Amazon Web Services (AWS) 服务的漏洞评估可检测 AWS 云平台上 Amazon EC2 实例(虚拟机)上安装的软件包中的漏洞。
AWS 服务的漏洞评估会扫描正在运行的 EC2 实例的快照,因此生产工作负载不会受到影响。这种扫描方法称为“无代理磁盘扫描”,因为目标 EC2 机器上未安装任何代理。
AWS 服务的漏洞评估在 AWS Lambda 服务上运行,并部署托管扫描程序、创建目标 EC2 实例的快照以及扫描快照的 EC2 实例。
扫描每天大约运行三次。
对于检测到的每个漏洞,AWS 的漏洞评估会在 Security Command Center 中生成一个发现结果。发现结果是漏洞记录,其中包含有关受影响的 AWS 资源和漏洞的详细信息,包括关联的常见漏洞和披露 (CVE) 记录中的信息。
如需详细了解 AWS 漏洞评估所生成的发现结果,请参阅 AWS 发现结果的漏洞评估。
Vulnerability Assessment 发布的针对 AWS 的发现结果
当 AWS 服务的漏洞评估在 AWS EC2 机器上检测到软件漏洞时,该服务会在 Google Cloud 上的 Security Command Center 中发出发现结果。
Security Command Center 文档中不会列出各个发现结果及其对应的检测模块。
每个发现结果都包含所检测到的软件漏洞的以下信息:
- 受影响 EC2 实例的完整资源名称
- 漏洞说明,包括以下信息:
- 包含此漏洞的软件包
- 相关 CVE 记录中的信息
- Mandiant 对漏洞的影响和可利用性的评估
- Security Command Center 针对漏洞严重程度的评估
- 攻击风险得分有助于您确定修复优先级
- 以可视化方式呈现攻击者访问漏洞所公开的高价值资源可能采取的路径
- 您可以采取的解决问题的步骤(包括可用于解决此漏洞的补丁或版本升级)(如果有)
AWS 发现结果的所有漏洞评估都具有以下属性值:
- 类别
Software vulnerability- 类
Vulnerability- 云服务提供商
Amazon Web Services- 来源
EC2 Vulnerability Assessment
如需了解如何在 Google Cloud 控制台中查看发现结果,请参阅在 Google Cloud 控制台中查看发现结果。
AWS 漏洞评估在扫描期间使用的资源
在扫描期间,AWS 的漏洞评估会同时使用 Google Cloud 和 AWS 上的资源。
Google Cloud 资源用量
AWS 的漏洞评估在 Google Cloud 上使用的资源包含在 Security Command Center 的费用中。
这些资源包括租户项目、Cloud Storage 存储分区、Workload Identity Federation。这些资源由 Google Cloud 管理,仅在活跃扫描期间使用,
AWS 的漏洞评估还使用 Cloud Asset API 来检索有关 AWS 帐号和资源的信息。
AWS 资源用量
在 AWS 上,AWS 漏洞评估使用 AWS Lambda 和 Amazon Virtual Private Cloud (Amazon VPC) 服务。扫描完成后,AWS 服务的漏洞评估将停止使用这些 AWS 服务。
AWS 会针对这些服务的使用向您的 AWS 帐号收费,但不会将使用量标识为与 Security Command Center 或 AWS 服务的漏洞评估相关联。
服务身份和权限
对于在 Google Cloud 上执行的操作,AWS 服务的漏洞评估会在组织级别使用以下 Security Command Center 服务代理,以获取身份和访问 Google Cloud 资源的权限:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
此服务代理包含 cloudasset.assets.listResource 权限,AWS 漏洞评估服务可使用该权限从 Cloud Asset Inventory 中检索目标 AWS 帐号的相关信息。
对于 AWS 的漏洞评估在 AWS 上执行的操作,您需要创建一个 AWS IAM 角色,并在配置所需的 AWS CloudFormation 模板时将该角色分配给 AWS 服务的漏洞评估。如需了解相关说明,请参阅角色和权限。