Der AWS-Dienst (Vulnerability Assessment for Amazon Web Services) erkennt Sicherheitslücken in Softwarepakete, die auf dem Amazon EC2-Instanzen (VMs) auf der AWS-Cloud-Plattform.
Die Sicherheitslückenbewertung für den AWS-Dienst scannt Snapshots der ausgeführten EC2-Instanz damit Produktionsarbeitslasten nicht beeinträchtigt werden. Diese Scanmethode ist als Laufwerksscan ohne Agent bezeichnet, da auf dem Ziel-EC2-Maschinen.
Die Sicherheitslückenbewertung für AWS wird auf dem AWS Lambda-Dienst ausgeführt. und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots erstellen der EC2-Zielinstanzen und scannen die Snapshots.
Scans werden etwa dreimal täglich ausgeführt.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS einen finden in Security Command Center. Ein Ergebnis ist eine Aufzeichnung der Sicherheitslücke, die Details über die betroffene AWS-Ressource und der Sicherheitslücke, einschließlich Informationen aus der zugehörigen Common Sicherheitslücken und Schwachstellen (CVEs) Datensatz.
Weitere Informationen zu den Ergebnissen, Sicherheitslückenbewertung für AWS, siehe Sicherheitslückenbewertung für AWS-Ergebnisse
Von der Sicherheitslückenbewertung für AWS ausgegebene Ergebnisse
Wenn die Sicherheitslückenbewertung für den AWS-Dienst eine Sicherheitslücke in der Software erkennt Auf einem AWS EC2-Computer gibt der Dienst ein Ergebnis in Security Command Center aus. in Google Cloud.
Die einzelnen Ergebnisse und die zugehörigen Erkennungsmodule in der Security Command Center-Dokumentation aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für das erkannte Software-Sicherheitslücke:
- Der vollständige Ressourcenname der betroffenen EC2-Instanz
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
<ph type="x-smartling-placeholder">
- </ph>
- Das Softwarepaket mit der Sicherheitslücke
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Einschätzung von Mandiant zu den Auswirkungen und der Ausnutzbarkeit des Sicherheitslücke
- Eine Bewertung durch Security Command Center zum Sicherheitslücke
- Eine Angriffsbewertung, die Ihnen bei der Priorisierung von Maßnahmen hilft
- Eine visuelle Darstellung des möglichen Wegs eines Angreifers zum hochwertige Ressourcen, die von der Sicherheitslücke gefährdet sind
- Sofern verfügbar, können Sie Schritte zur Behebung des Problems unternehmen, einschließlich der Patch- oder Versionsupgrade, mit dem Sie die Sicherheitslücke beheben können
Alle Sicherheitslückenbewertung für AWS-Ergebnisse haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Aufrufen von Ergebnissen in der Google Cloud Console finden Sie unter Sehen Sie sich die Ergebnisse in der Google Cloud Console an.
Ressourcen, die von der Sicherheitslückenbewertung für AWS während Scans verwendet werden
Während des Scanvorgangs verwendet die Sicherheitslückenbewertung für AWS Ressourcen in beiden Google Cloud und AWS.
Google Cloud-Ressourcennutzung
Die Ressourcen, die von der Sicherheitslückenbewertung für AWS in Google Cloud verwendet werden sind in den Kosten für Security Command Center enthalten.
Zu diesen Ressourcen gehören Mandantenprojekte Cloud Storage-Buckets, Workload Identity-Föderation. Diese Ressourcen werden von Google Cloud verwaltet und die nur bei aktiven Scans verwendet werden,
Bei der Sicherheitslückenbewertung für AWS wird die Cloud Asset API auch zum Abrufen Informationen zu AWS-Konten und -Ressourcen.
AWS-Ressourcennutzung
In AWS verwendet die Sicherheitslückenbewertung für AWS die AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC) . Nach Abschluss des Scanvorgangs wird die Sicherheitslückenbewertung für den AWS-Dienst ausgeführt. diese AWS-Dienste nicht mehr verwenden.
AWS stellt die Nutzung über Ihr AWS-Konto in Rechnung. dieser Dienste und lässt nicht deutlich zu, dass die Nutzung mit Security Command Center oder die Sicherheitslückenbewertung für den AWS-Dienst.
Dienstidentität und -berechtigungen
Für die Aktionen, die es in Google Cloud ausführt, Die Sicherheitslückenbewertung für den AWS-Dienst verwendet Folgendes: Security Command Center-Dienst-Agent auf Organisationsebene für die Identität und für die Zugriffsberechtigung Google Cloud-Ressourcen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienst-Agent enthält die cloudasset.assets.listResource
Berechtigung, die die Sicherheitslückenbewertung für den AWS-Dienst zum Abrufen verwendet
Informationen zu den AWS-Zielkonten aus Cloud Asset Inventory.
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS-IAM-Rolle und weisen Sie die Rolle der Sicherheitslückenbewertung für den AWS-Dienst zu wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung dazu finden Sie Siehe Rollen und Berechtigungen.