亚马逊网络服务(AWS)

公开订阅者可以使用AWS环境中部署的扫描引擎或传统部署的本地扫描引擎扫描AWS资产。类似地,安全控制台本身也可以部署在AWS中,或者部署在您自己的基础设施中。安全控制台可以与执行漏洞评估所需的任意多个扫描引擎配对。

开始使用AWS

虽然您可以选择使用基于AWS的或传统的scan Engine扫描AWS资产,但出于以下几个原因,前者是更好的选择。AWS扫描引擎旨在执行AWS环境的内部扫描。它使用动态发现在扫描所有AWS EC2实例之前识别它们。这确保您只扫描自己的基础设施。然而,它也意味着适用某些限制:

  • 资产必须通过AWS EC2 API发现。因此,一个标准的广域网络扫描不是一个选择。
  • AWS扫描引擎无法通过本地扫描引擎(如SSH、RDP等)可用的典型交互方法访问。但是,如果您在具有AWS SSM代理的EC2实例上运行Scan Engine,则可以使用它来获得交互访问。
  • 只能在对等或全局路由可达的vpc内进行扫描。你不能扫描互联网。

配置AWS环境

您的AWS环境必须具有正确配置的安全组以支持AWS资产扫描。建议创建两个安全组:

  • 一个用于您的扫描引擎
  • 一个用于扫描目标

扫描目标安全组应该附加到您希望扫描的每个EC2资产。按照以下步骤在AWS控制台中创建安全组:

  1. 在AWS控制台中,展开Services下拉菜单并单击EC2在“计算”类别下。将显示EC2 Console页面。
  2. 在菜单的网络和安全部分,单击安全组
  3. 点击创建安全组

创建扫描引擎安全组

  1. 为扫描引擎安全组指定一个描述性名称。包括扫描引擎名字中的某个地方将对今后的识别有用。
  2. 如果需要,请给扫描引擎安全组一个描述。
  3. 在下拉菜单中选择扫描引擎所属VPC。这个安全组应该没有传入规则,但是您应该创建出站规则,允许引擎扫描您正在部署EC2实例的网络范围。
  4. 点击创建

创建扫描目标安全组

  1. 与Scan Engine安全组一样,为扫描目标安全组指定一个描述性名称。这一次,包括扫描目标以方便识别。
  2. 如果需要,给扫描目标安全组一个描述。
  3. 在下拉菜单中选择扫描目标所属VPC。
  4. 在“安全组规则”下,选择入站添加规则
  5. 在Type列下,选择所有流量从下拉菜单。
  6. 在Source列下,选择自定义从下拉菜单中输入扫描引擎安全组的组ID。
  7. 点击创建

使用动态发现进行跨帐户资产导入

如果您有多个AWS帐户,您想从其中导入资产,您可以通过在创建AWS资产同步发现连接时提供角色Amazon资源名称(arn)以及可选的会话名称来做到这一点。你可以在以下AWS文档资源中阅读更多关于使用STS Assume Role进行跨帐户访问的信息:

资产发现和漏洞评估

请注意,您配置的AWS资产同步发现连接只会检测资产。您仍然需要一个Scan Engine来评估这些资产的漏洞。看到下面的Cross-account扫描小节以了解如何为此用例部署扫描引擎的详细信息。

Cross-account扫描

单个扫描引擎可以扫描多个VPC,前提是扫描引擎所在的VPC能够与目标资产所在的VPC建立连接。您通常可以使用VPC凝视,但AWS交通网关是另一个选择。