Mit der Sicherheitslückenbewertung für Amazon Web Services (AWS) werden Sicherheitslücken in Softwarepaketen erkannt, die auf Amazon EC2-Instanzen (VMs) auf der AWS-Cloud-Plattform installiert sind.
Die Sicherheitslückenbewertung für den AWS-Dienst scannt Snapshots der ausgeführten EC2-Instanz damit Produktionsarbeitslasten nicht beeinträchtigt werden. Diese Scanmethode wird als agentloser Laufwerkscan bezeichnet, da auf den Ziel-EC2-Maschinen keine Agenten installiert sind.
Der Dienst „Sicherheitslückenbewertung für AWS“ wird auf dem AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots der Ziel-EC2-Instanzen erstellen und die Snapshots scannen.
Scans werden etwa dreimal täglich ausgeführt.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS einen finden in Security Command Center. Ein Ergebnis ist ein Eintrag zur Sicherheitslücke, der Details zur betroffenen AWS-Ressource und zur Sicherheitslücke enthält, einschließlich Informationen aus dem zugehörigen CVE-Eintrag (Common Vulnerabilities and Exposures).
Weitere Informationen zu den Ergebnissen, Sicherheitslückenbewertung für AWS, siehe Sicherheitslückenbewertung für AWS-Ergebnisse
Ergebnisse der Sicherheitslückenbewertung für AWS
Wenn das Sicherheitsrisiko-Assessment für AWS-Dienste eine Softwarelücke auf einem AWS EC2-Rechner erkennt, gibt der Dienst eine Meldung in Security Command Center in Google Cloud aus.
Die einzelnen Ergebnisse und die zugehörigen Erkennungsmodule in der Security Command Center-Dokumentation aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke spezifisch sind:
- Der vollständige Ressourcenname der betroffenen EC2-Instanz
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch das Security Command Center
- Eine Bewertung der Angriffsgefahr, mit der Sie die Behebung priorisieren können
- Eine visuelle Darstellung des möglichen Wegs eines Angreifers zum hochwertige Ressourcen, die von der Sicherheitslücke gefährdet sind
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patches oder Versionsupdates, mit dem die Sicherheitslücke geschlossen werden kann
Alle Ergebnisse der Sicherheitslückenbewertung für AWS haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Ansehen von Ergebnissen in der Google Cloud Console finden Sie unter Ergebnisse in der Google Cloud Console ansehen.
Bei der Suche verwendete Ressourcen
Während des Scans verwendet die Sicherheitslückenbewertung für AWS sowohl Ressourcen in Google Cloud als auch in AWS.
Google Cloud-Ressourcennutzung
Die Ressourcen, die von der Sicherheitslückenbewertung für AWS in Google Cloud verwendet werden sind in den Kosten für Security Command Center enthalten.
Zu diesen Ressourcen gehören Mandantenprojekte Cloud Storage-Buckets und Workload Identity-Föderation. Diese Ressourcen werden von Google Cloud verwaltet und nur während aktiver Scans verwendet werden.
Die Sicherheitslückenbewertung für AWS verwendet auch die Cloud Asset API, um Informationen zu AWS-Konten und ‑Ressourcen abzurufen.
AWS-Ressourcennutzung
In AWS verwendet die Sicherheitsrisikobewertung für AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC). Nach Abschluss des Scans werden diese AWS-Dienste vom Dienst „Sicherheitslückenbewertung für AWS“ nicht mehr verwendet.
AWS stellt die Nutzung über Ihr AWS-Konto in Rechnung. dieser Dienste und lässt nicht deutlich zu, dass die Nutzung mit Security Command Center oder die Sicherheitslückenbewertung für den AWS-Dienst.
Dienstidentität und -berechtigungen
Für die Aktionen, die der Dienst „Vulnerability Assessment for AWS“ in Google Cloud ausführt, verwendet er den folgenden Security Command Center-Dienstagenten auf Organisationsebene für Identität und Berechtigung zum Zugriff auf Google Cloud-Ressourcen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienst-Agent enthält die cloudasset.assets.listResource
Berechtigung, die die Sicherheitslückenbewertung für den AWS-Dienst zum Abrufen verwendet
Informationen zu den AWS-Zielkonten aus
Cloud Asset Inventory:
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS-IAM-Rolle und weisen Sie die Rolle der Sicherheitslückenbewertung für den AWS-Dienst zu wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.