Safingの通知処理で使用しているAWS Lambda (以下Lambda)のランタイムの廃止期限が迫っており、ランタイムの更新が必要となっています。
これに伴い、新しくAWS CloudFormation (以下CloudFormation)のスタックをリリースしました。
Safingで連携しているAWSアカウントそれぞれに対し、下部記載の「スタックの更新手順」を行っていただくことでランタイムが更新されます。お手数をおかけしますが、2024年10月14日までにご対応いただくことを推奨いたします。
上記日程を超過してもSafingは引き続きご利用いただけますが、Safingの通知処理で使用するお客様環境のLambdaのランタイムのサポートが切れた状態でのご利用となることにご留意願います。
リリースの詳細は以下の通りです。
新しいCloudFormationのスタックの変更点
Lambda関数のランタイムをPython 3.8 → Python 3.11に更新
Safingの脅威の通知システムでは脅威のイベントを送信するためにお客様のAWS環境でLambdaを使用しております。
これはセットアップのCloud Formationの作成によって構築されるものです。
このLambda関数「StackSet-SafingStackSet-xxxxx-IncidentSenderLambda-xxxxxxxxxxxx」のランタイムPython 3.8のサポート期限が近づいてきましたので、現在推奨のバージョンであるPython 3.11に更新いたします。
Safingが使用するIAMロール権限の追加
各種セキュリティサービスの設定を確認するために使用します。
| 追加する権限 | 説明 |
inspector2:BatchGetAccountStatus |
Inspectorの設定確認のために使用されます。 |
inspector2:UpdateConfiguration |
Inspectorのセットアップで使用されます。 |
権限一覧表はこちら。
AWS Lambdaのランタイムサポートについて
ランタイムが非推奨になると、AWSはご使用のランタイムにセキュリティパッチを適用しなくなります。これにより、そのランタイムを使用する関数はテクニカルサポートの対象ではなくなります。このような非推奨のランタイムは、「現状のまま」の保証なしで提供されるため、バグ、エラー、欠陥、またはその他の脆弱性が含まれている可能性があります。非推奨のランタイムを使用する関数は、パフォーマンスが低下したり、証明書の有効期限切れなどの問題が発生したりして、正しく動作しなくなる可能性があります。
| 名前 | 廃止日 | 関数の作成をブロック | 関数の更新をブロック |
| Python 3.8 | 2024年10月14日 | 2025年2月28日 | 2025年3月31日 |
引用:https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html
(オプション)「Inspector Classic」から「Inspector」への変更
「Inspector Classic」をご使用中のお客様は、AWSより「Inspector」へのバージョン変更が推奨されております。検出対象が広いこともあり、Safingとしても「Inspector」を推奨しております。Inspectorのバージョン変更作業は、今回の「スタックの更新手順」の作業内容と重複する部分があり、まとめて作業可能です。
Inspectorのバージョンを変更する場合は「新しいInspectorに切り替えよう」の記事に従って「再セットアップ」を完了してください。上記記事の手順により、Lambdaのランタイムも更新されますので、以下記載の「スタックの更新手順」の実施は不要です。
スタックの更新手順
Lambdaのランタイムで使用しているPythonのバージョンを更新するためには、SafingのCloudFormationのスタックを今回リリースしたスタックに更新する必要があります。スタックの更新はSafingのクラウドアカウント「再セットアップ」手順の一部で行います。
「管理者」権限のユーザーでSafing Consoleにログイン後、以下の作業を行ってください(Safingに連携しているAWSアカウントが複数ある場合はアカウントごとに対応が必要です)。
1. 「クラウドアカウント設定」から「再セットアップ」ボタンを押して再セットアップ画面を開きます。
2.画面の手順に従って「再セットアップ」の以下のステップを実行します。
Step1: 設定済のスタック削除
Step2: クラウドアカウントの連携
※ 再セットアップのStep3以降の手順は不要です。
Step1: 設定済のスタック削除
[AWS CloudFormationの確認]をクリックしCloudFormationに 「SafingStack」があるか確認し、削除を行ってください。
※ログインしているAWS環境は対象のAWSアカウントであることを確認してください。
※「SafingStack」以外にも表示される場合もございますが、「SafingStack」を削除することでそちらも自動的に削除されます。
|
|
Step2: クラウドアカウントの連携
[実行する]をクリックしCloudFormationを作成します。
CloudFormationを作成します。
1.「AWS CloudFormationによってIAMリソースがカスタム名で作成される場合があることを承認します。」にチェックを入れます。
2. [スタックの作成]をクリックします。
3. SafingStackのステータスがCREATE_COMPLETEになることを確認します。
4. AWS ConsoleでLambdaを開きます。Lambda関数「StackSet-SafingStackSet-xxxxx-IncidentSenderLambda-xxxxxxxxxxxx」のランタイムがPython 3.11であることを確認します。
CloudFormationのスタック更新に関する作業は以上です。