服务减少了攻击面，但该功能可能包含薄弱的代码、嵌入式密钥、依赖项（如第三方库）和开源包，攻击者仍然可以利用这些漏洞。 #### **为何选择Aqua?** **开发人员友好型** — Aqua通过在流水线中直接集成安全扫描来支持 "安全左移"。Aqua的运行时组件作为Lambda 层级无缝部署，最大程度地使开发人员工作流程平滑，对功能调用时间和资源使用的影响最小。 **识别和管理功能风险** — 结合云账户设置和配置，对Lambda功能漏洞和权限的风险进行检测、建立上下文环境并确定优先级。利用Aqua全面的云原生安全平台拦截功能运行时的攻击。 **持续监控和审计** — Aqua生成恶意软件、漏洞、敏感数据和机密的扫描功能的审计数据；跟踪漏洞状态的变化、扫描的及时性和修复的趋势。  #### 如何运作 ##### AWS Lambda和责任共担模型 通过[AWS Lambda](https://aws.amazon.com/cn/lambda/?trk=cndc-detail)[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)计算服务，AWS保障了服务的底层基础设施--操作系统的安全，并提供了直至内核级的高度隔离。客户负责确保在服务上运行的应用程序和数据的安全，方法是运用对功能代码的权限、访问控制和运行功能风险的高度可见性，评估和控制风险--如构建流水线中的漏洞和嵌入的密钥。 如果对正在使用的功能代码缺乏高度可见性，那么，可能包含的漏洞、在[AWS Lambda](https://aws.amazon.com/cn/lambda/?trk=cndc-detail)上的过度权限、以及AWS访问和机密等嵌入式密钥，都会增加攻击面并产生风险。作为CI流水线的组成部分，这些风险必须被检测出来，根据风险参数进行评估，并作为开发工作流程的一部分进行抵御。 ##### 用于AWS Lambda的Aqua Security ###### CI/CD集成扫描 在您的CI流水线中构建[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)功能时，Aqua对其进行扫描，向开发人员提供安全问题的反馈。通过确保构建的安全性，我们支持应用DevSecOps方法论安全左移，尽早发现问题，并自动修复产出安全组件。Aqua拥有强大而准确的镜像扫描功能，可无缝集成到任何CI/CD工作流程中，从而识别并清理不良配置、嵌入式密钥和漏洞，同时最大限度地减少误报。Aqua通过扫描IAM角色，自动发现过度配置的功能权限，并突出显示有风险的权限。 ###### 发现风险态势 通过API集成，从您的AWS账户或ECR中的Lambda容器镜像中自动检索和扫描Lambda功能清单，从而获得[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)风险态势的仪表盘可视性，包括过度授权或未使用的权限，或应减少或消除的管理角色。 ###### 执行合规策略 Aqua可以根据扫描结果来评估您功能的风险，并根据预先配置的合规策略自动取消构建您的Lambda功能和容器镜像。客户可以创建和配置这些合规策略，根据漏洞分数、检测到的权限和敏感数据来定义[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)环境中可接受的风险。当功能被阻止执行时，可以获得通知并生成审计事件。 ###### 运行时保护和预防 Aqua的NanoEnforcer是专门为[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)功能开发的，它将嵌入到容器镜像中执行，使容器实现自动化检测。NanoEnforcer在Lambda 层级注入，不需要更改功能代码或运行时间，NanoEnforcer使Lambda客户能够确保最小特权权限，自动部署运行时保护，并检测行为异常。NanoEnforcer维护功能的完整性并实现Drift Prevention，验证其在云端的生命周期内没有被改变或更新。通过列出被阻止的具有高风险的可执行文件，控制可用于功能的可执行文件的类型。 ###### 监测和报告 Aqua记录和审计事件、[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)工作负载的 "系统调用"，并生成扫描[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)代码的恶意软件、漏洞、敏感数据和密钥的审计数据报告。Aqua支持将扫描结果和安全事件数据与您现有的SIEM和分析工具相结合。 #### **关于Aqua Security** Aqua Security让云原生威胁无所遁形。作为全球最大的云原生安全厂商和云原生安全领导者，Aqua致力帮助客户通过各种方式探索创新，引领数字业务的精彩未来。Aqua拥有业界集成度最高的云原生应用保护平台 (CNAPP)，通过预防、检测和响应机制保护整个应用生命周期的安全。Aqua成立于2015年，总部位于马萨诸塞州波士顿和以色列拉马特甘，目前服务覆盖了全球40多个国家和地区的财富1000强客户。如需了解更多信息，请访问公司官网www\.aquasec.com或关注官方微信公众号“AquaSecurity”。 [点击填写](https://jinshuju.net/f/qFqLx8)问券获取[AWS Lambda](https://aws.amazon.com/cn/lambda/?trk=cndc-detail)\&[AWS Fargate](https://aws.amazon.com/cn/fargate/?trk=cndc-detail)手册 [点击查看](https://www.aquasec.com/cloud-native-academy/)由Aqua整理的云原生安全百科Cloud Native Wiki [点击查看](https://github.com/aquasecurity/trivy)Aqua开源工具Trivy [亚马逊云科技Marketplace](https://awsmarketplace.amazonaws.cn/marketplace/pp/prodview-z7dtfrasdqfh2?qid=1647423463370&sr=0-1&ref_=srh_res_product_title)中已提供Aqua Enterprise相关解决方案