AWS 漏洞评估概览

Amazon Web Services (AWS) 漏洞评估服务可检测 AWS 云平台上 Amazon EC2 实例 (VM) 上安装的软件包中的漏洞。

AWS 漏洞评估服务会扫描正在运行的 EC2 实例的快照,因此生产工作负载不会受到影响。由于目标 EC2 计算机上未安装任何代理,因此此扫描方法称为无代理磁盘扫描

AWS 漏洞评估服务在 AWS Lambda 服务上运行,并部署托管扫描程序的 EC2 实例,创建目标 EC2 实例的快照,然后扫描快照。

扫描大约每天运行 3 次。

对于每个检测到的漏洞,AWS 漏洞评估工具都会在 Security Command Center 中生成一个发现结果。发现结果是漏洞的记录,其中包含受影响的 AWS 资源和漏洞的详细信息,包括相关常见漏洞和披露 (CVE) 记录中的信息。

如需详细了解 AWS 漏洞评估生成的发现结果,请参阅 AWS 漏洞评估发现结果

AWS 漏洞评估发出的发现结果

当 AWS 漏洞评估服务在 AWS EC2 计算机上检测到软件漏洞时,该服务会在 Google Cloud 的 Security Command Center 中发出发现结果。

Security Command Center 文档中未列出具体发现结果及其对应的检测模块。

每项发现结果都包含以下仅与检测到的软件漏洞相关的信息:

  • 受影响 EC2 实例的完整资源名称
  • 漏洞的说明,包括以下信息:
    • 包含漏洞的软件包
    • 关联的 CVE 记录中的信息
    • Mandiant 对漏洞影响和可利用性的评估
    • Security Command Center 对漏洞严重程度的评估
  • 攻击风险得分,可帮助您确定修复优先级
  • 直观地显示攻击者可能采取的路径,以便攻击漏洞所暴露的高价值资源
  • 可用于解决问题的步骤(如果有),包括可用于解决漏洞的补丁或版本升级

所有 AWS 漏洞评估结果都具有以下属性值:

类别
Software vulnerability
Vulnerability
云服务提供商
Amazon Web Services
来源
EC2 Vulnerability Assessment

如需了解如何在 Google Cloud 控制台中查看发现结果,请参阅在 Google Cloud 控制台中查看发现结果

扫描期间使用的资源

在扫描期间,AWS 漏洞评估工具会同时使用 Google Cloud 和 AWS 上的资源。

Google Cloud 资源用量

适用于 AWS 的漏洞评估在 Google Cloud 上使用的资源包含在 Security Command Center 的费用中。

这些资源包括租户项目Cloud Storage 存储分区工作负载身份联合。这些资源由 Google Cloud 管理,仅在进行主动扫描期间使用。

AWS 漏洞评估还使用 Cloud Asset API 检索有关 AWS 账号和资源的信息。

AWS 资源用量

在 AWS 上,AWS 漏洞评估工具使用 AWS LambdaAmazon Virtual Private Cloud (Amazon VPC) 服务。扫描完成后,“AWS 漏洞评估”服务会停止使用这些 AWS 服务。

AWS 会针对您使用这些服务向您的 AWS 账号收费,但不会将相应使用情况标识为与 Security Command Center 或 AWS 漏洞评估服务相关。

服务身份和权限

对于在 Google Cloud 上执行的操作,“AWS 漏洞评估”服务会在组织级使用以下 Security Command Center 服务代理来获取身份和访问 Google Cloud 资源的权限:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

此服务代理包含 cloudasset.assets.listResource 权限,AWS 漏洞评估服务使用此权限从 Cloud 资产目录检索目标 AWS 账号的相关信息。

对于 AWS 漏洞评估在 AWS 上执行的操作,您可以在配置所需的 AWS CloudFormation 模板时创建 AWS IAM 角色,并将该角色分配给 AWS 漏洞评估服务。如需了解相关说明,请参阅角色和权限