Mit der Sicherheitslückenbewertung für Amazon Web Services (AWS) werden Sicherheitslücken in den folgenden AWS-Ressourcen erkannt:
- Softwarepakete, die auf Amazon EC2-Instanzen installiert sind
- Fehlkonfigurationen von Softwarepaketen und Betriebssystemen in ECR-Images (Elastic Container Registry)
Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Instanzen. Produktionsarbeitslasten sind daher nicht betroffen. Diese Scanmethode wird als agentloser Laufwerkscan bezeichnet, da auf den Ziel-EC2-Maschinen keine Agenten installiert sind.
Der Dienst „Sicherheitslückenbewertung für AWS“ wird auf dem AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots der Ziel-EC2-Instanzen erstellen und die Snapshots scannen.
Sie können das Scanintervall zwischen 6 und 24 Stunden festlegen.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Ergebnis in Security Command Center. Ein Ergebnis ist ein Eintrag für die Sicherheitslücke, der Details zur betroffenen AWS-Ressource und zur Sicherheitslücke enthält, einschließlich Informationen aus dem zugehörigen CVE-Eintrag (Common Vulnerabilities and Exposures).
Weitere Informationen zu den Ergebnissen der Sicherheitslückenbewertung für AWS finden Sie unter Ergebnisse der Sicherheitslückenbewertung für AWS.
Von der Sicherheitslückenbewertung für AWS generierte Ergebnisse
Wenn der Dienst „Vulnerability Assessment for AWS“ eine Softwarelücke auf einer AWS EC2-Maschine oder in einem Elastic Container Registry-Image erkennt, generiert der Dienst am Google Cloudeinen Befund im Security Command Center.
Die einzelnen Ergebnisse und die zugehörigen Erkennungsmodule sind in der Security Command Center-Dokumentation nicht aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke spezifisch sind:
- Der vollständige Ressourcenname der betroffenen Instanz oder des betroffenen Bildes
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch das Security Command Center
- Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den wertvollen Ressourcen nehmen könnte, die durch die Sicherheitslücke offengelegt werden
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder Versionsupgrades, mit dem die Sicherheitslücke geschlossen werden kann
Alle Ergebnisse der Sicherheitslückenbewertung für AWS haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Ansehen von Ergebnissen in der Google Cloud Console finden Sie unter Ergebnisse in der Google Cloud Console ansehen.
Bei der Suche verwendete Ressourcen
Während des Scans verwendet die Sicherheitslückenbewertung für AWS sowohl Ressourcen auf Google Cloudals auch auf AWS.
Google Cloud Ressourcennutzung
Die Ressourcen, die für die Sicherheitslückenbewertung für AWS verwendet werden, sind in den Kosten für Security Command Center enthalten. Google Cloud
Zu diesen Ressourcen gehören Mandantenprojekte, Cloud Storage-Buckets und Workload Identity Federation. Diese Ressourcen werden von Google Cloud verwaltet und nur während aktiver Scans verwendet.
Die Sicherheitslückenbewertung für AWS verwendet außerdem die Cloud Asset API, um Informationen zu AWS-Konten und ‑Ressourcen abzurufen.
AWS-Ressourcennutzung
In AWS verwendet die Sicherheitsrisikobewertung für AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC). Nach Abschluss des Scans werden diese AWS-Dienste vom Dienst „Sicherheitslückenbewertung für AWS“ nicht mehr verwendet.
AWS stellt Ihnen die Nutzung dieser Dienste in Rechnung und ordnet die Nutzung nicht dem Security Command Center oder dem AWS-Dienst „Vulnerability Assessment“ zu.
Dienstidentität und Berechtigungen
Für die Aktionen, die auf Google Cloudausgeführt werden, verwendet der Dienst „Vulnerability Assessment for AWS“ den folgenden Security Command Center-Dienstagenten auf Organisationsebene für Identität und Berechtigung zum Zugriff aufGoogle Cloud -Ressourcen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienstagent enthält die Berechtigung cloudasset.assets.listResource, mit der der Dienst „Vulnerability Assessment for AWS“ Informationen zu den Ziel-AWS-Konten aus dem Cloud Asset Inventory abrufen kann.
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS IAM-Rolle und weisen Sie die Rolle dem Dienst „Sicherheitslückenbewertung für AWS“ zu, wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.