Die Sicherheitslückenbewertung für Amazon Web Services (AWS) erkennt Sicherheitslücken in Softwarepaketen, die auf Amazon EC2-Instanzen (VMs) auf der AWS-Cloudplattform installiert werden.
Die Sicherheitslückenbewertung für den AWS-Dienst scannt Snapshots der ausgeführten EC2-Instanzen, sodass Produktionsarbeitslasten nicht beeinträchtigt werden. Diese Scanmethode wird als Laufwerk ohne Agent bezeichnet, da auf den EC2-Zielmaschinen keine Agents installiert sind.
Der Dienst zur Sicherheitslückenbewertung für AWS wird mit dem AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots der Ziel-EC2-Instanzen erstellen und die Snapshots scannen.
Scans werden etwa dreimal pro Tag ausgeführt.
Für jede erkannte Sicherheitslücke generiert die Vulnerability Assessment for AWS ein Ergebnis in Security Command Center. Ein Ergebnis ist ein Datensatz der Sicherheitslücke, der Details zur betroffenen AWS-Ressource und zur Sicherheitslücke enthält, einschließlich Informationen aus dem zugehörigen Eintrag Common Vulnerability and Exposures (CVEs).
Weitere Informationen zu den Ergebnissen der Vulnerability Assessment für AWS finden Sie unter Vulnerability Assessment for AWS-Ergebnisse.
Von Vulnerability Assessment für AWS herausgegebene Ergebnisse
Wenn der Dienst zur Sicherheitslückenbewertung für AWS eine Sicherheitslücke in der Software auf einer AWS EC2-Maschine erkennt, gibt der Dienst ein Ergebnis in Security Command Center in Google Cloud aus.
Die einzelnen Ergebnisse und die entsprechenden Erkennungsmodule sind nicht in der Security Command Center-Dokumentation aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Sicherheitslücke in der Software eindeutig sind:
- Der vollständige Ressourcenname der betroffenen EC2-Instanz
- Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält
- Informationen aus dem zugehörigen CVE-Eintrag
- Bewertung der Auswirkungen und Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung des Schweregrads der Sicherheitslücke durch Security Command Center
- Eine Angriffsbewertung, die Ihnen hilft, die Schadensbehebung zu priorisieren
- Eine visuelle Darstellung des Wegs, den ein Angreifer zu den hochwertigen Ressourcen nehmen könnte, die von der Sicherheitslücke gefährdet sind
- Schritte zur Behebung des Problems, falls verfügbar, einschließlich des Patch- oder Versionsupgrades zum Beheben der Sicherheitslücke
Alle Ergebnisse der Vulnerability Assessment for AWS haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Aufrufen von Ergebnissen in der Google Cloud Console finden Sie unter Ergebnisse in der Google Cloud Console prüfen.
Ressourcen, die von Vulnerability Assessment für AWS während Scans verwendet werden
Während des Scans verwendet die Vulnerability Assessment for AWS Ressourcen sowohl in Google Cloud als auch in AWS.
Google Cloud-Ressourcennutzung
Die Ressourcen, die von der Vulnerability Assessment for AWS in Google Cloud verwendet werden, sind in den Kosten von Security Command Center enthalten.
Zu diesen Ressourcen gehören Mandantenprojekte, Cloud Storage-Buckets und die Workload Identity-Föderation. Diese Ressourcen werden von Google Cloud verwaltet und nur während aktiver Scans verwendet.
Vulnerability Assessment for AWS verwendet auch die Cloud Asset API, um Informationen zu AWS-Konten und -Ressourcen abzurufen.
AWS-Ressourcennutzung
In AWS verwendet die Vulnerability Assessment for AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC). Nach Abschluss des Scans werden diese AWS-Dienste von der Vulnerability Assessment for AWS-Dienste nicht mehr verwendet.
Die Nutzung dieser Dienste wird Ihrem AWS-Konto in Rechnung gestellt. Dabei wird nicht identifiziert, dass die Nutzung mit Security Command Center oder der Vulnerability Assessment for AWS-Dienst in Verbindung steht.
Dienstidentität und Berechtigungen
Für die Aktionen, die er in Google Cloud ausführt, wird der folgende Security Command Center-Dienst-Agent auf Organisationsebene für die Identität und die Berechtigung für den Zugriff auf Google Cloud-Ressourcen verwendet:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienst-Agent enthält die Berechtigung cloudasset.assets.listResource, mit der der Dienst „Vulnerability Assessment for AWS“ Informationen zu den AWS-Zielkonten aus Cloud Asset Inventory abruft.
Für die Aktionen, die die Vulnerability Assessment for AWS in AWS ausführt, erstellen Sie eine AWS IAM-Rolle und weisen sie dem Dienst „Vulnerability Assessment for AWS“ zu, wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.