Il servizio Vulnerability Assessment for Amazon Web Services (AWS) rileva le vulnerabilità in di pacchetti software installati su Istanze Amazon EC2 (VM) sulla piattaforma cloud AWS.
Il servizio Valutazione delle vulnerabilità per il servizio AWS scansiona gli snapshot dell'EC2 in esecuzione di istanze VM, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamata scansione dei dischi senza agente, perché nessun agente è installato sul macchine EC2 target.
Il servizio Valutazione delle vulnerabilità per AWS viene eseguito sul servizio AWS Lambda ed esegue il deployment di istanze EC2 che ospitano scanner, creano snapshot delle istanze EC2 di destinazione ed eseguire la scansione degli snapshot.
Le scansioni vengono eseguite circa tre volte al giorno.
Per ogni vulnerabilità rilevata, Vulnerability Assessment per AWS genera un finding in Security Command Center. Un risultato è un record del vulnerabilità che contiene dettagli sulla risorsa AWS interessata e la vulnerabilità, incluse le informazioni del team comune Vulnerabilità ed esposizioni (CVE) record.
Per ulteriori informazioni sui risultati prodotti Valutazione delle vulnerabilità per AWS, vedi Valutazione delle vulnerabilità per i risultati di AWS.
Risultati pubblicati dalla valutazione delle vulnerabilità per AWS
Quando il servizio di valutazione delle vulnerabilità per AWS rileva una vulnerabilità del software. su una macchina AWS EC2, il servizio invia un risultato in Security Command Center su Google Cloud.
I singoli risultati e i relativi moduli di rilevamento non vengono elencato nella documentazione di Security Command Center.
Ciascun risultato contiene le seguenti informazioni, univoche per ha rilevato una vulnerabilità software:
- Il nome completo della risorsa dell'istanza EC2 interessata
- Una descrizione della vulnerabilità che includa le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità
- Informazioni del record CVE associato
- Una valutazione di Mandiant dell’impatto e della sfruttabilità del vulnerabilità
- Una valutazione da parte di Security Command Center della gravità del vulnerabilità
- Un punteggio di esposizione agli attacchi per aiutarti a stabilire le priorità delle correzioni
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire risorse di alto valore esposte dalla vulnerabilità
- Se disponibili, i passaggi che puoi seguire per risolvere il problema, incluse le una patch o un upgrade della versione che puoi utilizzare per risolvere la vulnerabilità
Tutti i risultati della valutazione delle vulnerabilità per AWS condividono i seguenti valori delle proprietà:
- Categoria
Software vulnerability- Classe
Vulnerability- Provider di servizi cloud
Amazon Web Services- Origine
EC2 Vulnerability Assessment
Per informazioni sulla visualizzazione dei risultati nella console Google Cloud, consulta Esamina i risultati nella console Google Cloud.
Risorse utilizzate dalla Valutazione delle vulnerabilità per AWS durante le scansioni
Durante la scansione, Valutazione delle vulnerabilità per AWS utilizza le risorse su entrambi su Google Cloud e su AWS.
Utilizzo delle risorse Google Cloud
Le risorse utilizzate da Vulnerability Assessment per AWS su Google Cloud sono inclusi nel costo di Security Command Center.
Queste risorse includono progetti tenant, Bucket Cloud Storage, Federazione delle identità per carichi di lavoro. Queste risorse sono gestite da Google Cloud e utilizzata solo durante le scansioni attive,
La valutazione delle vulnerabilità per AWS utilizza anche l'API Cloud Asset per recuperare informazioni sugli account e sulle risorse AWS.
Utilizzo delle risorse AWS
Su AWS, la valutazione delle vulnerabilità per AWS utilizza AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC) i servizi di machine learning. Al termine della scansione, il servizio Valutazione delle vulnerabilità per AWS smette di utilizzare i servizi AWS.
AWS fattura il tuo account AWS per l'utilizzo di questi servizi e non ne identifica l'utilizzo come associato Security Command Center o il servizio Valutazione delle vulnerabilità per AWS.
Identità e autorizzazioni del servizio
Per le azioni che esegue su Google Cloud, La valutazione delle vulnerabilità per il servizio AWS utilizza quanto segue Agente di servizio Security Command Center a livello di organizzazione per quanto riguarda l'identità e le autorizzazioni di accesso Risorse Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Questo agente di servizio contiene cloudasset.assets.listResource
utilizzata per recuperare l'autorizzazione Valutazione delle vulnerabilità per il servizio AWS
informazioni sugli account AWS di destinazione da Cloud Asset Inventory.
Per le azioni eseguite su AWS da Valutazione delle vulnerabilità per AWS, devi creare un ruolo AWS IAM e assegnare il ruolo al Valutazione delle vulnerabilità per il servizio AWS quando configuri il modello AWS CloudFormation richiesto. Per istruzioni, consulta Ruoli e autorizzazioni.