ใช้ AWS Inspector ช่วย Scan ช่องโหว่ Log4j

2 min readDec 24, 2021

ช่วงนี้ไม่ว่าใครก็ร้อนกันไปหมดเพราะช่องโหว่ Log4j ดังนั้นบทความนี้ผมเลยจะใช้ AWS Inspector (V2) มาช่วยในการ scan ช่องโหว่ดังกล่าวบน container image ดู (สำหรับคนที่ใช้ Amazon ECR เป็น registry) และเมื่อเจอ CVE ที่เราสนใจก็ให้ส่ง email มา

AWS Inspector คืออะไร?

AWS Inspector เป็น service ที่ใช้ในการ scan หาช่องโหว่ (Vulnerability) บน AWS workload ของเรา โดย scan ได้ทั้ง…

Container image บน registry (Amazon ECR)
Virtual machine (Amazon EC2)

ซึ่งเมื่อเจอช่องโหว่มันจะสร้าง finding ขึ้นมา ประกอบไปด้วยรายละเอียดของ vulnerability นั่นแหละครับ

อ้อ บทความนี้ผมจะ scan container image บน Amazon ECR นะครับ

Scan ยังไงบ้าง?

การใช้ Inspector มาช่วย scan จะใช้ชื่อว่า enhanced scanning (เหนือกว่า basic scanning ที่เป็นของฟรีมากับ ECR) เลือกได้ 2 แบบ

On-push Scanning แบบนี้จะ scan ก็ต่อเมื่อเรา push image ขึ้นไปบน registry
Continual Scanning เหมือน on-push แต่มาพร้อมการ scan ซ้ำอัตโนมัติ (Automated Rescan) เช่น เมื่อมี CVE ใหม่ ๆ ถูกเพิ่มเข้ามา

เปิดใช้งาน AWS Inspector

ไปที่ Amazon Inspector แล้วคลิก Get Started (กรณีที่ไม่เคย enable มาก่อน) จากนั้นก็ทำตามขั้นตอนไปไม่มีอะไรซับซ้อนครับ

จากนั้นจะสามารถเข้าหน้า dashboard ไปดู finding ได้ครับ ลอง ๆ เล่นดูเนอะ (อื้อหือ finding เยอะโคตร 555)

หรือถ้าเข้าไปดูที่ Amazon ECR → Private registry → Scanning นั้นผมเซ็ตไว้แบบด้านล่างนี้

ตรง Continuosly scan all repositories สามารถ uncheck ออกแล้วเขียน wildcard เป็น filter เพื่อเลือก scan แค่บาง repository ได้นะครับ

สร้าง EventBridge Rule

เพื่อให้มันส่ง email เมื่อ AWS Inspector พบ vulnerability ที่เรากำหนด

CVE-2021–44228
CVE-2021–45046

1. สร้าง SNS Topic

เปิด Amazon SNS console ไปที่ Topics → Create topic
ที่เหลือก็ตามรูปด้านล่างเลยครับ

2. สร้าง SNS Subscription

เปิด Amazon SNS console ไปที่ Subscriptions → Create subscription
ที่เหลือก็ตามรูปด้านล่างเลยครับ

หลังจากสร้าง subscription แล้วก็จะมี email ส่งไปหา email ที่เรากรอกไป ก็ให้เข้าไปกด subscribe topic ด้วยครับ

3. สร้าง EventBridge Rule

เปิด Amazon EventBridge console
เลือก Rules → Create rule
ใส่ชื่อ rule เป็น Inspector-To-Email
ตรง Define pattern เลือก Event pattern → Custom pattern แล้วใส่ code ด้านล่างนี้ไป

ตรง Select targets เลือก Add target และเลือก SNS topic ตัวที่เราสร้างเอาไว้
คลิก Create rule

ถ้าคิดว่าบทความนี้มีประโยชน์ ฝากกด clap, follow และ share บทความนี้ให้ผมด้วยนะครับ ขอบคุณมากครับ ^_^