Layanan Vulnerability Assessment for Amazon Web Services (AWS) mendeteksi kerentanan dalam paket software yang diinstal di instance Amazon EC2 (VM) di platform cloud AWS.
Penilaian Kerentanan untuk layanan AWS memindai snapshot instance EC2 yang sedang berjalan, sehingga workload produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal pada mesin EC2 target.
Layanan Penilaian Kerentanan untuk layanan AWS berjalan di layanan AWS Lambda dan men-deploy instance EC2 yang menghosting pemindai, membuat snapshot instance EC2 target, serta memindai snapshot.
Pemindaian berjalan kira-kira tiga kali sehari.
Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS akan menghasilkan penemuan di Security Command Center. Temuan adalah catatan kerentanan yang berisi detail tentang resource AWS yang terpengaruh dan kerentanannya, termasuk informasi dari kumpulan data Kerentanan dan Eksposur Umum (CVE) terkait.
Untuk mengetahui informasi selengkapnya tentang temuan yang dihasilkan oleh Penilaian Kerentanan untuk AWS, lihat Penilaian Kerentanan untuk temuan AWS.
Temuan yang dikeluarkan oleh Penilaian Kerentanan untuk AWS
Saat Penilaian Kerentanan untuk layanan AWS mendeteksi kerentanan software di komputer AWS EC2, layanan akan memunculkan temuan di Security Command Center di Google Cloud.
Setiap temuan dan modul deteksi yang sesuai tidak tercantum dalam dokumentasi Security Command Center.
Setiap temuan berisi informasi unik berikut yang unik untuk kerentanan software yang terdeteksi:
- Nama resource lengkap dari instance EC2 yang terpengaruh
- Deskripsi kerentanan, termasuk informasi berikut:
- Paket perangkat lunak yang berisi kerentanan
- Informasi dari data CVE terkait
- Penilaian dari Mandiant tentang dampak dan eksploitasi kerentanan
- Penilaian dari Security Command Center tentang tingkat keparahan kerentanan
- Skor eksposur serangan untuk membantu Anda memprioritaskan perbaikan
- Representasi visual jalur yang mungkin diambil penyerang ke resource bernilai tinggi yang diekspos oleh kerentanan
- Jika tersedia, langkah-langkah yang dapat Anda lakukan untuk memperbaiki masalah tersebut, termasuk patch atau upgrade versi yang dapat digunakan untuk mengatasi kerentanan
Semua Penilaian Kerentanan untuk temuan AWS memiliki nilai properti berikut:
- Kategori
Software vulnerability- Class
Vulnerability- Penyedia layanan Cloud
Amazon Web Services- Sumber
EC2 Vulnerability Assessment
Untuk mengetahui informasi tentang cara melihat temuan di Konsol Google Cloud, lihat Meninjau temuan di Konsol Google Cloud.
Resource yang digunakan oleh Penilaian Kerentanan untuk AWS selama pemindaian
Selama pemindaian, Penilaian Kerentanan untuk AWS menggunakan resource di Google Cloud dan di AWS.
Penggunaan resource Google Cloud
Resource yang digunakan oleh Penilaian Kerentanan untuk AWS di Google Cloud termasuk dalam biaya Security Command Center.
Resource ini mencakup project tenant, bucket Cloud Storage, dan Workload Identity Federation. Resource ini dikelola Google Cloud dan hanya digunakan selama pemindaian
Penilaian Kerentanan untuk AWS juga menggunakan Cloud Asset API untuk mengambil informasi tentang akun dan resource AWS.
Penggunaan resource AWS
Di AWS, Vulnerability Assessment for AWS menggunakan layanan AWS Lambda dan Amazon Virtual Private Cloud (Amazon VPC). Setelah pemindaian selesai, Penilaian Kerentanan untuk layanan AWS akan berhenti menggunakan layanan AWS ini.
AWS menagih akun AWS Anda untuk penggunaan layanan ini dan tidak mengidentifikasi penggunaannya terkait dengan Security Command Center atau Penilaian Kerentanan untuk layanan AWS.
Identitas layanan dan izin
Untuk tindakan yang dijalankan di Google Cloud, layanan Penilaian Kerentanan untuk AWS menggunakan agen layanan Security Command Center berikut di tingkat organisasi untuk identitas dan izin untuk mengakses resource Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Agen layanan ini berisi izin cloudasset.assets.listResource, yang digunakan oleh layanan Vulnerability Assessment for AWS untuk mengambil informasi tentang akun AWS target dari Inventaris Aset Cloud.
Untuk tindakan yang dilakukan oleh Penilaian Kerentanan untuk AWS di AWS, Anda perlu membuat peran IAM AWS dan menetapkan peran tersebut ke layanan Penilaian Kerentanan untuk layanan AWS saat Anda mengonfigurasi template AWS CloudFormation yang diperlukan. Untuk mengetahui petunjuknya, lihat Peran dan izin.