AWS 漏洞评估概览

Amazon Web Services (AWS) 漏洞评估服务可检测以下 AWS 资源中的漏洞:

  • 安装在 Amazon EC2 实例上的软件包
  • Elastic Container Registry (ECR) 映像中的软件包和操作系统配置错误

AWS 漏洞评估服务会扫描正在运行的 EC2 实例的快照,因此生产工作负载不受影响。此扫描方法称为无代理磁盘扫描,因为目标 EC2 机器上未安装任何代理。

AWS 漏洞评估服务在 AWS Lambda 服务上运行,并部署托管扫描器的 EC2 实例,创建目标 EC2 实例的快照,然后扫描这些快照。

您可以将扫描间隔设置为 6 到 24 小时。

对于每个检测到的漏洞,AWS 漏洞评估都会在 Security Command Center 中生成发现结果。发现结果是漏洞记录,其中包含有关受影响的 AWS 资源和漏洞的详细信息,包括关联的常见漏洞和披露 (CVE) 记录中的信息。

如需详细了解 AWS 漏洞评估生成的结果,请参阅 AWS 漏洞评估结果

AWS 漏洞评估生成的发现结果

当 AWS 漏洞评估服务在 AWS EC2 机器或 Elastic Container Registry 映像中检测到软件漏洞时,该服务会在 Security Command Center 中生成 Google Cloud发现结果。

Security Command Center 文档中未列出各个发现结果及其对应的检测模块。

每项发现结果都包含以下信息,这些信息是检测到的软件漏洞所特有的:

  • 受影响的实例或映像的完整资源名称
  • 漏洞说明,包括以下信息:
    • 包含漏洞的软件包
    • 关联的 CVE 记录中的信息
    • Mandiant 对该漏洞的影响和可利用性的评估
    • Security Command Center 对漏洞严重程度的评估
  • 攻击风险得分,可帮助您确定修复优先级
  • 直观呈现攻击者可能采取的攻击路径,以便攻击者攻击漏洞所暴露的高价值资源
  • 如果有,您可以采取的解决问题的步骤,包括可用于解决漏洞的补丁或版本升级

所有“AWS 漏洞评估”发现结果都具有以下属性值:

类别
Software vulnerability
Vulnerability
云服务提供商
Amazon Web Services
来源
EC2 Vulnerability Assessment

如需了解如何在 Google Cloud 控制台中查看发现结果,请参阅在 Google Cloud 控制台中查看发现结果

扫描期间使用的资源

在扫描期间,AWS 漏洞评估会同时使用 Google Cloud和 AWS 上的资源。

Google Cloud 资源使用情况

针对 AWS 的漏洞评估在 Google Cloud 上使用的资源包含在 Security Command Center 的费用中。

这些资源包括租户项目Cloud Storage 存储分区工作负载身份联合。这些资源由 Google Cloud 管理,仅在有效扫描期间使用。

AWS 漏洞评估还使用 Cloud Asset API 检索有关 AWS 账号和资源的信息。

AWS 资源使用情况

在 AWS 上,AWS 版漏洞评估使用 AWS LambdaAmazon Virtual Private Cloud (Amazon VPC) 服务。扫描完成后,AWS 漏洞评估服务会停止使用这些 AWS 服务。

AWS 会针对这些服务的使用情况向您的 AWS 账号收取费用,但不会将这些使用情况与 Security Command Center 或 AWS 漏洞评估服务相关联。

服务身份和权限

对于在 Google Cloud上执行的操作,AWS 漏洞评估服务在组织级层使用以下 Security Command Center 服务代理来获取身份和访问Google Cloud 资源的权限:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

此服务代理包含 cloudasset.assets.listResource 权限,AWS 漏洞评估服务使用此权限从 Cloud Asset Inventory 中检索有关目标 AWS 账号的信息。

对于 AWS 漏洞评估服务在 AWS 上执行的操作,您需要创建 AWS IAM 角色,并在配置所需的 AWS CloudFormation 模板时将该角色分配给 AWS 漏洞评估服务。如需查看相关说明,请参阅角色和权限