本頁面由 Cloud Translation API 翻譯而成。

AWS 安全漏洞評估總覽

Amazon Web Services (AWS) 服務的安全漏洞評估功能可偵測下列 AWS 資源中的安全漏洞：

Vulnerability Assessment for AWS 服務會掃描執行中 EC2 執行個體的快照，因此不會影響正式環境工作負載。這種掃描方法稱為「無代理程式磁碟掃描」，因為目標 EC2 電腦上未安裝任何代理程式。

AWS 安全漏洞評估服務會在 AWS Lambda 服務上執行，並部署 EC2 執行個體來代管掃描器、建立目標 EC2 執行個體的快照，以及掃描這些快照。

掃描間隔可設為 6 到 24 小時。

針對偵測到的每個安全漏洞，Vulnerability Assessment for AWS 會在 Security Command Center 中產生發現項目。發現結果是漏洞記錄，其中包含受影響 AWS 資源和漏洞的詳細資料，包括相關常見安全漏洞與弱點 (CVE) 記錄中的資訊。

如要進一步瞭解 AWS 安全漏洞評估功能產生的結果，請參閱「AWS 安全漏洞評估結果」。

Vulnerability Assessment for AWS 產生的發現項目

當 AWS 服務的安全漏洞評估功能在 AWS EC2 電腦或 Elastic Container Registry 映像檔中偵測到軟體安全漏洞時，這項服務會在 Google Cloud的 Security Command Center 中產生發現項目。

Security Command Center 說明文件不會列出個別發現項目和對應的偵測模組。

每個發現項目都包含下列資訊，這些資訊是偵測到的軟體安全漏洞特有：

受影響執行個體或映像檔的完整資源名稱
安全漏洞說明，包括下列資訊：
- 含有安全漏洞的軟體套件
- 相關聯 CVE 記錄中的資訊
- 由 Mandiant 評估安全漏洞的影響和可利用性
- Security Command Center 對安全漏洞嚴重程度的評估
受攻擊風險分數，協助您優先處理補救措施
以視覺化方式呈現攻擊者可能採取的路徑，藉此存取因漏洞而暴露的高價值資源
如果有的話，請提供修正問題的步驟，包括可用來解決安全漏洞的修補程式或版本升級

所有 AWS 安全漏洞評估發現項目都會共用下列屬性值：

如要瞭解如何在 Google Cloud 控制台中查看發現項目，請參閱「在 Google Cloud 控制台中查看發現項目」。

掃描期間，AWS 的安全漏洞評估功能會使用 Google Cloud 和 AWS 的資源。 Google Cloud

AWS 安全漏洞評估功能使用的資源會計入 Security Command Center 的費用。 Google Cloud

這些資源包括租戶專案、Cloud Storage 值區和工作負載身分聯合。這些資源由 Google Cloud 管理，且僅在掃描活動期間使用。

AWS 適用的 Vulnerability Assessment 也會使用 Cloud Asset API，擷取 AWS 帳戶和資源的相關資訊。

在 AWS 中，AWS 專用的安全漏洞評估功能會使用 AWS Lambda 和 Amazon Virtual Private Cloud (Amazon VPC) 服務。掃描完成後，AWS 安全漏洞評估服務就會停止使用這些 AWS 服務。

AWS 會針對這些服務的使用情況向您的 AWS 帳戶收費，且不會將使用情況與 Security Command Center 或 AWS 服務的弱點評估建立關聯。

針對在 Google Cloud上執行的動作，AWS 服務的弱點評估會使用下列Security Command Center 服務代理程式 (位於機構層級)，取得身分和存取Google Cloud 資源的權限：

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

這個服務代理帳戶包含 cloudasset.assets.listResource 權限，AWS 服務的弱點評估功能會使用這項權限，從 Cloud Asset Inventory 擷取目標 AWS 帳戶的相關資訊。

如要讓 AWS 安全漏洞評估服務在 AWS 上執行動作，請建立 AWS IAM 角色，並在設定必要的 AWS CloudFormation 範本時，將該角色指派給 AWS 安全漏洞評估服務。如需操作說明，請參閱「角色和權限」。