El servicio de evaluación de vulnerabilidades de Amazon Web Services (AWS) detecta vulnerabilidades en los paquetes de software que se instalan en las instancias de Amazon EC2 (VMs) en la plataforma de nube de AWS.
El servicio de evaluación de vulnerabilidades para AWS analiza instantáneas de las instancias de EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se denomina análisis de disco sin agentes, ya que no se instalan agentes en las máquinas EC2 de destino.
El servicio de Evaluación de vulnerabilidades para AWS se ejecuta en el servicio de AWS Lambda y, luego, implementa instancias de EC2 que alojan escáneres, crean instantáneas de las instancias de EC2 de destino y las analizan.
Los análisis se ejecutan aproximadamente tres veces al día.
Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un hallazgo en Security Command Center. Un hallazgo es un registro de la vulnerabilidad que contiene detalles sobre el recurso de AWS afectado y la vulnerabilidad, incluida la información del registro asociado de vulnerabilidades y exposiciones comunes (CVE).
Para obtener más información sobre los resultados que genera la Evaluación de vulnerabilidades para AWS, consulta Resultados de la Evaluación de vulnerabilidades para AWS.
Hallazgos emitidos por la Evaluación de vulnerabilidades para AWS
Cuando el servicio de Evaluación de vulnerabilidades para AWS detecta una vulnerabilidad de software en una máquina de AWS EC2, el servicio emite un hallazgo en Security Command Center en Google Cloud.
Los resultados individuales y sus módulos de detección correspondientes no se incluyen en la documentación de Security Command Center.
Cada hallazgo contiene la siguiente información, que es exclusiva de la vulnerabilidad de software detectada:
- El nombre de recurso completo de la instancia de EC2 afectada
- Una descripción de la vulnerabilidad, que incluye la siguiente información:
- El paquete de software que contiene la vulnerabilidad
- Información del registro de CVE asociado
- Una evaluación de Mandiant del impacto y la capacidad de explotación de la vulnerabilidad
- Una evaluación de Security Command Center de la gravedad de la vulnerabilidad
- Una puntuación de exposición a ataques para ayudarte a priorizar la solución
- Una representación visual de la ruta que podría tomar un atacante para llegar a los recursos de alto valor que expone la vulnerabilidad
- Si está disponible, los pasos que puedes seguir para solucionar el problema, incluido el parche o la actualización de versión que puedes usar para abordar la vulnerabilidad
Todos los resultados de la Evaluación de vulnerabilidades para AWS comparten los siguientes valores de propiedad:
- Categoría
Software vulnerability- Clase
Vulnerability- Proveedor de servicios en la nube
Amazon Web Services- Fuente
EC2 Vulnerability Assessment
Para obtener información sobre cómo ver los resultados en la consola de Google Cloud, consulta Cómo revisar los resultados en la consola de Google Cloud.
Recursos que se usan durante los análisis
Durante el análisis, la evaluación de vulnerabilidades de AWS usa recursos en Google Cloud y en AWS.
Uso de recursos de Google Cloud
Los recursos que usa Vulnerability Assessment for AWS en Google Cloud se incluyen en el costo de Security Command Center.
Estos recursos incluyen proyectos de inquilino, buckets de Cloud Storage y Workload Identity Federation. Google Cloud administra estos recursos y solo se usan durante las búsquedas activas.
La evaluación de vulnerabilidades de AWS también usa la API de Cloud Asset para recuperar información sobre las cuentas y los recursos de AWS.
Uso de recursos de AWS
En AWS, la evaluación de vulnerabilidades para AWS usa los servicios de AWS Lambda y Amazon Virtual Private Cloud (Amazon VPC). Una vez que se complete el análisis, el servicio de Evaluación de vulnerabilidades para AWS dejará de usar estos servicios de AWS.
AWS factura a tu cuenta de AWS el uso de estos servicios y no identifica el uso como asociado con Security Command Center ni con el servicio de Evaluación de vulnerabilidades para AWS.
Identidad y permisos del servicio
Para las acciones que realiza en Google Cloud, el servicio de Vulnerability Assessment for AWS usa el siguiente agente de servicio de Security Command Center a nivel de la organización para la identidad y el permiso de acceso a los recursos de Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Este agente de servicio contiene el permiso cloudasset.assets.listResource, que el servicio de Vulnerability Assessment for AWS usa para recuperar información sobre las cuentas de AWS de destino del Inventario de activos de Cloud.
Para las acciones que realiza la Evaluación de vulnerabilidades para AWS en AWS, debes crear un rol de IAM de AWS y asignarlo al servicio de Evaluación de vulnerabilidades para AWS cuando configures la plantilla de AWS CloudFormation requerida. Para obtener instrucciones, consulta Roles y permisos.