Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte les failles dans les packages logiciels installés sur les instances Amazon EC2 (VM) sur la plate-forme cloud AWS.
L'évaluation des failles pour le service AWS analyse les instantanés des instances EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les machines EC2 cibles.
L'évaluation des failles pour le service AWS s'exécute sur le service AWS Lambda et déploie des instances EC2 qui hébergent des analyseurs, créent des instantanés des instances EC2 cibles et analysent les instantanés.
Les analyses sont effectuées environ trois fois par jour.
Pour chaque faille détectée, l'évaluation des failles pour AWS génère un résultat dans Security Command Center. Un résultat est un enregistrement de la faille qui contient des détails sur la ressource AWS concernée et la faille, y compris des informations issues de l'enregistrement CVE (Common Vulnerabilities and Exposures) associé.
Pour en savoir plus sur les résultats produits par l'évaluation des failles pour AWS, consultez la page Évaluation des failles pour les résultats d'AWS.
Résultats générés par l'évaluation des failles pour AWS
Lorsque le service d'évaluation des failles pour AWS détecte une faille logicielle sur une machine AWS EC2, le service émet un résultat dans Security Command Center sur Google Cloud.
Les résultats individuels et les modules de détection correspondants ne sont pas répertoriés dans la documentation de Security Command Center.
Chaque résultat contient les informations suivantes, uniques sur la faille logicielle détectée:
- Nom de ressource complet de l'instance EC2 concernée
- Description de la faille, y compris les informations suivantes :
- Le package logiciel qui contient la faille
- Informations de l'enregistrement CVE associé
- Évaluation par Mandiant de l’impact et de l’exploitabilité de la faille
- Évaluation de Security Command Center de la gravité de la faille
- Un score d'exposition au piratage pour vous aider à prioriser les mesures correctives
- Représentation visuelle du chemin qu'un pirate informatique peut emprunter pour accéder aux ressources de forte valeur exposées par la faille
- Le cas échéant, les mesures que vous pouvez prendre pour résoudre le problème, y compris le correctif ou la mise à niveau de version que vous pouvez utiliser pour corriger la faille
Tous les résultats de l'évaluation des failles pour AWS partagent les valeurs de propriété suivantes:
- Catégorie
Software vulnerability- Classe
Vulnerability- Fournisseur de services cloud
Amazon Web Services- Source
EC2 Vulnerability Assessment
Pour en savoir plus sur l'affichage des résultats dans la console Google Cloud, consultez la page Examiner les résultats dans la console Google Cloud.
Ressources utilisées par l'évaluation des failles pour AWS lors des analyses
Lors de l'analyse, l'évaluation des failles pour AWS utilise des ressources sur Google Cloud et sur AWS.
Utilisation des ressources Google Cloud
Les ressources utilisées par l'évaluation des failles pour AWS sur Google Cloud sont incluses dans le coût de Security Command Center.
Ces ressources incluent les projets locataires, les buckets Cloud Storage et la fédération d'identité de charge de travail. Ces ressources sont gérées par Google Cloud et ne sont utilisées que pendant les analyses
L'évaluation des failles pour AWS utilise également l'API Cloud Asset pour récupérer des informations sur les comptes et les ressources AWS.
Utilisation des ressources AWS
Sur AWS, l'évaluation des failles pour AWS utilise les services AWS Lambda et Amazon Virtual Private Cloud (Amazon VPC). Une fois l'analyse terminée, le service d'évaluation des failles pour AWS cesse d'utiliser ces services AWS.
AWS facture votre compte AWS pour l'utilisation de ces services et n'identifie pas l'utilisation comme étant associée à Security Command Center ou au service Vulnerability Assessment pour AWS.
Identité du service et autorisations
Pour les actions qu'il effectue sur Google Cloud, l'évaluation des failles pour AWS utilise l'agent de service Security Command Center suivant au niveau de l'organisation pour déterminer l'identité et l'autorisation d'accès aux ressources Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Cet agent de service contient l'autorisation cloudasset.assets.listResource, qui permet à l'évaluation des failles pour le service AWS afin de récupérer des informations sur les comptes AWS cibles à partir de l'inventaire des éléments cloud.
Pour les actions effectuées par l'évaluation des failles pour AWS sur AWS, vous devez créer un rôle AWS IAM et l'attribuer au service Évaluation des failles pour AWS lorsque vous configurez le modèle AWS CloudFormation requis. Pour obtenir des instructions, consultez la page Rôles et autorisations.