亚马逊网络服务(AWS)
InsightVM订户可以使用AWS环境中部署的扫描引擎或传统部署的本地扫描引擎扫描AWS资产。类似地,安全控制台本身也可以部署在AWS中,或者部署在您自己的基础设施中。安全控制台可以与执行漏洞评估所需的任意多个扫描引擎配对。
开始使用AWS
虽然您可以选择使用基于AWS的或传统的扫描引擎扫描AWS资产,但出于几个原因,前者是首选。AWS扫描引擎设计用于执行AWS环境的内部扫描。它使用动态发现在扫描之前识别所有AWS EC2实例。这确保您只扫描自己的基础结构。然而,这也意味着某些限制适用:
- 资产必须通过AWS EC2 API发现。因此,一个标准的广域网络扫描不是一个选择。
- AWS扫描引擎无法通过本地扫描引擎(如SSH、RDP等)可用的典型交互方法访问。但是,如果您在具有AWS SSM代理的EC2实例上运行Scan Engine,则可以使用它来获得交互访问。
- 您只能在对等或全局可路由的VPC内进行扫描。你不能扫描互联网。
配置您的AWS环境
您的AWS环境必须具有正确配置的安全组以支持AWS资产扫描。建议创建两个安全组:
- 一个用于您的扫描引擎
- 一个用于扫描目标
扫描目标安全组应连接到您希望扫描的每个EC2资产。按照以下步骤在AWS控制台中创建安全组:
- 在AWS控制台中,展开Services下拉菜单并单击EC2在Compute类别下。此时将显示EC2控制台页面。
- 在菜单的网络和安全部分,单击安全小组.
- 点击创建安全组.
创建扫描引擎安全组
- 为扫描引擎安全组指定一个描述性名称。包括
扫描引擎名字中的某个地方将对今后的识别有用。 - 如果需要,为扫描引擎安全组提供说明。
- 在下拉菜单中选择扫描引擎所属VPC。这个安全组应该没有传入规则,但是您应该创建出站规则,允许引擎扫描您正在部署EC2实例的网络范围。
- 点击创建.
创建扫描目标安全组
- 与扫描引擎安全组一样,为扫描目标安全组指定一个描述性名称。这次,包括
扫描目标以方便识别。 - 如果需要,给扫描目标安全组一个描述。
- 使用下拉菜单,从下拉菜单中指定预期扫描目标所属的VPC。
- 在“安全组规则”下,选择入站和添加规则.
- 在“类型”列下,选择所有流量从下拉菜单中。
- 在Source列下,选择习俗从下拉菜单中输入扫描引擎安全组的组ID。
- 点击创建.
跨帐户资产导入与动态发现
如果您有多个AWS帐户,您想从其中导入资产,您可以通过在创建AWS资产同步发现连接时提供角色Amazon资源名称(arn)以及可选的会话名称来做到这一点。你可以在以下AWS文档资源中阅读更多关于使用STS Assume Role进行跨帐户访问的信息:
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html
- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html
资产发现和漏洞评估
请注意,您配置的AWS资产同步发现连接只会发现资产。您仍然需要一个扫描引擎来评估这些资产的漏洞。见下文交叉账户扫描小节以了解如何为此用例部署扫描引擎的详细信息。
交叉账户扫描
单个扫描引擎可以扫描多个VPC,前提是扫描引擎所在的VPC能够与目标资产所在的VPC建立连接。您通常可以使用专有网络对等但是AWS交通网关这是另一种选择。
这页对你有帮助吗?