A avaliação de vulnerabilidades do serviço Amazon Web Services (AWS) detecta vulnerabilidades em dos pacotes de software instalados Instâncias do Amazon EC2 (VMs) na plataforma de nuvem AWS.
A avaliação de vulnerabilidade do serviço AWS verifica snapshots do EC2 em execução. instâncias de produção. As cargas de trabalho de produção não são afetadas. Esse método de verificação é chamado de verificação de disco sem agentes, porque nenhum agente é instalado nas máquinas EC2 de destino.
O serviço de avaliação de vulnerabilidade para a AWS é executado no AWS Lambda e implanta instâncias do EC2 que hospedam scanners, criam snapshots das instâncias do EC2 de destino e verificam os snapshots.
As verificações são executadas aproximadamente três vezes por dia.
Para cada vulnerabilidade detectada, a Vulnerability Assessment for AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do diretório Gerenciamento Vulnerabilidades e Exposições (CVEs) registro.
Para mais informações sobre as descobertas produzidas pela Vulnerability Assessment for AWS, consulte Descobertas da Vulnerability Assessment for AWS.
Descobertas emitidas pela avaliação de vulnerabilidades para a AWS
Quando a avaliação de vulnerabilidades do serviço da AWS detecta uma vulnerabilidade de software em uma máquina AWS EC2, o serviço emite uma descoberta no Security Command Center no Google Cloud.
As descobertas individuais e os módulos de detecção correspondentes não estão listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detectada:
- O nome completo do recurso da instância do EC2 afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software com a vulnerabilidade
- Informações do registro de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a vulnerabilidade a explorações
- Uma avaliação do Security Command Center sobre a gravidade dos vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir para acessar os recursos de alto valor expostos pela vulnerabilidade
- Se disponíveis, etapas que você pode seguir para corrigir o problema, incluindo um patch ou upgrade de versão que você pode usar para resolver
Todos os resultados da avaliação de vulnerabilidades da AWS compartilham os seguintes valores de propriedade:
- Categoria
Software vulnerability
- Turma
Vulnerability
- Provedor de serviços de nuvem
Amazon Web Services
- Origem
EC2 Vulnerability Assessment
Para informações sobre como visualizar descobertas no console do Google Cloud, consulte Analise as descobertas no console do Google Cloud.
Recursos usados durante as verificações
Durante a verificação, a avaliação de vulnerabilidades da AWS usa recursos do Google Cloud e da AWS.
Uso de recursos do Google Cloud
Os recursos que a Vulnerability Assessment for AWS usa no Google Cloud estão incluídos no custo do Security Command Center.
Esses recursos incluem projetos de locatário, buckets do Cloud Storage e Federação de identidade de carga de trabalho. Esses recursos são gerenciados pelo Google Cloud usada apenas durante verificações ativas.
A Vulnerability Assessment para AWS também usa a API Cloud Asset para extrair informações sobre contas e recursos da AWS.
Uso de recursos da AWS
Na AWS, a Avaliação de vulnerabilidade para AWS usa os serviços AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Depois que a verificação for concluída, o serviço de avaliação de vulnerabilidade da AWS vai parar de usar esses serviços da AWS.
A AWS cobra sua conta da AWS pelo uso desses serviços e não identifica o uso como associado a Security Command Center ou avaliação de vulnerabilidades para o serviço AWS.
Identidade e permissões do serviço
Para as ações que ele executa no Google Cloud, a Vulnerability Assessment para o serviço AWS usa o seguinte agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso a recursos do Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Esse agente de serviço contém a permissão cloudasset.assets.listResource
, que a Avaliação de vulnerabilidade para o serviço da AWS usa para extrair informações sobre as contas da AWS de destino do Inventário de recursos do Cloud.
Para as ações que a Vulnerability Assessment for AWS realiza na AWS, crie um papel do IAM da AWS e atribua a função ao serviço Vulnerability Assessment for AWS ao configurar o modelo do AWS CloudFormation necessário. Para instruções, consulte Papéis e permissões.