A avaliação de vulnerabilidades do serviço Amazon Web Services (AWS) detecta vulnerabilidades em pacotes de software instalados em instâncias do Amazon EC2 (VMs) na plataforma de nuvem AWS.
A avaliação de vulnerabilidade para serviços da AWS verifica snapshots das instâncias do EC2 em execução. Portanto, as cargas de trabalho de produção não são afetadas. Esse método é chamado de verificação de disco sem agente, porque nenhum agente está instalado nas máquinas de destino do EC2.
A avaliação de vulnerabilidades para o serviço AWS é executada no serviço AWS Lambda e implanta instâncias do EC2 que hospedam scanners, criam snapshots das instâncias de destino do EC2 e verificam os snapshots.
As verificações são executadas aproximadamente três vezes por dia.
Para cada vulnerabilidade detectada, a avaliação de vulnerabilidades da AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro da vulnerabilidade que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do registro de Vulnerabilidades e Exposições Comuns (CVEs, na sigla em inglês) associado.
Para mais informações sobre as descobertas produzidas pela avaliação de vulnerabilidades para a AWS, consulte Avaliação de vulnerabilidades para descobertas da AWS.
Descobertas emitidas pela avaliação de vulnerabilidades para a AWS
Quando o serviço de avaliação de vulnerabilidades da AWS detecta uma vulnerabilidade de software em uma máquina AWS EC2, o serviço emite uma descoberta no Security Command Center no Google Cloud.
As descobertas individuais e os módulos de detecção correspondentes não estão listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações, que são exclusivas da vulnerabilidade de software detectada:
- O nome completo do recurso da instância do EC2 afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software com a vulnerabilidade
- Informações do registro de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração da vulnerabilidade
- Uma avaliação do Security Command Center da gravidade da vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir para os recursos de alto valor expostos pela vulnerabilidade
- Se disponíveis, etapas que você pode seguir para corrigir o problema, incluindo o patch ou upgrade de versão que você pode usar para resolver a vulnerabilidade
Todas as descobertas da avaliação de vulnerabilidades da AWS compartilham os seguintes valores de propriedade:
- Categoria
Software vulnerability- Aula
Vulnerability- Provedor de serviços de nuvem
Amazon Web Services- Origem
EC2 Vulnerability Assessment
Para informações sobre como visualizar descobertas no console do Google Cloud, consulte Analisar descobertas no console do Google Cloud.
Recursos usados pela avaliação de vulnerabilidades para a AWS durante verificações
Durante a verificação, a avaliação de vulnerabilidades para a AWS usa recursos no Google Cloud e na AWS.
Uso de recursos do Google Cloud
Os recursos que a avaliação de vulnerabilidades para a AWS usa no Google Cloud estão incluídos no custo do Security Command Center.
Esses recursos incluem projetos de locatário, buckets do Cloud Storage e federação de identidade da carga de trabalho. Esses recursos são gerenciados pelo Google Cloud e usados apenas durante verificações ativas,
A avaliação de vulnerabilidades para a AWS também usa a API Cloud Asset para recuperar informações sobre contas e recursos da AWS.
Uso de recursos da AWS
Na AWS, a avaliação de vulnerabilidades para AWS usa os serviços AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Após a conclusão da verificação, a avaliação de vulnerabilidades do serviço da AWS para de usar esses serviços da AWS.
A AWS cobra sua conta da AWS pelo uso desses serviços e não identifica o uso como associado ao Security Command Center ou à avaliação de vulnerabilidades para o serviço da AWS.
Identidade e permissões do serviço
Para as ações que realiza no Google Cloud, a avaliação de vulnerabilidades para o serviço da AWS usa o seguinte agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso aos recursos do Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Esse agente de serviço contém a permissão cloudasset.assets.listResource, que a avaliação de vulnerabilidades do serviço da AWS usa para recuperar
informações sobre as contas de destino da AWS do Inventário de recursos do Cloud.
Para as ações realizadas pela avaliação de vulnerabilidades para a AWS na AWS, crie um papel do IAM da AWS e atribua-o à avaliação de vulnerabilidades do serviço da AWS ao configurar o modelo necessário do AWS CloudFormation. Para mais instruções, consulte Papéis e permissões.