Der Dienst „Sicherheitslückenbewertung für Amazon Web Services (AWS)“ erkennt Sicherheitslücken in den folgenden AWS-Ressourcen:
- Auf Amazon EC2-Instanzen installierte Softwarepakete
- Softwarepakete und Fehlkonfigurationen des Betriebssystems in Elastic Container Registry-Images (ECR)
Der Dienst „Sicherheitslückenbewertung für AWS“ scannt Snapshots der laufenden EC2-Instanzen, sodass Produktionsarbeitslasten nicht beeinträchtigt werden. Diese Scanmethode wird als agentenloses Scannen von Datenträgern bezeichnet, da keine Agents auf den Ziel-EC2-Instanzen installiert sind.
Der Dienst „Sicherheitslückenbewertung für AWS“ wird im AWS Lambda-Dienst ausgeführt und stellt EC2-Instanzen bereit, auf denen Scanner gehostet werden. Außerdem werden Snapshots der Ziel-EC2-Instanzen erstellt und gescannt.
Sie können das Scanintervall zwischen 6 und 24 Stunden festlegen.
Für jede erkannte Sicherheitslücke wird von der Sicherheitslückenbewertung für AWS ein Ergebnis in Security Command Center generiert. Ein Ergebnis ist ein Datensatz der Sicherheitslücke, der Details zur betroffenen AWS-Ressource und zur Sicherheitslücke enthält, einschließlich Informationen aus dem zugehörigen Datensatz Common Vulnerability and Exposures (CVEs).
Weitere Informationen zu den Ergebnissen der Sicherheitslückenbewertung für AWS finden Sie unter Ergebnisse der Sicherheitslückenbewertung für AWS.
Von der Sicherheitslückenbewertung für AWS generierte Ergebnisse
Wenn der Dienst „Vulnerability Assessment for AWS“ eine Softwarelücke auf einer AWS EC2-Maschine oder in einem Elastic Container Registry-Image erkennt, wird in Security Command Center unter Google Cloudein Ergebnis generiert.
Die einzelnen Ergebnisse und die entsprechenden Erkennungsmodule sind nicht in der Security Command Center-Dokumentation aufgeführt.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke eindeutig sind:
- Der vollständige Ressourcenname der betroffenen Instanz oder des betroffenen Bildes
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und der Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch Security Command Center
- Eine Bewertung der Angriffsgefahr, die Ihnen hilft, die Behebung von Problemen zu priorisieren
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den hochwertigen Ressourcen nehmen könnte, die durch die Sicherheitslücke gefährdet sind
- Falls verfügbar, Schritte, die Sie zur Behebung des Problems ausführen können, einschließlich des Patches oder Versionsupgrades, mit dem Sie die Sicherheitslücke beheben können
Alle Ergebnisse der Sicherheitslückenbewertung für AWS haben die folgenden Attributwerte gemeinsam:
- Kategorie
Software vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Amazon Web Services- Quelle
EC2 Vulnerability Assessment
Informationen zum Ansehen von Ergebnissen in der Google Cloud Console finden Sie unter Ergebnisse in der Google Cloud Console ansehen.
Bei Scans verwendete Ressourcen
Beim Scannen verwendet die Sicherheitslückenbewertung für AWS Ressourcen sowohl auf Google Cloudals auch auf AWS.
Google Cloud Ressourcennutzung
Die Ressourcen, die von der Sicherheitslückenbewertung für AWS auf Google Cloud verwendet werden, sind in den Kosten für Security Command Center enthalten.
Diese Ressourcen umfassen Mandantenprojekte, Cloud Storage-Buckets und Workload Identity Federation. Diese Ressourcen werden von Google Cloud verwaltet und nur während aktiver Scans verwendet.
Die Sicherheitslückenbewertung für AWS verwendet auch die Cloud Asset API, um Informationen zu AWS-Konten und ‑Ressourcen abzurufen.
AWS-Ressourcennutzung
Bei AWS werden für die Sicherheitsüberprüfung für AWS die Dienste AWS Lambda und Amazon Virtual Private Cloud (Amazon VPC) verwendet. Nach Abschluss des Scans wird der Dienst „Sicherheitslückenbewertung für AWS“ diese AWS-Dienste nicht mehr verwenden.
AWS stellt die Nutzung dieser Dienste über Ihr AWS-Konto in Rechnung und gibt nicht an, dass die Nutzung mit Security Command Center oder dem Dienst „Vulnerability Assessment for AWS“ zusammenhängt.
Dienstidentität und Berechtigungen
Für die Aktionen, die der Dienst „Vulnerability Assessment for AWS“ für Google Cloudausführt, wird der folgende Security Command Center-Dienst-Agent auf Organisationsebene für die Identität und die Berechtigung für den Zugriff aufGoogle Cloud -Ressourcen verwendet:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Dieser Dienst-Agent enthält die Berechtigung cloudasset.assets.listResource, die vom Dienst „Vulnerability Assessment for AWS“ verwendet wird, um Informationen zu den AWS-Zielkonten aus Cloud Asset Inventory abzurufen.
Für die Aktionen, die die Sicherheitslückenbewertung für AWS in AWS ausführt, erstellen Sie eine AWS IAM-Rolle und weisen sie dem Dienst „Sicherheitslückenbewertung für AWS“ zu, wenn Sie die erforderliche AWS CloudFormation-Vorlage konfigurieren. Eine Anleitung finden Sie unter Rollen und Berechtigungen.