A avaliação de vulnerabilidades do serviço da Amazon Web Services (AWS) detecta vulnerabilidades em pacotes de software instalados em instâncias do Amazon EC2 (VMs) na plataforma de nuvem da AWS.
A avaliação de vulnerabilidade do serviço da AWS verifica snapshots das instâncias EC2 em execução, para que as cargas de trabalho de produção não sejam afetadas. Esse método de verificação é chamado de verificação de disco sem agente, porque nenhum agente é instalado nas máquinas EC2 alvo.
O serviço de avaliação de vulnerabilidade para a AWS é executado no serviço AWS Lambda e implanta instâncias do EC2 que hospedam verificadores, criam snapshots das instâncias do EC2 de destino e verificam os snapshots.
As verificações são executadas aproximadamente três vezes por dia.
Para cada vulnerabilidade detectada, a Vulnerability Assessment for AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro da vulnerabilidade que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do registro de Vulnerabilidades e Exposições Comuns (CVEs, na sigla em inglês) associado.
Para mais informações sobre as descobertas produzidas pela Vulnerability Assessment for AWS, consulte Vulnerability Assessment for AWS findings.
Descobertas emitidas pela avaliação de vulnerabilidades da AWS
Quando a avaliação de vulnerabilidade para o serviço AWS detecta uma vulnerabilidade de software em uma máquina AWS EC2, o serviço emite uma descoberta no Security Command Center no Google Cloud.
As descobertas individuais e os módulos de detecção correspondentes não estão listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade detectada no software:
- O nome completo do recurso da instância EC2 afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade
- Informações do registro CVE associado
- Uma avaliação da Mandiant sobre o impacto e a vulnerabilidade a explorações
- Uma avaliação da gravidade da vulnerabilidade feita pelo Security Command Center
- Uma pontuação de exposição a ataques para ajudar a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir para acessar os recursos de alto valor expostos pela vulnerabilidade
- Se disponível, etapas que podem ser seguidas para corrigir o problema, incluindo o patch ou o upgrade de versão que pode ser usado para resolver a vulnerabilidade.
Todos os resultados da avaliação de vulnerabilidades da AWS compartilham os seguintes valores de propriedade:
- Categoria
Software vulnerability- Turma
Vulnerability- Provedor de serviços de nuvem
Amazon Web Services- Origem
EC2 Vulnerability Assessment
Para saber como acessar as descobertas no console do Google Cloud, consulte Analisar descobertas no console do Google Cloud.
Recursos usados durante as verificações
Durante a verificação, a Avaliação de vulnerabilidade para AWS usa recursos no Google Cloud e na AWS.
Uso de recursos do Google Cloud
Os recursos que a Vulnerability Assessment for AWS usa no Google Cloud estão incluídos no custo do Security Command Center.
Esses recursos incluem projetos de locatário, buckets do Cloud Storage e federação de identidade da carga de trabalho. Esses recursos são gerenciados pelo Google Cloud e usados apenas durante verificações ativas.
A Vulnerability Assessment for AWS também usa a API Cloud Asset para extrair informações sobre contas e recursos da AWS.
Uso de recursos da AWS
Na AWS, a Avaliação de vulnerabilidade para AWS usa os serviços AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Depois que a verificação for concluída, o serviço de avaliação de vulnerabilidades da AWS vai parar de usar esses serviços da AWS.
A AWS cobra da sua conta da AWS pelo uso desses serviços e não identifica o uso como associado ao Security Command Center ou ao serviço de avaliação de vulnerabilidades da AWS.
Identidade e permissões do serviço
Para as ações que ele realiza no Google Cloud, a Vulnerability Assessment for AWS usa o seguinte agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso a recursos do Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Esse agente de serviço contém a permissão cloudasset.assets.listResource,
que a Avaliação de vulnerabilidade para o serviço da AWS usa para extrair informações sobre as
contas da AWS de destino do Inventário de recursos do Cloud.
Para as ações que a Avaliação de vulnerabilidades da AWS realiza na AWS, crie um papel do IAM da AWS e atribua a função ao serviço de Avaliação de vulnerabilidades da AWS ao configurar o modelo do AWS CloudFormation necessário. Para instruções, consulte Papéis e permissões.