Layanan Penilaian Kerentanan untuk Amazon Web Services (AWS) mendeteksi kerentanan dalam paket software yang diinstal di instance Amazon EC2 (VM) di platform cloud AWS.
Layanan Penilaian Kerentanan untuk AWS memindai snapshot instance EC2 yang sedang berjalan, sehingga beban kerja produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal di mesin EC2 target.
Layanan Penilaian Kerentanan untuk AWS berjalan di layanan AWS Lambda dan men-deploy instance EC2 yang menghosting pemindai, membuat snapshot instance EC2 target, dan memindai snapshot.
Pemindaian berjalan sekitar tiga kali sehari.
Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS akan menghasilkan temuan di Security Command Center. Temuan adalah kumpulan data kerentanan yang berisi detail tentang resource AWS yang terpengaruh dan kerentanan, termasuk informasi dari kumpulan data Kerentanan dan Eksposur Umum (CVE) terkait.
Untuk informasi selengkapnya tentang temuan yang dihasilkan oleh Penilaian Kerentanan untuk AWS, lihat Temuan Penilaian Kerentanan untuk AWS.
Temuan yang dikeluarkan oleh Vulnerability Assessment for AWS
Saat layanan Penilaian Kerentanan untuk AWS mendeteksi kerentanan software di komputer AWS EC2, layanan akan mengeluarkan temuan di Security Command Center di Google Cloud.
Setiap temuan dan modul deteksi yang sesuai tidak tercantum dalam dokumentasi Security Command Center.
Setiap temuan berisi informasi berikut yang unik untuk kerentanan software yang terdeteksi:
- Nama resource lengkap instance EC2 yang terpengaruh
- Deskripsi kerentanan, termasuk informasi berikut:
- Paket software yang berisi kerentanan
- Informasi dari data CVE terkait
- Penilaian dari Mandiant tentang dampak dan eksploitabilitas kerentanan
- Penilaian dari Security Command Center tentang tingkat keparahan kerentanan
- Skor eksposur serangan untuk membantu Anda memprioritaskan perbaikan
- Representasi visual jalur yang mungkin diambil penyerang ke resource bernilai tinggi yang diekspos oleh kerentanan
- Jika tersedia, langkah-langkah yang dapat Anda lakukan untuk memperbaiki masalah, termasuk patch atau upgrade versi yang dapat Anda gunakan untuk mengatasi kerentanan
Semua temuan Penilaian Kerentanan untuk AWS memiliki nilai properti berikut:
- Kategori
Software vulnerability- Class
Vulnerability- Penyedia layanan Cloud
Amazon Web Services- Sumber
EC2 Vulnerability Assessment
Untuk informasi tentang cara melihat temuan di Konsol Google Cloud, lihat Meninjau temuan di Konsol Google Cloud.
Resource yang digunakan selama pemindaian
Selama pemindaian, Penilaian Kerentanan untuk AWS menggunakan resource di Google Cloud dan di AWS.
Penggunaan resource Google Cloud
Resource yang digunakan Vulnerability Assessment for AWS di Google Cloud disertakan dalam biaya Security Command Center.
Resource ini mencakup project tenant, bucket Cloud Storage, dan Workload Identity Federation. Resource ini dikelola oleh Google Cloud dan hanya digunakan selama pemindaian aktif.
Penilaian Kerentanan untuk AWS juga menggunakan Cloud Asset API untuk mengambil informasi tentang akun dan resource AWS.
Penggunaan resource AWS
Di AWS, Penilaian Kerentanan untuk AWS menggunakan layanan AWS Lambda dan Amazon Virtual Private Cloud (Amazon VPC). Setelah pemindaian selesai, layanan Penilaian Kerentanan untuk AWS berhenti menggunakan layanan AWS ini.
AWS menagih akun AWS Anda untuk penggunaan layanan ini dan tidak mengidentifikasi penggunaan tersebut sebagai terkait dengan Security Command Center atau layanan Vulnerability Assessment for AWS.
Identitas dan izin layanan
Untuk tindakan yang dilakukan di Google Cloud, layanan Vulnerability Assessment for AWS menggunakan agen layanan Security Command Center berikut di tingkat organisasi untuk identitas dan izin guna mengakses resource Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.
Agen layanan ini berisi izin cloudasset.assets.listResource,
yang digunakan layanan Penilaian Kerentanan untuk AWS guna mengambil informasi tentang
akun AWS target dari Inventaris Aset Cloud.
Untuk tindakan yang dilakukan Vulnerability Assessment for AWS di AWS, Anda membuat peran AWS IAM dan menetapkan peran tersebut ke layanan Vulnerability Assessment for AWS saat mengonfigurasi template AWS CloudFormation yang diperlukan. Untuk mendapatkan petunjuk, lihat Peran dan izin.