Amazon Web Services (AWS) 服务的漏洞评估 安装在 Google Cloud 上的 Amazon EC2 实例 AWS 云平台上的虚拟机实例。
AWS 服务的漏洞评估会扫描正在运行的 EC2 的快照 实例,因此生产工作负载不受影响。此扫描方法是 称为无代理磁盘扫描,因为集群中没有安装任何代理 目标为 EC2 机器。
AWS 服务的漏洞评估在 AWS Lambda 服务上运行 并部署托管扫描程序、创建快照的 EC2 实例 目标 EC2 实例的映像,并扫描快照。
扫描每天大约运行三次。
对于检测到的每个漏洞,AWS 漏洞评估 (Vulnerability Assessment for AWS) 都会生成 Security Command Center 中的发现结果。发现结果就是 包含受影响 AWS 资源的详细信息和 包括来自相关常见 漏洞和披露 (CVE) 记录。
如需详细了解 AWS 漏洞评估,请参阅 AWS 发现结果的漏洞评估。
Vulnerability Assessment 发布的针对 AWS 的发现结果
当 AWS 服务的漏洞评估检测到软件漏洞时 在 AWS EC2 机器上,该服务会在 Security Command Center 中发出发现结果 。
各个发现结果及其对应的检测模块 请参阅 Security Command Center 文档。
每个发现结果都包含以下信息,这些信息是 已检测到软件漏洞:
- 受影响 EC2 实例的完整资源名称
- 对漏洞的说明,包括以下信息:
<ph type="x-smartling-placeholder">
- </ph>
- 包含此漏洞的软件包
- 相关 CVE 记录中的信息
- Mandiant 针对安全服务 漏洞
- Security Command Center 针对 漏洞
- 攻击风险得分有助于您确定修复优先级
- 攻击者可能经过的路径的可视化表示 存在漏洞的高价值资源
- 您可以采取哪些步骤来解决问题(如果有),包括 可用于修复漏洞的补丁或版本升级
AWS 发现结果的所有漏洞评估都具有以下属性值:
- 类别
Software vulnerability- 类
Vulnerability- 云服务提供商
Amazon Web Services- 来源
EC2 Vulnerability Assessment
如需了解如何在 Google Cloud 控制台中查看发现结果,请参阅 在 Google Cloud 控制台中查看发现结果。
AWS 漏洞评估在扫描期间使用的资源
在扫描期间,AWS 的漏洞评估会使用 以及 Google Cloud 和 AWS 提供的服务
Google Cloud 资源用量
AWS 漏洞评估在 Google Cloud 上使用的资源 包含在 Security Command Center 的费用中。
这些资源包括 租户项目 Cloud Storage 存储分区、Workload Identity Federation。 这些资源由 Google Cloud 管理, 仅在主动扫描期间使用
AWS 的漏洞评估还使用 Cloud Asset API 检索 提供有关 AWS 账号和资源的信息
AWS 资源用量
在 AWS 上,AWS 漏洞评估使用 AWS Lambda 和 Amazon Virtual Private Cloud (Amazon VPC) 服务。扫描完成后,AWS 服务的漏洞评估 停止使用这些 AWS 服务。
AWS 会向您的 AWS 账号收取使用费 并且未将使用情况标识为与 Security Command Center 或 AWS 服务的漏洞评估。
服务身份和权限
对于它在 Google Cloud 上执行的操作, AWS 服务的漏洞评估使用以下项 Security Command Center 服务代理 在组织级别设置身份和访问权限 Google Cloud 资源:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
此服务代理包含cloudasset.assets.listResource
权限,AWS 服务的漏洞评估服务使用该权限来检索
Cloud Asset Inventory 中有关目标 AWS 账号的信息。
对于 AWS 漏洞评估在 AWS 上执行的操作,您可以创建 AWS IAM 角色,并将该角色分配给 AWS 服务的漏洞评估 时,您需要配置所需的 AWS CloudFormation 模板。如需相关说明, 请参阅角色和权限。