Layanan Penilaian Kerentanan untuk Amazon Web Services (AWS) mendeteksi kerentanan di resource AWS berikut:
- Paket software yang diinstal di instance Amazon EC2
- Paket software dan kesalahan konfigurasi sistem operasi dalam image Elastic Container Registry (ECR)
Layanan Penilaian Kerentanan untuk AWS memindai snapshot instance EC2 yang sedang berjalan, sehingga beban kerja produksi tidak terpengaruh. Metode pemindaian ini disebut pemindaian disk tanpa agen, karena tidak ada agen yang diinstal pada mesin EC2 target.
Layanan Penilaian Kerentanan untuk AWS berjalan di layanan AWS Lambda dan men-deploy instance EC2 yang menghosting pemindai, membuat snapshot instance EC2 target, dan memindai snapshot.
Anda dapat menyetel interval pemindaian dari 6 hingga 24 jam.
Untuk setiap kerentanan yang terdeteksi, Penilaian Kerentanan untuk AWS menghasilkan temuan di Security Command Center. Temuan adalah catatan kerentanan yang berisi detail tentang kerentanan dan resource AWS yang terpengaruh, termasuk informasi dari catatan Kerentanan dan Eksposur Umum (CVE) terkait.
Untuk mengetahui informasi selengkapnya tentang temuan yang dihasilkan oleh Penilaian Kerentanan untuk AWS, lihat Temuan Penilaian Kerentanan untuk AWS.
Temuan yang dihasilkan oleh Penilaian Kerentanan untuk AWS
Saat layanan Penilaian Kerentanan untuk AWS mendeteksi kerentanan software di mesin AWS EC2 atau dalam image Elastic Container Registry, layanan ini akan membuat temuan di Security Command Center pada Google Cloud.
Setiap temuan dan modul deteksi yang sesuai tidak tercantum dalam dokumentasi Security Command Center.
Setiap temuan berisi informasi berikut yang unik untuk kerentanan software yang terdeteksi:
- Nama resource lengkap instance atau gambar yang terpengaruh
- Deskripsi kerentanan, termasuk informasi berikut:
- Paket software yang berisi kerentanan
- Informasi dari data CVE terkait
- Penilaian dari Mandiant tentang dampak dan eksploitabilitas kerentanan
- Penilaian dari Security Command Center tentang tingkat keparahan kerentanan
- Skor eksposur serangan untuk membantu Anda memprioritaskan perbaikan
- Representasi visual jalur yang mungkin diambil penyerang untuk mengakses resource bernilai tinggi yang terekspos oleh kerentanan
- Jika tersedia, langkah-langkah yang dapat Anda lakukan untuk memperbaiki masalah, termasuk patch atau upgrade versi yang dapat Anda gunakan untuk mengatasi kerentanan
Semua temuan Penilaian Kerentanan untuk AWS memiliki nilai properti berikut:
- Kategori
Software vulnerability- Class
Vulnerability- Penyedia layanan Cloud
Amazon Web Services- Sumber
EC2 Vulnerability Assessment
Untuk mengetahui informasi tentang cara melihat temuan di konsol Google Cloud , lihat artikel Meninjau temuan di konsol Google Cloud .
Resource yang digunakan selama pemindaian
Selama pemindaian, Penilaian Kerentanan untuk AWS menggunakan resource di kedua Google Cloud dan di AWS.
Penggunaan resourceGoogle Cloud
Resource yang digunakan Penilaian Kerentanan untuk AWS di Google Cloud sertakan dalam biaya Security Command Center.
Resource ini mencakup project tenant, bucket Cloud Storage, dan Workload Identity Federation. Resource ini dikelola oleh Google Cloud dan hanya digunakan selama pemindaian aktif.
Penilaian Kerentanan untuk AWS juga menggunakan Cloud Asset API untuk mengambil informasi tentang akun dan resource AWS.
Penggunaan resource AWS
Di AWS, Penilaian Kerentanan untuk AWS menggunakan layanan AWS Lambda dan Amazon Virtual Private Cloud (Amazon VPC). Setelah pemindaian selesai, layanan Penilaian Kerentanan untuk AWS berhenti menggunakan layanan AWS ini.
AWS menagih akun AWS Anda untuk penggunaan layanan ini dan tidak mengidentifikasi penggunaan tersebut sebagai terkait dengan Security Command Center atau layanan Penilaian Kerentanan untuk AWS.
Identitas dan izin layanan
Untuk tindakan yang dilakukannya pada Google Cloud, layanan Penilaian Kerentanan untuk AWS menggunakan agen layanan Security Command Center berikut di tingkat organisasi untuk identitas dan izin akses ke resourceGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Agen layanan ini berisi izin cloudasset.assets.listResource,
yang digunakan oleh layanan Penilaian Kerentanan untuk AWS guna mengambil informasi tentang
akun AWS target dari Cloud Asset Inventory.
Untuk tindakan yang dilakukan Penilaian Kerentanan untuk AWS di AWS, Anda membuat peran IAM AWS dan menetapkan peran tersebut ke layanan Penilaian Kerentanan untuk AWS saat Anda mengonfigurasi template AWS CloudFormation yang diperlukan. Untuk mengetahui petunjuknya, lihat Peran dan izin.