Amazon Web Services (AWS) 漏洞评估服务可检测 AWS 云平台上 Amazon EC2 实例(虚拟机)上安装的软件包中的漏洞。
AWS 漏洞评估服务会扫描正在运行的 EC2 实例的快照,因此生产工作负载不会受到影响。由于目标 EC2 计算机上未安装任何代理,因此此扫描方法称为无代理磁盘扫描。
AWS 漏洞评估服务在 AWS Lambda 服务上运行,并部署托管扫描程序的 EC2 实例,创建目标 EC2 实例的快照,然后扫描快照。
扫描大约每天运行 3 次。
对于每个检测到的漏洞,AWS 漏洞评估工具都会在 Security Command Center 中生成一个发现结果。发现结果就是 漏洞(包含受影响 AWS 资源的详细信息) 包括来自相关常见 漏洞和披露 (CVE) 记录。
如需详细了解 AWS 漏洞评估生成的发现结果,请参阅 AWS 漏洞评估结果。
AWS 漏洞评估发出的发现结果
当 AWS 服务的漏洞评估检测到软件漏洞时 在 AWS EC2 机器上,该服务会在 Security Command Center 中发出发现结果 。
Security Command Center 文档中未列出具体发现结果及其对应的检测模块。
每项发现结果都包含以下仅适用于检测到的软件漏洞的信息:
- 受影响 EC2 实例的完整资源名称
- 漏洞的说明,包括以下信息:
- 包含漏洞的软件包
- 关联的 CVE 记录中的信息
- Mandiant 针对安全服务 漏洞
- Security Command Center 对漏洞严重程度的评估
- 攻击风险得分,可帮助您确定修复优先级
- 以可视化方式显示攻击者可能采取的路径,以便到达漏洞暴露的高价值资源
- 您可以采取哪些步骤来解决问题(如果有),包括 可用于修复漏洞的补丁或版本升级
所有 AWS 漏洞评估结果都具有以下属性值:
- 类别
Software vulnerability
- 类
Vulnerability
- 云服务提供商
Amazon Web Services
- 来源
EC2 Vulnerability Assessment
如需了解如何在 Google Cloud 控制台中查看发现结果,请参阅在 Google Cloud 控制台中查看发现结果。
扫描期间使用的资源
在扫描期间,AWS 漏洞评估会同时使用 Google Cloud 和 AWS 上的资源。
Google Cloud 资源用量
适用于 AWS 的漏洞评估在 Google Cloud 上使用的资源包含在 Security Command Center 的费用中。
这些资源包括租户项目、Cloud Storage 存储桶和工作负载身份联合。这些资源由 Google Cloud 管理, 仅在主动扫描期间使用。
适用于 AWS 的漏洞评估还使用 Cloud Asset API 检索有关 AWS 账号和资源的信息。
AWS 资源用量
在 AWS 上,AWS 漏洞评估工具使用 AWS Lambda 和 Amazon Virtual Private Cloud (Amazon VPC) 服务。扫描完成后,“AWS 漏洞评估”服务会停止使用这些 AWS 服务。
AWS 会向您的 AWS 账号收取使用费 并且未将使用情况标识为与 Security Command Center 或 AWS 服务的漏洞评估。
服务身份和权限
对于它在 Google Cloud 上执行的操作, AWS 服务的漏洞评估使用以下项 Security Command Center 服务代理 在组织级别设置身份和访问权限 Google Cloud 资源:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
此服务代理包含 cloudasset.assets.listResource
权限,AWS 漏洞评估服务使用此权限从 Cloud 资产目录检索目标 AWS 账号的相关信息。
对于 AWS 漏洞评估在 AWS 上执行的操作,您可以创建 AWS IAM 角色,并将该角色分配给 AWS 服务的漏洞评估 在配置所需的 AWS CloudFormation 模板时进行设置。如需了解相关说明,请参阅角色和权限。