El servicio Evaluación de vulnerabilidades de Amazon Web Services (AWS) detecta vulnerabilidades en los siguientes recursos de AWS:
- Paquetes de software instalados en instancias de Amazon EC2
- Paquetes de software y configuraciones incorrectas del sistema operativo en imágenes de Elastic Container Registry (ECR)
El servicio Vulnerability Assessment for AWS analiza las copias de las instancias de EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se llama análisis de discos sin agente, ya que no se instalan agentes en las máquinas EC2 de destino.
El servicio Vulnerability Assessment for AWS se ejecuta en el servicio AWS Lambda y despliega instancias de EC2 que alojan escáneres, crean instantáneas de las instancias de EC2 de destino y analizan las instantáneas.
Puedes definir el intervalo de análisis entre 6 y 24 horas.
Por cada vulnerabilidad detectada, Vulnerability Assessment for AWS genera un resultado en Security Command Center. Un hallazgo es un registro de la vulnerabilidad que contiene detalles sobre el recurso de AWS afectado y la vulnerabilidad, incluida información del registro de vulnerabilidades y exposiciones comunes (CVEs) asociado.
Para obtener más información sobre las detecciones que genera Vulnerability Assessment for AWS, consulta Detecciones de Vulnerability Assessment for AWS.
Resultados generados por Vulnerability Assessment for AWS
Cuando el servicio Vulnerability Assessment for AWS detecta una vulnerabilidad de software en una máquina de AWS EC2 o en una imagen de Elastic Container Registry, genera un resultado en Security Command Center en Google Cloud.
Los resultados individuales y sus módulos de detección correspondientes no se indican en la documentación de Security Command Center.
Cada resultado contiene la siguiente información, que es única para la vulnerabilidad de software detectada:
- Nombre de recurso completo de la instancia o imagen afectadas
- Una descripción de la vulnerabilidad, que incluya la siguiente información:
- El paquete de software que contiene la vulnerabilidad
- Información del registro de CVE asociado
- Una evaluación de Mandiant sobre el impacto y la posibilidad de explotar la vulnerabilidad
- Una evaluación de Security Command Center sobre la gravedad de la vulnerabilidad
- Una puntuación de exposición a ataques que te ayuda a priorizar la corrección
- Una representación visual de la ruta que podría seguir un atacante para acceder a los recursos de alto valor expuestos por la vulnerabilidad
- Si están disponibles, los pasos que puedes seguir para solucionar el problema, incluido el parche o la actualización de versión que puedes usar para abordar la vulnerabilidad
Todos los hallazgos de la evaluación de vulnerabilidades de AWS comparten los siguientes valores de propiedad:
- Categoría
Software vulnerability- Clase
Vulnerability- Proveedor de servicios en la nube
Amazon Web Services- Fuente
EC2 Vulnerability Assessment
Para obtener información sobre cómo ver las detecciones en la Google Cloud consola, consulta el artículo Revisar detecciones en la Google Cloud consola.
Recursos utilizados durante los análisis
Durante el análisis, Vulnerability Assessment for AWS usa recursos tanto en Google Cloudcomo en AWS.
Google Cloud uso de recursos
Los recursos que usa Vulnerability Assessment para AWS en Google Cloud se incluyen en el coste de Security Command Center.
Estos recursos incluyen proyectos de arrendatario, segmentos de Cloud Storage y federación de identidades de carga de trabajo. Google Cloud gestiona estos recursos, que solo se usan durante los análisis activos.
Vulnerability Assessment for AWS también usa la API Cloud Asset para obtener información sobre las cuentas y los recursos de AWS.
Uso de recursos de AWS
En AWS, Vulnerability Assessment for AWS usa los servicios AWS Lambda y Amazon Virtual Private Cloud (Amazon VPC). Una vez finalizado el análisis, el servicio Vulnerability Assessment for AWS dejará de usar estos servicios de AWS.
AWS factura a tu cuenta de AWS el uso de estos servicios y no identifica el uso como asociado a Security Command Center o al servicio Vulnerability Assessment for AWS.
Identidad y permisos de servicio
Para las acciones que realiza en Google Cloud, el servicio Vulnerability Assessment for AWS usa el siguiente agente de servicio de Security Command Center a nivel de organización para la identidad y para el permiso de acceso a los recursos deGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Este agente de servicio contiene el permiso cloudasset.assets.listResource, que usa el servicio Vulnerability Assessment for AWS para obtener información sobre las cuentas de AWS de destino de Cloud Asset Inventory.
Para las acciones que realiza Vulnerability Assessment for AWS en AWS, debes crear un rol de gestión de identidades y accesos de AWS y asignarlo al servicio Vulnerability Assessment for AWS cuando configures la plantilla de AWS CloudFormation necesaria. Para obtener instrucciones, consulta Roles y permisos.