Amazon Web Services(AWS)용 취약점 평가 서비스는 AWS 클라우드 플랫폼의 Amazon EC2 인스턴스(VM)에 설치된 소프트웨어 패키지의 취약점을 감지합니다.
AWS용 취약점 평가 서비스는 실행 중인 EC2 인스턴스의 스냅샷을 스캔하므로 프로덕션 워크로드는 영향을 받지 않습니다. 대상 EC2 머신에 에이전트가 설치되어 있지 않으므로 이 스캔 방법을 에이전트리스 디스크 스캔이라고 합니다.
AWS용 취약점 평가 서비스는 AWS Lambda 서비스에서 실행되며 스캐너를 호스팅하고 대상 EC2 인스턴스의 스냅샷을 만들고 스냅샷을 스캔하는 EC2 인스턴스를 배포합니다.
스캔은 하루에 약 3회 실행됩니다.
AWS용 취약점 평가는 감지된 각 취약점에 대해 Security Command Center에서 발견 항목을 생성합니다. 발견 항목은 연관된 Common Vulnerability and Exposures(CVE) 레코드의 정보를 비롯한 영향을 받는 AWS 리소스 및 취약점에 대한 세부정보가 포함된 취약점의 기록입니다.
AWS용 취약점 평가에서 생성된 발견 항목에 대한 자세한 내용은 AWS용 취약점 평가 발견 항목을 참조하세요.
AWS용 취약점 평가에서 생성한 발견 항목
AWS용 취약점 평가 서비스가 AWS EC2 머신에서 소프트웨어 취약점을 감지하면 이 서비스는 Google Cloud의 Security Command Center에 발견 항목을 생성합니다.
개별 발견 항목과 해당 감지 모듈은 Security Command Center 문서에 나와 있지 않습니다.
각 발견 항목에는 감지된 소프트웨어 취약점에 고유한 다음과 같은 정보가 포함됩니다.
- 영향을 받는 EC2 인스턴스의 전체 리소스 이름
- 다음 정보를 포함한 취약점에 대한 설명
- 취약점이 포함된 소프트웨어 패키지
- 연관된 CVE 레코드의 정보
- 취약점의 영향 및 익스플로잇 가능성에 대한 Mandiant의 평가
- Security Command Center의 취약점 심각도 평가
- 해결 우선순위를 선별하는 데 도움이 되는 공격 노출 점수
- 취약점으로 노출된 중요 리소스에 대해 공격자가 선택할 수 있는 경로의 시각적 표현
- 가능한 경우 취약점을 해결하는 데 사용할 수 있는 패치 또는 버전 업그레이드를 포함하여 문제를 해결하기 위해 취할 수 있는 조치
모든 AWS용 취약점 평가 발견 항목은 다음 속성 값을 공유합니다.
- 카테고리
Software vulnerability
- 클래스
Vulnerability
- 클라우드 서비스 제공업체
Amazon Web Services
- 소스
EC2 Vulnerability Assessment
Google Cloud 콘솔에서 발견 항목을 보는 방법은 Google Cloud 콘솔에서 발견 항목 검토를 참조하세요.
스캔 중에 사용되는 리소스
스캔 중에 AWS용 취약점 평가는 Google Cloud와 AWS 모두의 리소스를 사용합니다.
Google Cloud 리소스 사용량
AWS용 취약점 평가가 Google Cloud에서 사용하는 리소스는 Security Command Center 비용에 포함되어 있습니다.
이러한 리소스에는 테넌트 프로젝트, Cloud Storage 버킷, 워크로드 아이덴티티 제휴가 포함됩니다. 이러한 리소스는 Google Cloud에서 관리하며 활성 스캔 중에만 사용됩니다.
AWS용 취약점 평가는 또한 Cloud Asset API를 사용하여 AWS 계정 및 리소스에 대한 정보를 검색합니다.
AWS 리소스 사용량
AWS의 경우 AWS용 취약점 평가는 AWS Lambda 및 Amazon Virtual Private Cloud(Amazon VPC) 서비스를 사용합니다. 스캔이 완료되면 AWS용 취약점 평가 서비스에서 이러한 AWS 서비스를 더 이상 사용하지 않습니다.
AWS는 이러한 서비스 사용에 대한 요금을 AWS 계정에 청구하며, 이 사용량이 Security Command Center 또는 AWS용 취약점 평가 서비스와 연관된 것으로 식별하지 않습니다.
서비스 ID 및 권한
Google Cloud에서 수행하는 작업에 대해 AWS용 취약점 평가 서비스는 ID 및 Google Cloud 리소스 액세스 권한을 위해 조직 수준에서 다음 Security Command Center 서비스 에이전트를 사용합니다.
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
이 서비스 에이전트에는 AWS용 취약점 평가 서비스가 Cloud 애셋 인벤토리에서 대상 AWS 계정에 대한 정보를 검색하기 위해 사용하는 cloudasset.assets.listResource
권한이 포함되어 있습니다.
AWS용 취약점 평가가 AWS에서 실행하는 작업의 경우 필요한 AWS CloudFormation 템플릿을 구성할 때 AWS IAM 역할을 만들고 AWS용 취약점 평가 서비스에 역할을 할당합니다. 자세한 내용은 역할 및 권한을 참조하세요.