O serviço de avaliação de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades nos seguintes recursos da AWS:
- Pacotes de software instalados em instâncias do Amazon EC2
- Pacotes de software e erros de configuração do sistema operacional em imagens do Elastic Container Registry (ECR)
O serviço de avaliação de vulnerabilidades da AWS verifica snapshots das instâncias do EC2 em execução, sem afetar as cargas de trabalho de produção. Esse método de verificação é chamado de verificação de disco sem agente porque nenhum agente é instalado nas máquinas EC2 de destino.
O serviço Vulnerability Assessment para AWS é executado no serviço AWS Lambda e implanta instâncias do EC2 que hospedam scanners, criam snapshots das instâncias do EC2 de destino e verificam os snapshots.
É possível definir o intervalo de verificação entre 6 e 24 horas.
Para cada vulnerabilidade detectada, a Vulnerability Assessment para AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro da vulnerabilidade que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do registro associado de Vulnerabilidades e Exposições Comuns (CVEs).
Para mais informações sobre as descobertas produzidas pela avaliação de vulnerabilidades da AWS, consulte Descobertas da avaliação de vulnerabilidades da AWS.
Descobertas geradas pela avaliação de vulnerabilidades da AWS
Quando o serviço de avaliação de vulnerabilidades para AWS detecta uma vulnerabilidade de software em uma máquina EC2 da AWS ou em uma imagem do Elastic Container Registry, ele gera uma descoberta no Security Command Center em Google Cloud.
As descobertas individuais e os módulos de detecção correspondentes não estão listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detectada:
- O nome completo do recurso da instância ou imagem afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade
- Informações do registro de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração da vulnerabilidade
- Uma avaliação do Security Command Center sobre a gravidade da vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir até os recursos de alto valor expostos pela vulnerabilidade
- Se disponíveis, etapas que você pode seguir para corrigir o problema, incluindo o patch ou upgrade de versão que pode ser usado para resolver a vulnerabilidade
Todas as descobertas da avaliação de vulnerabilidades da AWS compartilham os seguintes valores de propriedade:
- Categoria
Software vulnerability- Turma
Vulnerability- Provedor de serviços de nuvem
Amazon Web Services- Origem
EC2 Vulnerability Assessment
Para informações sobre como ver descobertas no console do Google Cloud , consulte Analisar descobertas no console do Google Cloud .
Recursos usados durante as verificações
Durante a verificação, a Vulnerability Assessment para AWS usa recursos no Google Cloud e na AWS.
Google Cloud uso de recursos
Os recursos que a verificação de vulnerabilidades para AWS usa no Google Cloud estão incluídos no custo do Security Command Center.
Esses recursos incluem projetos do locatário, buckets do Cloud Storage e federação de identidade da carga de trabalho. Esses recursos são gerenciados pelo Google Cloud e usados apenas durante verificações ativas.
A avaliação de vulnerabilidades da AWS também usa a API Cloud Asset para recuperar informações sobre contas e recursos da AWS.
Uso de recursos da AWS
Na AWS, a avaliação de vulnerabilidades para AWS usa os serviços AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Depois que a verificação for concluída, o serviço de avaliação de vulnerabilidades da AWS vai parar de usar esses serviços da AWS.
A AWS fatura sua conta da AWS pelo uso desses serviços e não identifica o uso como associado ao Security Command Center ou ao serviço de avaliação de vulnerabilidades para AWS.
Identidade e permissões do serviço
Para as ações que ele realiza em Google Cloud, o serviço de avaliação de vulnerabilidades para AWS usa o seguinte agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso a recursosGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Esse agente de serviço contém a permissão cloudasset.assets.listResource, que a Avaliação de vulnerabilidades para AWS usa para recuperar informações sobre as contas de destino da AWS do Inventário de recursos do Cloud.
Para as ações que a Avaliação de vulnerabilidades para AWS realiza na AWS, crie um papel do IAM da AWS e atribua-o ao serviço da Avaliação de vulnerabilidades para AWS ao configurar o modelo necessário do AWS CloudFormation. Para instruções, consulte Papéis e permissões.