Il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità nei pacchetti software installati su istanze Amazon EC2 (VM) sulla piattaforma cloud AWS.
Il servizio Valutazione delle vulnerabilità per il servizio AWS scansiona gli snapshot dell'EC2 in esecuzione per le istanze VM, quindi i carichi di lavoro di produzione non sono interessati. Questo metodo di scansione è chiamata scansione dei dischi senza agente, perché nessun agente è installato nella macchine EC2 target.
Il servizio Valutazione delle vulnerabilità per AWS viene eseguito sul servizio AWS Lambda ed esegue il deployment di istanze EC2 che ospitano scanner, creano snapshot delle istanze EC2 di destinazione ed eseguire la scansione degli snapshot.
Le scansioni vengono eseguite circa tre volte al giorno.
Per ogni vulnerabilità rilevata, la Valutazione delle vulnerabilità per AWS genera un risultato in Security Command Center. Un risultato è un record del vulnerabilità che contiene dettagli sulla risorsa AWS interessata e la vulnerabilità, incluse le informazioni del team comune Vulnerabilità ed esposizioni (CVE) record.
Per ulteriori informazioni sui risultati generati da Vulnerability Assessment per AWS, consulta Risultati di Vulnerability Assessment per AWS.
Risultati emessi da Vulnerability Assessment per AWS
Quando il servizio di valutazione della vulnerabilità per AWS rileva una vulnerabilità del software su una macchina AWS EC2, il servizio genera un risultato in Security Command Center su Google Cloud.
I singoli risultati e i relativi moduli di rilevamento non sono elencati nella documentazione di Security Command Center.
Ogni risultato contiene le seguenti informazioni univoche relative alla vulnerabilità del software rilevata:
- Il nome completo della risorsa dell'istanza EC2 interessata
- Una descrizione della vulnerabilità, incluse le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità
- Informazioni del record CVE associato
- Una valutazione di Mandiant dell’impatto e della sfruttabilità del vulnerabilità
- Una valutazione della gravità della vulnerabilità da parte di Security Command Center
- Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire risorse di alto valore esposte dalla vulnerabilità
- Se disponibili, i passaggi da seguire per risolvere il problema, inclusa la patch o l'upgrade di versione che puoi utilizzare per risolvere la vulnerabilità
Tutti i risultati della valutazione delle vulnerabilità per AWS condividono i seguenti valori delle proprietà:
- Categoria
Software vulnerability- Classe
Vulnerability- Provider di servizi cloud
Amazon Web Services- Origine
EC2 Vulnerability Assessment
Per informazioni sulla visualizzazione dei risultati nella console Google Cloud, consulta Esamina i risultati nella console Google Cloud.
Risorse utilizzate durante le scansioni
Durante la scansione, la valutazione delle vulnerabilità per AWS utilizza risorse sia su Google Cloud sia su AWS.
Utilizzo delle risorse Google Cloud
Le risorse utilizzate da Vulnerability Assessment per AWS su Google Cloud sono incluse nel costo di Security Command Center.
Queste risorse includono progetti tenant, bucket Cloud Storage e Federazione delle identità di lavoro. Queste risorse sono gestite da Google Cloud e utilizzata solo durante le scansioni attive.
La valutazione delle vulnerabilità per AWS utilizza anche l'API Cloud Asset per recuperare informazioni su account e risorse AWS.
Utilizzo delle risorse AWS
Su AWS, la valutazione della vulnerabilità per AWS utilizza i servizi AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Al termine della scansione, il servizio di valutazione delle vulnerabilità per AWS interrompe l'utilizzo di questi servizi AWS.
AWS fattura il tuo account AWS per l'utilizzo di questi servizi e non identifica l'utilizzo come associato a Security Command Center o al servizio Valutazione delle vulnerabilità per AWS.
Identità e autorizzazioni del servizio
Per le azioni che esegue su Google Cloud, La valutazione delle vulnerabilità per il servizio AWS utilizza quanto segue Agente di servizio Security Command Center a livello di organizzazione per l'identità e le autorizzazioni di accesso Risorse Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Questo agente di servizio contiene l'autorizzazione cloudasset.assets.listResource, che il servizio di valutazione delle vulnerabilità per AWS utilizza per recuperare informazioni sugli account AWS di destinazione da Cloud Asset Inventory.
Per le azioni eseguite da Vulnerability Assessment for AWS su AWS, crea un ruolo IAM AWS e assegnalo al servizio Vulnerability Assessment for AWS quando configuri il modello AWS CloudFormation richiesto. Per istruzioni, consulta Ruoli e autorizzazioni.