Présentation de l'évaluation des failles pour AWS

Le service d'évaluation des failles pour Amazon Web Services (AWS) détecte les failles dans les paquets logiciels installés sur les instances Amazon EC2 (VM) sur la plate-forme cloud AWS.

Le service d'évaluation des failles pour AWS analyse les instantanés des instances EC2 en cours d'exécution. Les charges de travail de production ne sont donc pas affectées. Cette méthode d'analyse est appelée analyse de disque sans agent, car aucun agent n'est installé sur les machines EC2 cibles.

Le service d'évaluation des failles pour AWS s'exécute sur le service AWS Lambda et déploie des instances EC2 qui hébergent des outils d'analyse, créent des instantanés des instances EC2 cibles et analysent les instantanés.

Les analyses s'exécutent environ trois fois par jour.

Pour chaque faille détectée, l'évaluation des failles pour AWS génère un résultat dans Security Command Center. Un résultat est un enregistrement de la faille qui contient des informations sur la ressource AWS concernée et la faille, y compris des informations de l'enregistrement Common Vulnerability and Exposures (CVE) associé.

Pour en savoir plus sur les résultats générés par l'évaluation des failles pour AWS, consultez la section Résultats de l'évaluation des failles pour AWS.

Résultats de l'évaluation des failles pour AWS

Lorsque le service d'évaluation des failles pour AWS détecte une faille logicielle sur une machine AWS EC2, il génère une analyse dans Security Command Center sur Google Cloud.

Les résultats individuels et les modules de détection correspondants ne sont pas listés dans la documentation de Security Command Center.

Chaque résultat contient les informations suivantes, propres à la faille logicielle détectée:

  • Nom complet de la ressource de l'instance EC2 concernée
  • Une description de la faille, y compris les informations suivantes :
    • Le package logiciel contenant la faille
    • Informations de l'enregistrement CVE associé
    • Évaluation de l'impact et de l'exploitabilité de la faille par Mandiant
    • Une évaluation de la gravité de la faille par Security Command Center
  • Un score d'exposition aux attaques pour vous aider à hiérarchiser les corrections
  • Représentation visuelle du chemin qu'un pirate informatique peut emprunter vers les ressources à forte valeur ajoutée exposées par la faille
  • Le cas échéant, les étapes à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de version à utiliser pour corriger la faille

Toutes les conclusions de l'évaluation des failles pour AWS partagent les valeurs de propriété suivantes:

Catégorie
Software vulnerability
Classe
Vulnerability
Fournisseur de services cloud
Amazon Web Services
Source
EC2 Vulnerability Assessment

Pour en savoir plus sur l'affichage des résultats dans la console Google Cloud, consultez la section Examiner les résultats dans la console Google Cloud.

Ressources utilisées lors des analyses

Lors de l'analyse, l'évaluation des failles pour AWS utilise des ressources à la fois sur Google Cloud et sur AWS.

Utilisation des ressources Google Cloud

Les ressources utilisées par l'évaluation des failles pour AWS sur Google Cloud sont incluses dans le coût de Security Command Center.

Ces ressources incluent les projets de locataire, les buckets Cloud Storage et la fédération d'identités de charge de travail. Ces ressources sont gérées par Google Cloud et ne sont utilisées que lors des analyses actives.

L'évaluation des failles pour AWS utilise également l'API Cloud Asset pour récupérer des informations sur les comptes et les ressources AWS.

Utilisation des ressources AWS

Sur AWS, l'évaluation des failles pour AWS utilise les services AWS Lambda et Amazon Virtual Private Cloud (Amazon VPC). Une fois l'analyse terminée, le service d'évaluation des failles pour AWS cesse d'utiliser ces services AWS.

AWS facture l'utilisation de ces services à votre compte AWS et n'identifie pas l'utilisation comme étant associée à Security Command Center ou au service d'évaluation des failles pour AWS.

Identité et autorisations du service

Pour les actions qu'il effectue sur Google Cloud, le service d'évaluation des failles pour AWS utilise le service agent Security Command Center suivant au niveau de l'organisation pour l'identité et l'autorisation d'accéder aux ressources Google Cloud:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Cet agent de service contient l'autorisation cloudasset.assets.listResource, que le service d'évaluation des failles de sécurité pour AWS utilise pour récupérer des informations sur les comptes AWS cibles à partir de l'inventaire des ressources Cloud.

Pour les actions effectuées par l'évaluation des failles pour AWS sur AWS, vous devez créer un rôle IAM AWS et l'attribuer au service d'évaluation des failles pour AWS lorsque vous configurez le modèle AWS CloudFormation requis. Pour obtenir des instructions, consultez la section Rôles et autorisations.