Amazon Web Services (AWS) 漏洞评估服务可检测以下 AWS 资源中的漏洞:
- 安装在 Amazon EC2 实例上的软件包
- Elastic Container Registry (ECR) 映像中的软件包和操作系统配置错误
AWS 漏洞评估服务会扫描正在运行的 EC2 实例的快照,因此生产工作负载不会受到影响。由于目标 EC2 计算机上未安装任何代理,因此此扫描方法称为无代理磁盘扫描。
AWS 漏洞评估服务在 AWS Lambda 服务上运行,并部署托管扫描程序的 EC2 实例,创建目标 EC2 实例的快照,然后扫描快照。
您可以将扫描间隔设置为 6 到 24 小时。
对于每个检测到的漏洞,AWS 漏洞评估工具都会在 Security Command Center 中生成一个发现结果。发现结果是漏洞的记录,其中包含受影响的 AWS 资源和漏洞的详细信息,包括相关常见漏洞和披露 (CVE) 记录中的信息。
如需详细了解 AWS 漏洞评估生成的发现结果,请参阅 AWS 漏洞评估发现结果。
AWS 漏洞评估发出的发现结果
当“适用于 AWS 的漏洞评估”服务在 AWS EC2 计算机或 Elastic Container Registry 映像中检测到软件漏洞时,该服务会在 Google Cloud的 Security Command Center 中发出相应发现。
Security Command Center 文档中未列出具体发现结果及其对应的检测模块。
每项发现结果都包含以下仅与检测到的软件漏洞相关的信息:
- 受影响实例或映像的完整资源名称
- 漏洞的说明,包括以下信息:
- 包含漏洞的软件包
- 关联的 CVE 记录中的信息
- Mandiant 对漏洞影响和可利用性的评估
- Security Command Center 对漏洞严重程度的评估
- 攻击风险得分,可帮助您确定修复优先级
- 直观地显示攻击者可能采取的路径,以便攻击漏洞所暴露的高价值资源
- 可用于解决问题的步骤(如果有),包括可用于解决漏洞的补丁或版本升级
所有 AWS 漏洞评估结果都具有以下属性值:
- 类别
Software vulnerability- 类
Vulnerability- 云服务提供商
Amazon Web Services- 来源
EC2 Vulnerability Assessment
如需了解如何在 Google Cloud 控制台中查看发现结果,请参阅在 Google Cloud 控制台中查看发现结果。
扫描期间使用的资源
扫描期间,AWS 漏洞评估工具会使用 Google Cloud和 AWS 上的资源。
Google Cloud 资源使用情况
适用于 AWS 的漏洞评估在 Google Cloud 上使用的资源包含在 Security Command Center 的费用中。
这些资源包括租户项目、Cloud Storage 存储分区和工作负载身份联合。这些资源由 Google Cloud 管理,仅在主动扫描期间使用。
AWS 漏洞评估还使用 Cloud Asset API 检索有关 AWS 账号和资源的信息。
AWS 资源用量
在 AWS 上,AWS 漏洞评估工具使用 AWS Lambda 和 Amazon Virtual Private Cloud (Amazon VPC) 服务。扫描完成后,“AWS 漏洞评估”服务会停止使用这些 AWS 服务。
AWS 会针对您使用这些服务向您的 AWS 账号收费,但不会将相应使用情况标识为与 Security Command Center 或 AWS 漏洞评估服务相关。
服务身份和权限
对于在 Google Cloud上执行的操作,AWS 漏洞评估服务会在组织级使用以下 Security Command Center 服务代理来获取身份和访问Google Cloud 资源的权限:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
此服务代理包含 cloudasset.assets.listResource 权限,AWS 漏洞评估服务使用此权限从 Cloud 资产目录检索目标 AWS 账号的相关信息。
对于 AWS 漏洞评估在 AWS 上执行的操作,您可以在配置所需的 AWS CloudFormation 模板时创建 AWS IAM 角色,并将该角色分配给 AWS 漏洞评估服务。如需了解相关说明,请参阅角色和权限。