שירות הערכת נקודות החולשה ב-Amazon Web Services (AWS) מזהה נקודות חולשה במשאבי AWS הבאים:
- חבילות תוכנה שמותקנות במופעי Amazon EC2
- חבילות תוכנה והגדרות שגויות של מערכת ההפעלה בתמונות של Elastic Container Registry (ECR)
שירות הערכת נקודות החולשה ב-AWS סורק תמונות מצב של מופעי EC2 פעילים, ולכן עומסי העבודה של הייצור לא מושפעים. שיטת הסריקה הזו נקראת סריקת דיסק ללא סוכן, כי לא מותקנים סוכנים במכונות היעד של EC2.
השירות הערכת נקודות חולשה ב-AWS פועל בשירות AWS Lambda ופורס מופעי EC2 שמארחים סורקים, יוצר תמונות מצב של מופעי EC2 של היעד וסורק את תמונות המצב.
אפשר להגדיר את מרווח הסריקה בין 6 ל-24 שעות.
לכל נקודת חולשה שזוהתה, הערכת נקודות חולשה ב-AWS יוצרת ממצא ב-Security Command Center. ממצא הוא רשומה של הפגיעות שמכילה פרטים על משאב ה-AWS שהושפע ועל הפגיעות, כולל מידע מהרשומה המשויכת של פגיעויות וחשיפות נפוצות (CVE).
מידע נוסף על הממצאים שנוצרים על ידי הערכת נקודות חולשה ב-AWS זמין במאמר ממצאים של הערכת נקודות חולשה ב-AWS.
ממצאים שנוצרו על ידי הערכת נקודות חולשה ב-AWS
כששירות הערכת נקודות חולשה ב-AWS מזהה נקודת חולשה בתוכנה במכונת AWS EC2 או בתמונה של Elastic Container Registry, השירות יוצר ממצא ב-Security Command Center ב- Google Cloud.
הממצאים הספציפיים ומודולי הזיהוי התואמים שלהם לא מפורטים במסמכי התיעוד של Security Command Center.
כל ממצא מכיל את הפרטים הבאים שייחודיים לנקודת החולשה שזוהתה בתוכנה:
- השם המלא של המשאב של המכונה או התמונה המושפעות
- תיאור של נקודת החולשה, כולל הפרטים הבאים:
- חבילת התוכנה שמכילה את נקודת החולשה
- מידע מרשומת ה-CVE המשויכת
- הערכה של Mandiant לגבי ההשפעה של נקודת החולשה והאפשרות לניצול שלה
- הערכה של רמת הסיכון של נקודת החולשה מ-Security Command Center
- ציון חשיפה להתקפה שיעזור לכם לקבוע סדר עדיפויות לתיקון
- המחשה ויזואלית של הנתיב שבו התוקף עשוי ללכת כדי להגיע למשאבים בעלי ערך גבוה שנחשפים על ידי נקודת החולשה
- אם יש פתרון, צריך לציין את השלבים לפתרון הבעיה, כולל תיקון או שדרוג גרסה שאפשר להשתמש בהם כדי לטפל בנקודת החולשה
לכל הממצאים של הערכת נקודות חולשה ב-AWS יש את אותם ערכים של המאפיינים הבאים:
- קטגוריה
Software vulnerability- מחלקה
Vulnerability- ספק שירותי ענן
Amazon Web Services- מקור
EC2 Vulnerability Assessment
מידע על צפייה בתוצאות במסוף Google Cloud זמין במאמר בדיקת תוצאות במסוף Google Cloud .
משאבים שנעשה בהם שימוש במהלך סריקות
במהלך הסריקה, הכלי 'הערכת נקודות חולשה ב-AWS' משתמש במשאבים גם ב- Google Cloudוגם ב-AWS.
Google Cloud שימוש במשאבים
המשאבים שבהם נעשה שימוש ב-הערכת נקודות חולשה ב-AWS ב- Google Cloud כלולים בעלות של Security Command Center.
המשאבים האלה כוללים פרויקטים של דיירים, קטגוריות של Cloud Storage ואיחוד שירותי אימות הזהות של עומסי עבודה. המשאבים האלה מנוהלים על ידי Google Cloud ומשמשים רק במהלך סריקות פעילות.
הכלי הערכת נקודות חולשה ב-AWS משתמש גם ב-Cloud Asset API כדי לאחזר מידע על חשבונות ומשאבים ב-AWS.
צריכת משאבים ב-AWS
ב-AWS, שירות הערכת נקודות חולשה ב-AWS משתמש בשירותים AWS Lambda ו-Amazon Virtual Private Cloud (Amazon VPC). אחרי שהסריקה מסתיימת, שירות הערכת נקודות החולשה ב-AWS מפסיק להשתמש בשירותי AWS האלה.
AWS מחייבת את חשבון AWS שלכם על השימוש בשירותים האלה, ולא מציינת שהשימוש קשור ל-Security Command Center או לשירות הערכת נקודות חולשה ב-AWS.
הרשאות וזהות של שירות
כדי לבצע פעולות ב- Google Cloud, שירות הערכת נקודות חולשה ב-AWS משתמש בסוכן השירות של Security Command Center הבא ברמת הארגון לצורך זיהוי והרשאה לגישה למשאביGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
סוכן השירות הזה כולל את ההרשאה cloudasset.assets.listResource, שבה שירות הערכת נקודות חולשה ב-AWS משתמש כדי לאחזר מידע על חשבונות היעד ב-AWS ממאגר משאבי ענן.
כדי לבצע את הפעולות שמתבצעות על ידי הערכת נקודות חולשה ב-AWS, צריך ליצור תפקיד AWS IAM ולהקצות את התפקיד לשירות הערכת נקודות חולשה ב-AWS כשמגדירים את תבנית AWS CloudFormation הנדרשת. הוראות מפורטות מופיעות במאמר בנושא תפקידים והרשאות.