Der Dienst „Sicherheitslückenbewertung für Amazon Web Services“ (AWS) erkennt Sicherheitslücken in Softwarepaketen, die auf Amazon EC2-Instanzen (VMs) auf der AWS-Cloud-Plattform installiert sind.
Die Sicherheitslückenbewertung für den AWS-Dienst scannt Snapshots der ausgeführten EC2-Instanzen, sodass Produktionsarbeitslasten nicht betroffen sind. Diese Scanmethode wird als Laufwerksscan ohne Agent bezeichnet, da auf den Ziel-EC2-Maschinen keine Agents installiert sind.
Die Sicherheitslückenbewertung für AWS wird im AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, die Scanner hosten, Snapshots der EC2-Zielinstanzen erstellen und die Snapshots scannen.
Scans werden etwa dreimal täglich ausgeführt.
Für jede erkannte Sicherheitslücke generiert die Sicherheitslückenbewertung für AWS ein Ergebnis in Security Command Center. Ein Ergebnis ist ein Datensatz der Sicherheitslücke mit Details zur betroffenen AWS-Ressource und zur Sicherheitslücke, einschließlich Informationen aus dem zugehörigen Datensatz Common Vulnerability and Exposures (CVEs).
Weitere Informationen zu den Ergebnissen der Sicherheitslückenbewertung für AWS finden Sie unter Sicherheitslückenbewertung für AWS-Ergebnisse.
Von der Sicherheitslückenbewertung für AWS ausgegebene Ergebnisse
Wenn die Sicherheitslückenbewertung für AWS eine Software-Sicherheitslücke auf einem AWS EC2-Computer erkennt, gibt der Dienst ein Ergebnis in Security Command Center in Google Cloud aus.
Die einzelnen Ergebnisse und die zugehörigen Erkennungsmodule sind in der Dokumentation zu Security Command Center nicht aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Software-Sicherheitslücke eindeutig sind:
- Der vollständige Ressourcenname der betroffenen EC2-Instanz
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket mit der Sicherheitslücke
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Einschätzung der Auswirkungen und der Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Bewertung des Schweregrads der Sicherheitslücke durch Security Command Center
- Eine Angriffsbewertung, die Ihnen bei der Priorisierung von Maßnahmen hilft
- Eine visuelle Darstellung des Pfades, den ein Angreifer zu den von der Sicherheitslücke gefährdeten hochwertigen Ressourcen nehmen könnte
- Falls verfügbar, Schritte zur Behebung des Problems, einschließlich des Patch- oder Versionsupgrades, mit dem Sie die Sicherheitslücke beheben können
Alle Sicherheitslückenbewertung für AWS-Ergebnisse haben die folgenden Attributwerte:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Aufrufen von Ergebnissen in der Google Cloud Console finden Sie unter Ergebnisse in der Google Cloud Console prüfen.
Ressourcen, die von der Sicherheitslückenbewertung für AWS während Scans verwendet werden
Während des Scans verwendet die Sicherheitslückenbewertung für AWS Ressourcen sowohl in Google Cloud als auch in AWS.
Google Cloud-Ressourcennutzung
Die Ressourcen, die die Sicherheitslückenbewertung für AWS in Google Cloud verwendet, sind in den Kosten von Security Command Center enthalten.
Zu diesen Ressourcen gehören Mandantenprojekte, Cloud Storage-Buckets und die Workload Identity-Föderation. Diese Ressourcen werden von Google Cloud verwaltet und nur während aktiver Scans,
Die Sicherheitslückenbewertung für AWS verwendet außerdem die Cloud Asset API, um Informationen über AWS-Konten und -Ressourcen abzurufen.
AWS-Ressourcennutzung
Auf AWS verwendet die Sicherheitslückenbewertung für AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC). Nach Abschluss des Scans werden diese AWS-Dienste von der Sicherheitslückenbewertung für den AWS-Dienst nicht mehr verwendet.
AWS stellt die Nutzung dieser Dienste über Ihr AWS-Konto in Rechnung. Die Nutzung wird dabei nicht als mit Security Command Center oder der Sicherheitslückenbewertung für den AWS-Dienst in Verbindung gebracht.
Dienstidentität und -berechtigungen
Für die Aktionen, die in Google Cloud ausgeführt werden, verwendet die Sicherheitslückenbewertung für AWS den folgenden Security Command Center-Dienst-Agent auf Organisationsebene für die Identität und für die Berechtigung zum Zugriff auf Google Cloud-Ressourcen:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienst-Agent enthält die Berechtigung cloudasset.assets.listResource, mit der die Sicherheitslückenbewertung für den AWS-Dienst Informationen zu den AWS-Zielkonten aus Cloud Asset Inventory abruft.
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS-IAM-Rolle und weisen diese dem Sicherheitslückenbewertung für den AWS-Dienst zu, wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.