Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità nei pacchetti di software installati sulle istanze Amazon EC2 (VM) sulla piattaforma cloud AWS.
Il servizio di valutazione delle vulnerabilità per AWS esegue la scansione degli snapshot delle istanze EC2 in esecuzione, pertanto i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamato scansione dei dischi senza agente, perché non sono installati agenti sulle macchine EC2 di destinazione.
Il servizio Valutazione delle vulnerabilità per AWS viene eseguito sul servizio AWS Lambda e esegue il deployment di istanze EC2 che ospitano gli scanner, creano snapshot delle istanze EC2 di destinazione e le analizzano.
Le scansioni vengono eseguite circa tre volte al giorno.
Per ogni vulnerabilità rilevata, la Valutazione delle vulnerabilità per AWS genera un risultato in Security Command Center. Un risultato è un record della vulnerabilità che contiene dettagli sulla risorsa AWS interessata e sulla vulnerabilità, incluse le informazioni del record associato Vulnerabilità ed esposizioni comuni (CVE).
Per ulteriori informazioni sui risultati generati da Vulnerability Assessment per AWS, consulta Risultati della valutazione delle vulnerabilità per AWS.
Risultati emessi da Vulnerability Assessment for AWS
Quando il servizio di valutazione delle vulnerabilità per AWS rileva una vulnerabilità del software su una macchina EC2 AWS, il servizio genera un risultato in Security Command Center su Google Cloud.
I singoli risultati e i relativi moduli di rilevamento non sono elencati nella documentazione di Security Command Center.
Ogni risultato contiene le seguenti informazioni univoche relative alla vulnerabilità del software rilevata:
- Il nome completo della risorsa dell'istanza EC2 interessata
- Una descrizione della vulnerabilità, incluse le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità
- Informazioni del record CVE associato
- Una valutazione di Mandiant dell'impatto e della sfruttabilità della vulnerabilità
- Una valutazione della gravità della vulnerabilità da parte di Security Command Center
- Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte dalla vulnerabilità
- Se disponibili, i passaggi da seguire per risolvere il problema, inclusa la patch o l'upgrade della versione che puoi utilizzare per risolvere la vulnerabilità
Tutti i risultati della valutazione delle vulnerabilità per AWS condividono i seguenti valori di proprietà:
- Categoria
Software vulnerability- Classe
Vulnerability- Provider di servizi cloud
Amazon Web Services- Origine
EC2 Vulnerability Assessment
Per informazioni su come visualizzare i risultati nella console Google Cloud, consulta Esaminare i risultati nella console Google Cloud.
Risorse utilizzate durante le scansioni
Durante la scansione, la valutazione delle vulnerabilità per AWS utilizza risorse sia su Google Cloud che su AWS.
Utilizzo delle risorse Google Cloud
Le risorse utilizzate da Vulnerability Assessment per AWS su Google Cloud sono incluse nel costo di Security Command Center.
Queste risorse includono progetti tenant, bucket Cloud Storage e Federazione delle identità di lavoro. Queste risorse sono gestite da Google Cloud e vengono utilizzate solo durante le ricerche attive.
La valutazione delle vulnerabilità per AWS utilizza anche l'API Cloud Asset per recuperare informazioni su account e risorse AWS.
Utilizzo delle risorse AWS
Su AWS, la valutazione della vulnerabilità per AWS utilizza i servizi AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Al termine della scansione, il servizio di valutazione delle vulnerabilità per AWS interrompe l'utilizzo di questi servizi AWS.
AWS fattura il tuo account AWS per l'utilizzo di questi servizi e non identifica l'utilizzo come associato a Security Command Center o al servizio Vulnerability Assessment per AWS.
Identità e autorizzazioni di servizio
Per le azioni che esegue su Google Cloud, il servizio Valutazione della vulnerabilità per AWS utilizza il seguente agente di servizio Security Command Center a livello di organizzazione per l'identità e l'autorizzazione di accesso alle risorse Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Questo agente di servizio contiene l'autorizzazione cloudasset.assets.listResource,
che il servizio di valutazione delle vulnerabilità per AWS utilizza per recuperare informazioni sugli account AWS di destinazione da Cloud Asset Inventory.
Per le azioni eseguite da Vulnerability Assessment for AWS su AWS, crea un ruolo IAM AWS e assegnalo al servizio Vulnerability Assessment for AWS quando configuri il modello AWS CloudFormation richiesto. Per le istruzioni, consulta Ruoli e autorizzazioni.