Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

AWS 安全漏洞評估總覽

Amazon Web Services (AWS) 服務的安全漏洞評估功能會偵測下列 AWS 資源中的安全漏洞：

AWS 安全漏洞評估服務會掃描執行中的 EC2 執行個體快照，因此不會影響正式環境工作負載。這種掃描方法稱為「無代理程式磁碟掃描」，因為目標 EC2 機器上不會安裝任何代理程式。

AWS 安全漏洞評估服務會在 AWS Lambda 服務上執行，並部署 EC2 執行個體 (主機掃描器)，建立目標 EC2 執行個體的快照，然後掃描快照。

掃描間隔可設為 6 到 24 小時。

針對偵測到的每個安全漏洞，AWS 安全漏洞評估功能會在 Security Command Center 中產生發現項目。發現項目是安全漏洞的記錄，其中包含受影響 AWS 資源和安全漏洞的詳細資料，包括相關常見安全漏洞與弱點 (CVE) 記錄中的資訊。

如要進一步瞭解 AWS 安全漏洞評估產生的結果，請參閱「AWS 安全漏洞評估結果」。

AWS 安全漏洞評估產生的結果

當 AWS 安全漏洞評估服務在 AWS EC2 電腦或 Elastic Container Registry 映像檔中偵測到軟體安全漏洞時，這項服務會在 Google Cloud的 Security Command Center 中產生發現項目。

Security Command Center 說明文件不會列出個別發現項目和對應的偵測模組。

每個發現項目都包含下列資訊，這些資訊是偵測到的軟體安全漏洞特有：

受影響執行個體或映像檔的完整資源名稱
安全漏洞說明，包括下列資訊：
- 含有安全漏洞的軟體套件
- 相關聯 CVE 記錄中的資訊
- 由 Mandiant 評估安全漏洞的影響和可利用性
- Security Command Center 對安全漏洞嚴重程度的評估
受攻擊風險分數，有助於判斷應優先採取哪些修復措施
以視覺化方式呈現攻擊者可能採取的路徑，藉此存取因安全漏洞而暴露的高價值資源
如果有的話，請提供修正問題的步驟，包括可用來解決安全漏洞的修補程式或版本升級

所有 AWS 安全漏洞評估發現項目都具有下列屬性值：

如要瞭解如何在 Google Cloud 控制台中查看發現項目，請參閱「在 Google Cloud 控制台中查看發現項目」。

掃描期間，AWS 安全漏洞評估功能會使用 Google Cloud 和 AWS 的資源。 Google Cloud

AWS 安全漏洞評估功能使用的資源會計入 Security Command Center 的費用。 Google Cloud

這些資源包括租戶專案、Cloud Storage bucket 和工作負載身分聯合。這些資源由 Google Cloud 管理，且僅在掃描作業進行時使用。

AWS 安全漏洞評估也會使用 Cloud Asset API，擷取 AWS 帳戶和資源的相關資訊。

在 AWS 中，AWS 專用安全漏洞評估服務會使用 AWS Lambda 和 Amazon Virtual Private Cloud (Amazon VPC) 服務。掃描完成後，AWS 安全漏洞評估服務就會停止使用這些 AWS 服務。

AWS 會針對這些服務的使用情況向您的 AWS 帳戶收費，且不會將使用情況與 Security Command Center 或 AWS 安全漏洞評估服務建立關聯。

針對在 Google Cloud上執行的動作，AWS 安全漏洞評估服務會使用下列Security Command Center 服務代理程式，在機構層級取得身分和存取Google Cloud 資源的權限：

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

這個服務代理帳戶包含 cloudasset.assets.listResource 權限，AWS 安全漏洞評估服務會使用這項權限，從 Cloud Asset Inventory 擷取目標 AWS 帳戶的相關資訊。

針對 AWS 安全漏洞評估功能在 AWS 上執行的動作，您需要建立 AWS IAM 角色，並在設定必要的 AWS CloudFormation 範本時，將該角色指派給 AWS 安全漏洞評估服務。如需操作說明，請參閱「角色和權限」。