Layanan Penilaian Kerentanan untuk Amazon Web Services (AWS) mendeteksi kerentanan pada paket perangkat lunak yang diinstal pada Instance Amazon EC2 (VM) di platform cloud AWS.
Penilaian Kerentanan untuk layanan AWS memindai ringkasan EC2 yang sedang berjalan ke instance, sehingga beban kerja produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal di menargetkan komputer EC2.
Penilaian Kerentanan untuk layanan AWS berjalan di layanan AWS Lambda dan men-deploy instance EC2 yang menghosting pemindai, membuat snapshot instance EC2 target, dan memindai snapshot.
Pemindaian berjalan kira-kira tiga kali sehari.
Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS menghasilkan temukan di Security Command Center. Temuan adalah catatan kerentanan yang berisi detail tentang resource AWS yang terpengaruh dan kerentanan, termasuk informasi dari catatan Kerentanan dan Eksposur Umum (CVE) terkait.
Untuk informasi lebih lanjut tentang temuan yang dihasilkan oleh Penilaian Kerentanan untuk AWS, lihat Penilaian Kerentanan untuk temuan AWS.
Temuan yang dikeluarkan oleh Penilaian Kerentanan untuk AWS
Saat Penilaian Kerentanan untuk layanan AWS mendeteksi kerentanan software di komputer AWS EC2, layanan ini mengeluarkan temuan di Security Command Center dan aplikasi yang dihosting di Google Cloud.
Temuan individu dan modul deteksi yang sesuai tidak yang tercantum dalam dokumentasi Security Command Center.
Setiap temuan berisi informasi unik berikut yang terkait dengan kerentanan perangkat lunak yang terdeteksi:
- Nama resource lengkap dari instance EC2 yang terpengaruh
- Deskripsi kerentanan, termasuk informasi berikut:
- Paket perangkat lunak yang berisi kerentanan
- Informasi dari data CVE terkait
- Penilaian dari Mandiant tentang dampak dan eksploitasi kerentanan
- Penilaian dari Security Command Center tentang tingkat keparahan vulnerability
- Skor eksposur serangan untuk membantu Anda memprioritaskan perbaikan
- Representasi visual dari jalur yang mungkin diambil penyerang menuju resource bernilai tinggi yang terekspos kerentanan
- Jika tersedia, langkah-langkah yang dapat Anda lakukan untuk memperbaiki masalah tersebut, termasuk {i>patch<i} atau {i>upgrade <i}versi yang dapat Anda gunakan untuk mengatasi kerentanan
Semua Penilaian Kerentanan untuk temuan AWS memiliki nilai properti berikut:
- Kategori
Software vulnerability- Class
Vulnerability- Penyedia layanan Cloud
Amazon Web Services- Sumber
EC2 Vulnerability Assessment
Untuk mengetahui informasi tentang cara melihat temuan di Konsol Google Cloud, lihat Meninjau temuan di konsol Google Cloud.
Resource yang digunakan selama pemindaian
Selama pemindaian, Penilaian Kerentanan untuk AWS menggunakan resource di di AWS dan Google Cloud.
Penggunaan resource Google Cloud
Resource yang digunakan oleh Vulnerability Assessment untuk AWS di Google Cloud termasuk dalam biaya Security Command Center.
Referensi ini mencakup project tenant, Bucket Cloud Storage, dan Federasi Identitas Beban Kerja. Resource ini dikelola oleh Google Cloud dan hanya digunakan selama pemindaian aktif.
Penilaian Kerentanan untuk AWS juga menggunakan Cloud Asset API untuk mengambil informasi tentang akun dan resource AWS.
Penggunaan resource AWS
Di AWS, Penilaian Kerentanan untuk AWS menggunakan AWS Lambda dan Amazon Virtual Private Cloud (Amazon VPC) layanan IT perusahaan mereka. Setelah pemindaian selesai, penilaian Kerentanan untuk layanan AWS berhenti menggunakan layanan AWS ini.
AWS menagih akun AWS Anda untuk penggunaan layanan ini dan tidak mengidentifikasi penggunaannya terkait dengan Security Command Center atau Penilaian Kerentanan untuk layanan AWS.
Identitas layanan dan izin
Untuk tindakan yang dijalankannya di Google Cloud, Penilaian Kerentanan untuk layanan AWS menggunakan Agen layanan Security Command Center di tingkat organisasi untuk identitas dan izin untuk mengakses Referensi Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.
Agen layanan ini berisi cloudasset.assets.listResource
izin akses, yang digunakan oleh
Penilaian Kerentanan untuk layanan AWS untuk mengambil
informasi tentang akun AWS target dari
Inventaris Aset Cloud.
Untuk tindakan yang dilakukan oleh Penilaian Kerentanan untuk AWS di AWS, Anda membuat peran AWS IAM dan menetapkan peran ke layanan Vulnerability Assessment for AWS saat Anda mengonfigurasi template AWS CloudFormation yang diperlukan. Untuk petunjuk, lihat Peran dan izin.