Mit der Sicherheitslückenbewertung für Amazon Web Services (AWS) werden Sicherheitslücken in den folgenden AWS-Ressourcen erkannt:
- Softwarepakete, die auf Amazon EC2-Instanzen installiert sind
- Fehlkonfigurationen von Softwarepaketen und Betriebssystemen in ECR-Images (Elastic Container Registry)
Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Instanzen. Produktionsarbeitslasten sind daher nicht betroffen. Diese Scanmethode wird als agentloser Laufwerkscan bezeichnet, da auf den Ziel-EC2-Maschinen keine Agenten installiert sind.
Der Dienst „Sicherheitslückenbewertung für AWS“ wird auf dem AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots der Ziel-EC2-Instanzen erstellen und die Snapshots scannen.
Sie können das Scanintervall zwischen 6 und 24 Stunden festlegen.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Ergebnis in Security Command Center. Ein Ergebnis ist ein Eintrag für die Sicherheitslücke, der Details zur betroffenen AWS-Ressource und zur Sicherheitslücke enthält, einschließlich Informationen aus dem zugehörigen CVE-Eintrag (Common Vulnerabilities and Exposures).
Weitere Informationen zu den Ergebnissen der Sicherheitslückenbewertung für AWS finden Sie unter Ergebnisse der Sicherheitslückenbewertung für AWS.
Ergebnisse der Sicherheitslückenbewertung für AWS
Wenn das Sicherheitsrisiko-Assessment für AWS eine Softwarelücke auf einem AWS EC2-Rechner oder in einem Elastic Container Registry-Image erkennt, gibt der Dienst eine Sicherheitswarnung im Security Command Center in Google Cloudaus.
Die einzelnen Ergebnisse und die zugehörigen Erkennungsmodule sind nicht in der Security Command Center-Dokumentation aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke spezifisch sind:
- Der vollständige Ressourcenname der betroffenen Instanz oder des betroffenen Bildes
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch das Security Command Center
- Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den wertvollen Ressourcen nehmen könnte, die durch die Sicherheitslücke offengelegt werden
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder Versionsupgrades, mit dem die Sicherheitslücke geschlossen werden kann
Alle Ergebnisse der Sicherheitslückenbewertung für AWS haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Ansehen von Ergebnissen in der Google Cloud -Konsole finden Sie unter Ergebnisse in der Google Cloud -Konsole ansehen.
Bei der Suche verwendete Ressourcen
Während des Scans verwendet die Sicherheitsrisikobewertung für AWS sowohl Ressourcen in der Google Cloudals auch in AWS.
Google Cloud Ressourcennutzung
Die Ressourcen, die das Sicherheitsrisiko-Assessment für AWS in Google Cloud verwendet, sind in den Kosten für Security Command Center enthalten.
Zu diesen Ressourcen gehören Mandantenprojekte, Cloud Storage-Buckets und Workload Identity Federation. Diese Ressourcen werden von Google Cloud verwaltet und nur bei aktiven Scans verwendet.
Die Sicherheitslückenbewertung für AWS verwendet außerdem die Cloud Asset API, um Informationen zu AWS-Konten und ‑Ressourcen abzurufen.
AWS-Ressourcennutzung
In AWS verwendet die Sicherheitsrisikobewertung für AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC). Nach Abschluss des Scans werden diese AWS-Dienste vom Dienst „Sicherheitslückenbewertung für AWS“ nicht mehr verwendet.
AWS stellt Ihnen die Nutzung dieser Dienste in Rechnung und ordnet die Nutzung nicht dem Security Command Center oder dem Dienst „Vulnerability Assessment for AWS“ zu.
Dienstidentität und Berechtigungen
Für die Aktionen, die er in Google Cloudausführt, verwendet der Dienst „Vulnerability Assessment for AWS“ den folgenden Security Command Center-Dienstagenten auf Organisationsebene für Identität und Zugriffsberechtigung aufGoogle Cloud -Ressourcen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienstagent enthält die Berechtigung cloudasset.assets.listResource, mit der der Dienst „Vulnerability Assessment for AWS“ Informationen zu den Ziel-AWS-Konten aus dem Cloud Asset Inventory abrufen kann.
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS IAM-Rolle und weisen Sie die Rolle dem Dienst „Sicherheitslückenbewertung für AWS“ zu, wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.