亚马逊Web服务常见问题

每个VPC是否都需要一个扫描引擎,或者一个VPC中的一个扫描引擎可以路由到多个VPC ?

一个扫描引擎可以扫描多个vpc,只要它们之间存在连接。这通常是通过VPC对等完成的。当VPC之间不能互通时,需要在每个VPC上部署扫描引擎。

AWS扫描引擎可以用来扫描面向外部的本地资产吗?是否可以路由出去,从外部角度扫描AWS资产的弹性IP ?

不能,AWS Marketplace提供的AWS扫描引擎只能扫描与EC2实例关联的私有ip。希望从基于AWS的引擎扫描外部资产的用户可以将标准分布式扫描引擎部署到他们的AWS环境中。客户应确保任何扫描符合AWS安全测试策略.

是否可以使用扫描引擎AMI根据IP地址对AWS主机发起临时扫描?

否,因为AWS扫描引擎只能扫描通过动态发现导入的资产。如果在AWS环境中安装标准的分布式扫描引擎,从技术上讲,您可以按IP地址运行扫描,但不建议这样做。AWS中某些资产的IP地址变化频繁,按IP地址扫描可能会导致您无意中扫描组织不拥有的资产。

用于向Amazon API进行身份验证的方法是否有限制?

安全控制台可以使用由访问密钥和秘密密钥组成的IAM用户凭证与AWS EC2 API进行认证。如果您在AWS帐户内的EC2实例上运行安全控制台,您可以使用IAM用户凭证或IAM角色进行身份验证。如果可能的话,我们建议使用IAM角色,因为密钥会自动旋转。

扫描引擎能扫描小型或微型实例吗?

为避免潜在问题,AWS扫描引擎自动避免扫描以下EC2实例类型:

  • .nano
  • .micro
  • 小的

有什么方法可以从AWS市场获得不同的AWS扫描引擎实例大小?

是的,您可以将AWS扫描引擎部署到满足扫描引擎要求的任何EC2实例大小系统需求. 但是,请注意,AWS通常会发布新的实例类型,这些实例类型可能不会被扫描引擎列入白名单。Rapid7通常在每次向AWS Marketplace发布更新时都会列出新的实例类型。联系Rapid7支持请求添加新的实例大小。

发现连接进行了多少API调用?扫描引擎自己进行API调用吗?

发现连接调用以下API资源:

  • ec2: DescribeInstances
  • ec2: DescribeImages
  • ec2: DescribeAddresses
  • ec2: DescribeNetworkInterfaces
  • cloudtrail:LookupEvents
  • cloudtrail: DescribeTrails

它可能会根据发现的资产数量对这些API进行多次调用。扫描引擎不进行任何API调用。

AWS扫描引擎和标准分布式扫描引擎有何不同?

AWS Marketplace提供的AWS扫描引擎与标准的分布式扫描引擎有两个不同之处:

  • AWS扫描引擎只能扫描由EC2 API返回的资产。这确保只扫描属于您的AWS帐户的资产。
  • AWS扫描引擎不运行任何服务来提升最小可能的攻击面。用户无法通过SSH连接到AWS扫描引擎,您也无法使用控制台到引擎的通信方法配置AWS扫描引擎。如果需要访问运行AWS扫描引擎的实例,您可以使用SSM代理安全地做到这一点.