亚马逊网络服务(AWS)
公开订阅者可以使用AWS环境中部署的扫描引擎或传统部署的本地扫描引擎扫描AWS资产。类似地,安全控制台本身也可以部署在AWS中,或者部署在您自己的基础设施中。安全控制台可以与执行漏洞评估所需的任意多个扫描引擎配对。
开始使用AWS
虽然您可以选择使用基于AWS的或传统的scan Engine扫描AWS资产,但出于以下几个原因,前者是更好的选择。AWS扫描引擎旨在执行AWS环境的内部扫描。它使用动态发现在扫描所有AWS EC2实例之前识别它们。这确保您只扫描自己的基础设施。然而,它也意味着适用某些限制:
- 资产必须通过AWS EC2 API发现。因此,一个标准的广域网络扫描不是一个选择。
- AWS扫描引擎无法通过本地扫描引擎(如SSH、RDP等)可用的典型交互方法访问。但是,如果您在具有AWS SSM代理的EC2实例上运行Scan Engine,则可以使用它来获得交互访问。
- 只能在对等或全局路由可达的vpc内进行扫描。你不能扫描互联网。
配置AWS环境
您的AWS环境必须具有正确配置的安全组以支持AWS资产扫描。建议创建两个安全组:
- 一个用于您的扫描引擎
- 一个用于扫描目标
扫描目标安全组应该附加到您希望扫描的每个EC2资产。按照以下步骤在AWS控制台中创建安全组:
- 在AWS控制台中,展开Services下拉菜单并单击EC2在“计算”类别下。将显示EC2 Console页面。
- 在菜单的网络和安全部分,单击安全组.
- 点击创建安全组.
创建扫描引擎安全组
- 为扫描引擎安全组指定一个描述性名称。包括
扫描引擎名字中的某个地方将对今后的识别有用。 - 如果需要,请给扫描引擎安全组一个描述。
- 在下拉菜单中选择扫描引擎所属VPC。这个安全组应该没有传入规则,但是您应该创建出站规则,允许引擎扫描您正在部署EC2实例的网络范围。
- 点击创建.
创建扫描目标安全组
- 与Scan Engine安全组一样,为扫描目标安全组指定一个描述性名称。这一次,包括
扫描目标以方便识别。 - 如果需要,给扫描目标安全组一个描述。
- 在下拉菜单中选择扫描目标所属VPC。
- 在“安全组规则”下,选择入站和添加规则.
- 在Type列下,选择所有流量从下拉菜单。
- 在Source列下,选择自定义从下拉菜单中输入扫描引擎安全组的组ID。
- 点击创建.
使用动态发现进行跨帐户资产导入
如果您有多个AWS帐户,您想从其中导入资产,您可以通过在创建AWS资产同步发现连接时提供角色Amazon资源名称(arn)以及可选的会话名称来做到这一点。你可以在以下AWS文档资源中阅读更多关于使用STS Assume Role进行跨帐户访问的信息:
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html
资产发现和漏洞评估
请注意,您配置的AWS资产同步发现连接只会检测资产。您仍然需要一个Scan Engine来评估这些资产的漏洞。看到下面的Cross-account扫描小节以了解如何为此用例部署扫描引擎的详细信息。
Cross-account扫描
单个扫描引擎可以扫描多个VPC,前提是扫描引擎所在的VPC能够与目标资产所在的VPC建立连接。您通常可以使用VPC凝视,但AWS交通网关是另一个选择。
这个页面对你有帮助吗?