Die Sicherheitslückenbewertung für Amazon Web Services (AWS) erkennt Sicherheitslücken in Softwarepaketen, die auf Amazon EC2-Instanzen (VMs) auf der AWS-Cloud-Plattform installiert sind.
Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Instanzen. Produktionsarbeitslasten sind daher nicht betroffen. Diese Scanmethode wird als agentloser Laufwerkscan bezeichnet, da auf den Ziel-EC2-Maschinen keine Agenten installiert sind.
Der Dienst „Sicherheitslückenbewertung für AWS“ wird auf dem AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots der Ziel-EC2-Instanzen erstellen und die Snapshots scannen.
Die Scans werden etwa dreimal täglich ausgeführt.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Ergebnis in Security Command Center. Ein Ergebnis ist ein Eintrag für die Sicherheitslücke, der Details zur betroffenen AWS-Ressource und zur Sicherheitslücke enthält, einschließlich Informationen aus dem zugehörigen CVE-Eintrag (Common Vulnerabilities and Exposures).
Weitere Informationen zu den Ergebnissen der Sicherheitslückenbewertung für AWS finden Sie unter Ergebnisse der Sicherheitslückenbewertung für AWS.
Ergebnisse der Sicherheitslückenbewertung für AWS
Wenn die Sicherheitsrisikobewertung für AWS-Dienste eine Softwarelücke auf einem AWS EC2-Rechner erkennt, gibt der Dienst eine Meldung in Security Command Center in Google Cloud aus.
Die einzelnen Ergebnisse und die zugehörigen Erkennungsmodule sind nicht in der Security Command Center-Dokumentation aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke spezifisch sind:
- Der vollständige Ressourcenname der betroffenen EC2-Instanz
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch das Security Command Center
- Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den wertvollen Ressourcen nehmen könnte, die durch die Sicherheitslücke offengelegt werden
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder Versionsupgrades, mit dem die Sicherheitslücke geschlossen werden kann
Alle Ergebnisse der Sicherheitslückenbewertung für AWS haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Ansehen von Ergebnissen in der Google Cloud Console finden Sie unter Ergebnisse in der Google Cloud Console ansehen.
Bei der Suche verwendete Ressourcen
Während des Scans verwendet die Sicherheitslückenbewertung für AWS sowohl Ressourcen in Google Cloud als auch in AWS.
Google Cloud-Ressourcennutzung
Die Ressourcen, die die Sicherheitsrisikobewertung für AWS in Google Cloud verwendet, sind in den Kosten für Security Command Center enthalten.
Zu diesen Ressourcen gehören Mandantenprojekte, Cloud Storage-Buckets und Workload Identity-Föderation. Diese Ressourcen werden von Google Cloud verwaltet und nur bei aktiven Scans verwendet.
Die Sicherheitslückenbewertung für AWS verwendet außerdem die Cloud Asset API, um Informationen zu AWS-Konten und ‑Ressourcen abzurufen.
AWS-Ressourcennutzung
In AWS verwendet die Sicherheitsrisikobewertung für AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC). Nach Abschluss des Scans werden diese AWS-Dienste vom Dienst „Sicherheitslückenbewertung für AWS“ nicht mehr verwendet.
AWS stellt Ihnen die Nutzung dieser Dienste in Rechnung und ordnet die Nutzung nicht dem Security Command Center oder dem AWS-Dienst „Vulnerability Assessment“ zu.
Dienstidentität und Berechtigungen
Für die Aktionen, die der Dienst „Vulnerability Assessment for AWS“ in Google Cloud ausführt, verwendet er den folgenden Security Command Center-Dienstagenten auf Organisationsebene für Identität und Berechtigung zum Zugriff auf Google Cloud-Ressourcen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienstagent enthält die Berechtigung cloudasset.assets.listResource, mit der der Dienst „Vulnerability Assessment for AWS“ Informationen zu den Ziel-AWS-Konten aus dem Cloud Asset Inventory abrufen kann.
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS IAM-Rolle und weisen Sie die Rolle dem Dienst „Sicherheitslückenbewertung für AWS“ zu, wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.