Panoramica della valutazione delle vulnerabilità per AWS

Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità nelle seguenti risorse AWS:

  • Pacchetti software installati su istanze Amazon EC2
  • Pacchetti software e configurazioni errate del sistema operativo nelle immagini Elastic Container Registry (ECR)

Il servizio di valutazione delle vulnerabilità per AWS analizza gli snapshot delle istanze EC2 in esecuzione, quindi i workload di produzione non vengono interessati. Questo metodo di scansione è chiamato scansione del disco senza agenti, perché non sono installati agenti sulle macchine EC2 di destinazione.

Il servizio di valutazione delle vulnerabilità per AWS viene eseguito sul servizio AWS Lambda e distribuisce istanze EC2 che ospitano gli scanner, creano snapshot delle istanze EC2 di destinazione e scansionano gli snapshot.

Puoi impostare l'intervallo di analisi da 6 a 24 ore.

Per ogni vulnerabilità rilevata, la valutazione delle vulnerabilità per AWS genera un risultato in Security Command Center. Un risultato è un record della vulnerabilità che contiene dettagli sulla risorsa AWS interessata e sulla vulnerabilità, incluse informazioni del record Common Vulnerability and Exposures (CVE) associato.

Per ulteriori informazioni sui risultati prodotti dalla valutazione delle vulnerabilità per AWS, consulta Risultati della valutazione delle vulnerabilità per AWS.

Risultati generati dalla valutazione delle vulnerabilità per AWS

Quando il servizio Vulnerability Assessment for AWS rileva una vulnerabilità del software su una macchina AWS EC2 o in un'immagine Elastic Container Registry, il servizio genera un risultato in Security Command Center il giorno Google Cloud.

I singoli risultati e i relativi moduli di rilevamento non sono elencati nella documentazione di Security Command Center.

Ogni risultato contiene le seguenti informazioni univoche per la vulnerabilità del software rilevata:

  • Il nome completo della risorsa dell'istanza o dell'immagine interessata
  • Una descrizione della vulnerabilità, incluse le seguenti informazioni:
    • Il pacchetto software che contiene la vulnerabilità
    • Informazioni del record CVE associato
    • Una valutazione di Mandiant sull'impatto e sulla sfruttabilità della vulnerabilità
    • Una valutazione di Security Command Center della gravità della vulnerabilità
  • Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
  • Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte dalla vulnerabilità
  • Se disponibili, i passaggi che puoi seguire per risolvere il problema, inclusa la patch o l'upgrade della versione che puoi utilizzare per risolvere la vulnerabilità

Tutti i risultati della valutazione delle vulnerabilità per AWS condividono i seguenti valori delle proprietà:

Categoria
Software vulnerability
Classe
Vulnerability
Provider di servizi cloud
Amazon Web Services
Origine
EC2 Vulnerability Assessment

Per informazioni sulla visualizzazione dei risultati nella console Google Cloud , consulta Esaminare i risultati nella console Google Cloud .

Risorse utilizzate durante le scansioni

Durante la scansione, la valutazione delle vulnerabilità per AWS utilizza risorse sia su Google Cloud che su AWS.

utilizzo delle risorseGoogle Cloud

Le risorse utilizzate da Vulnerability Assessment per AWS su Google Cloud sono incluse nel costo di Security Command Center.

Queste risorse includono progetti tenant, bucket Cloud Storage e federazione delle identità dei carichi di lavoro. Queste risorse sono gestite da Google Cloud e vengono utilizzate solo durante le scansioni attive.

La valutazione delle vulnerabilità per AWS utilizza anche l'API Cloud Asset per recuperare informazioni su account e risorse AWS.

Utilizzo delle risorse AWS

Su AWS, la valutazione delle vulnerabilità per AWS utilizza i servizi AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Al termine della scansione, il servizio di valutazione delle vulnerabilità per AWS smette di utilizzare questi servizi AWS.

AWS fattura al tuo account AWS l'utilizzo di questi servizi e non identifica l'utilizzo come associato a Security Command Center o al servizio Vulnerability Assessment for AWS.

Identità di servizio e autorizzazioni

Per le azioni che esegue su Google Cloud, il servizio Vulnerability Assessment for AWS utilizza il seguente agente di servizio Security Command Center a livello di organizzazione per l'identità e per l'autorizzazione di accesso alle risorseGoogle Cloud :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Questo agente di servizio contiene l'autorizzazione cloudasset.assets.listResource, che il servizio Vulnerability Assessment for AWS utilizza per recuperare informazioni sugli account AWS di destinazione da Cloud Asset Inventory.

Per le azioni che la valutazione delle vulnerabilità per AWS esegue su AWS, crea un ruolo IAM AWS e assegnalo al servizio di valutazione delle vulnerabilità per AWS quando configuri il modello AWS CloudFormation richiesto. Per istruzioni, vedi Ruoli e autorizzazioni.