El servicio de Evaluación de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades en paquetes de software que se instalan en Instancias de Amazon EC2 (VM) en la plataforma de nube de AWS.
La Evaluación de vulnerabilidades para el servicio de AWS analiza instantáneas de la EC2 en ejecución. instancias, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de búsqueda es llamado análisis de discos sin agente, porque no hay agentes instalados en el máquinas de EC2 objetivo.
La evaluación de vulnerabilidades para el servicio de AWS se ejecuta en el servicio de AWS Lambda e implementa instancias de EC2 que alojan escáneres, crean instantáneas de las instancias de EC2 de destino y analiza las instantáneas.
Los análisis se ejecutan aproximadamente tres veces al día.
Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un finding en Security Command Center. Un hallazgo es un registro de una vulnerabilidad que contenga detalles sobre el recurso de AWS afectado y la vulnerabilidad, incluida la información del dominio Common Vulnerabilidad y exposiciones (CVE) registro.
Para obtener más información sobre los hallazgos Evaluación de vulnerabilidades para AWS, consulta Evaluación de vulnerabilidades para los hallazgos de AWS.
Hallazgos emitidos por la Evaluación de vulnerabilidades para AWS
Cuando la Evaluación de vulnerabilidades para el servicio de AWS detecta una vulnerabilidad de software en una máquina EC2 de AWS, el servicio emite un hallazgo en Security Command Center en Google Cloud.
Los hallazgos individuales y sus módulos de detección correspondientes no se en la documentación de Security Command Center.
Cada hallazgo contiene la siguiente información que es exclusiva del vulnerabilidad de software detectada:
- El nombre completo del recurso de la instancia EC2 afectada
- Una descripción de la vulnerabilidad que incluya la siguiente información:
- El paquete de software que contiene la vulnerabilidad
- Información del registro de CVE asociado
- Una evaluación de Mandiant del impacto y la explotación de la vulnerabilidad
- Una evaluación de Security Command Center de la gravedad de la vulnerabilidad
- Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
- Una representación visual del camino que un atacante podría tomar hacia la recursos de alto valor expuestos por la vulnerabilidad
- Si hay pasos que puedes seguir para solucionar el problema, como un parche o una actualización de versión que puedes usar para abordar la vulnerabilidad
Todos los hallazgos de la Evaluación de vulnerabilidades para AWS comparten los siguientes valores de propiedad:
- Categoría
Software vulnerability- Clase
Vulnerability- Proveedor de servicios en la nube
Amazon Web Services- Fuente
EC2 Vulnerability Assessment
Si necesitas información para ver los resultados en la consola de Google Cloud, consulta Revisa los resultados en la consola de Google Cloud.
Recursos usados por la Evaluación de vulnerabilidades para AWS durante los análisis
Durante el análisis, la evaluación de vulnerabilidades para AWS usa recursos en ambas en Google Cloud y en AWS.
Uso de recursos de Google Cloud
Los recursos que usa la Evaluación de vulnerabilidades para AWS en Google Cloud están incluidos en el costo de Security Command Center.
Estos recursos incluyen proyectos de usuario Buckets de Cloud Storage y Federación de identidades para cargas de trabajo. Google Cloud administra estos recursos usarse solo durante los análisis activos,
La Evaluación de vulnerabilidades para AWS también usa la API de Cloud Asset para recuperar información sobre cuentas y recursos de AWS.
Uso de recursos de AWS
En AWS, la Evaluación de vulnerabilidades para AWS usa el AWS Lambda y Amazon Virtual Private Cloud (Amazon VPC) de Google Cloud. Después de completar el análisis, la Evaluación de vulnerabilidades para el servicio de AWS deja de usar estos servicios de AWS.
AWS factura a tu cuenta por el uso de estos servicios y no identifica el uso como asociado Security Command Center o la Evaluación de vulnerabilidades para el servicio de AWS.
Identidad y permisos del servicio
Para las acciones que realiza en Google Cloud, la La evaluación de vulnerabilidades para el servicio de AWS usa los siguientes elementos: Agente de servicio de Security Command Center a nivel de la organización para la identidad y el permiso de acceso Recursos de Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Este agente de servicio contiene el cloudasset.assets.listResource
permiso, que la Evaluación de vulnerabilidades para el servicio de AWS usa para recuperar
información sobre las cuentas de AWS de destino de Cloud Asset Inventory.
Para las acciones que realiza la Evaluación de vulnerabilidades para AWS en AWS, debes crear un rol de IAM de AWS y asignarlo al servicio de Evaluación de vulnerabilidades para el servicio de AWS cuando configures la plantilla requerida de AWS CloudFormation. Para obtener instrucciones, consulta Funciones y permisos.