亚马逊网络服务常见问题解答
是每个VPC中需要的扫描引擎,或者可以将一个VPC中的扫描引擎路由覆盖许多VPC?
只要它们之间存在连接,单个扫描引擎就可以扫描多个VPC。这通常是用VPC凝视完成的。如果VPC无法互相通信,则必须将扫描引擎部署到每个VPC。
AWS扫描引擎可以用来扫描面向外部的本地资产吗?是否可以路由出去,从外部角度扫描AWS资产的弹性IP ?
不,AWS Marketplace提供的AWS扫描引擎只能扫描与EC2实例相关的私有IP。想要从AWS的引擎扫描外部资产的用户可以将标准分布式扫描引擎部署到其AWS环境中。客户应该确保任何扫描都符合扫描AWS安全测试策略。
是否可以使用扫描引擎AMI根据IP地址对AWS主机发起临时扫描?
不,由于AWS扫描引擎只能通过动态发现导入的资产。如果在AWS环境中安装标准分布式扫描引擎,则可以通过IP地址进行扫描,但不建议使用此标准分布式扫描引擎。AWS中某些资产的IP地址通常会频繁更改,以至于通过IP地址扫描可能导致您无意中扫描组织本身不拥有的资产。
用于对Amazon API进行身份验证的方法有限吗?
安全控制台可以使用由访问密钥和秘密密钥组成的IAM用户凭证与AWS EC2 API进行认证。如果您在AWS帐户内的EC2实例上运行安全控制台,您可以使用IAM用户凭证或IAM角色进行身份验证。如果可能的话,我们建议使用IAM角色,因为密钥会自动旋转。
扫描引擎可以扫描小或微实例吗?
为避免潜在问题,AWS扫描引擎会自动避免扫描以下EC2实例类型:
.Nano.
.micro
。小的
是否有任何方法可以获得从AWS Marketplace获得的AWS扫描引擎的不同实例大小?
可以,您可以将AWS扫描引擎部署到满足扫描引擎的任何EC2实例大小系统需求。但请注意,AWS通常会释放可能不为扫描引擎的新实例类型。Rapid7通常每次向AWS Marketplace发布更新时,通常会发现新的实例类型。接触Rapid7支持请求添加新的实例大小。
发现连接是否有多少API调用?扫描引擎是否使API称为自己?
发现连接调用以下API资源:
ec2: DescribeInstances
ec2: DescribeImages
ec2: DescribeAddresses
EC2:DiscumentWorkinterfaces.
CloudTrail:LookupEvents.
CloudTrail:dededetrails.
根据发现的资产的数量,它可能对这些API进行多次调用。扫描引擎不会进行任何API调用。
AWS扫描引擎和标准的分布式扫描引擎有什么不同?
AWS Marketplace提供的AWS扫描引擎与标准的分布式扫描引擎有两个不同之处:
- AWS扫描引擎只能扫描由EC2 API返回的资产。这确保只扫描属于您的AWS帐户的资产。
- AWS扫描引擎不会运行任何服务以推广最小可能的攻击面。用户无法将AWS扫描引擎SSH SSH,您无法使用控制台到引擎通信方法配置AWS扫描引擎。如果您需要访问运行AWS扫描引擎的实例,您可以使用SSM代理安全地进行安全。
这个页面对你有帮助吗?