Il servizio Vulnerability Assessment for Amazon Web Services (AWS) rileva le vulnerabilità nei pacchetti software installati su istanze Amazon EC2 (VM) sulla piattaforma cloud AWS.
Il servizio Valutazione delle vulnerabilità per AWS analizza gli snapshot delle istanze EC2 in esecuzione, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamato scansione dei dischi senza agente, perché non è installato nessun agente sulle macchine EC2 di destinazione.
Il servizio Valutazione delle vulnerabilità per AWS viene eseguito sul servizio AWS Lambda ed esegue il deployment di istanze EC2 che ospitano scanner, creano snapshot delle istanze EC2 di destinazione e analizzano gli snapshot.
Le scansioni vengono eseguite circa tre volte al giorno.
Per ogni vulnerabilità rilevata, Valutazione delle vulnerabilità per AWS genera un rilevamento in Security Command Center. Un risultato è un record della vulnerabilità contenente dettagli sulla risorsa AWS interessata e la vulnerabilità, incluse informazioni del record di vulnerabilità ed esposizioni comuni (CVE) associato.
Per ulteriori informazioni sui risultati prodotti da Valutazione delle vulnerabilità per AWS, consulta Valutazione delle vulnerabilità per risultati AWS.
Risultati pubblicati dalla valutazione delle vulnerabilità per AWS
Quando il servizio di valutazione delle vulnerabilità per AWS rileva una vulnerabilità del software in una macchina AWS EC2, il servizio genera un risultato in Security Command Center su Google Cloud.
I singoli risultati e i moduli di rilevamento corrispondenti non sono elencati nella documentazione di Security Command Center.
Ogni risultato contiene le seguenti informazioni, univoche per la vulnerabilità del software rilevata:
- Il nome completo della risorsa dell'istanza EC2 interessata
- Una descrizione della vulnerabilità, che includa le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità
- Informazioni del record CVE associato
- Una valutazione di Mandiant sull'impatto e sulla sfruttabilità della vulnerabilità
- Una valutazione da parte di Security Command Center della gravità della vulnerabilità
- Un punteggio di esposizione agli attacchi per aiutarti a stabilire le priorità delle correzioni
- Una rappresentazione visiva del percorso che un utente può seguire per accedere alle risorse di alto valore
- Se disponibili, i passaggi che puoi seguire per risolvere il problema, compresa la patch o l'upgrade della versione che puoi utilizzare per risolvere la vulnerabilità
Tutti i risultati della valutazione delle vulnerabilità per AWS condividono i seguenti valori delle proprietà:
- Categoria
Software vulnerability- Classe
Vulnerability- Provider di servizi cloud
Amazon Web Services- Origine
EC2 Vulnerability Assessment
Per informazioni sulla visualizzazione dei risultati nella console Google Cloud, consulta Esaminare i risultati nella console Google Cloud.
Risorse utilizzate dalla Valutazione delle vulnerabilità per AWS durante le scansioni
Durante la scansione, la valutazione delle vulnerabilità per AWS utilizza le risorse sia su Google Cloud che su AWS.
Utilizzo delle risorse Google Cloud
Le risorse utilizzate da Valutazione delle vulnerabilità per AWS su Google Cloud sono incluse nel costo di Security Command Center.
Queste risorse includono progetti tenant, bucket Cloud Storage e Federazione delle identità per carichi di lavoro. Queste risorse sono gestite da Google Cloud e utilizzate solo durante le scansioni attive,
La valutazione delle vulnerabilità per AWS utilizza anche l'API Cloud Asset per recuperare informazioni su account e risorse AWS.
Utilizzo delle risorse AWS
Su AWS, la valutazione delle vulnerabilità per AWS utilizza i servizi AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Al termine della scansione, il servizio di valutazione delle vulnerabilità per AWS interromperà l'utilizzo di questi servizi AWS.
AWS addebita all'account AWS l'utilizzo di questi servizi e non identifica l'utilizzo come associato a Security Command Center o al servizio Valutazione delle vulnerabilità per AWS.
Identità e autorizzazioni del servizio
Per le azioni che esegue su Google Cloud, il servizio Valutazione delle vulnerabilità per AWS utilizza il seguente agente di servizio Security Command Center a livello di organizzazione per l'identità e le autorizzazioni di accesso alle risorse Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Questo agente di servizio contiene l'autorizzazione cloudasset.assets.listResource, utilizzata da Valutazione delle vulnerabilità per il servizio AWS per recuperare
informazioni sugli account AWS di destinazione da Cloud Asset Inventory.
Per le azioni eseguite su AWS da Valutazione delle vulnerabilità per AWS, puoi creare un ruolo IAM AWS e assegnarlo al servizio Valutazione delle vulnerabilità per AWS quando configuri il modello AWS CloudFormation richiesto. Per le istruzioni, vedi Ruoli e autorizzazioni.