A avaliação de vulnerabilidades do serviço Amazon Web Services (AWS) detecta vulnerabilidades em dos pacotes de software instalados Instâncias do Amazon EC2 (VMs) na plataforma de nuvem AWS.
A avaliação de vulnerabilidade do serviço AWS verifica snapshots do EC2 em execução. para que as cargas de trabalho de produção não sejam afetadas. Esse método de verificação é chamada verificação de disco sem agente, porque nenhum agente está instalado na máquinas do EC2 de destino.
A avaliação de vulnerabilidades para o serviço AWS é executada no serviço AWS Lambda e implanta instâncias do EC2 que hospedam scanners, criam snapshots das instâncias do EC2 de destino e verificar os snapshots.
As verificações são executadas aproximadamente três vezes por dia.
Para cada vulnerabilidade detectada, a avaliação de vulnerabilidades da AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do diretório Gerenciamento Vulnerabilidades e Exposições (CVEs) registro.
Para mais informações sobre as descobertas produzidas pelos Vulnerability Assessment for AWS, consulte Avaliação de vulnerabilidades para descobertas da AWS.
Descobertas emitidas pela avaliação de vulnerabilidades para a AWS
Quando a avaliação de vulnerabilidades do serviço da AWS detecta uma vulnerabilidade de software em uma máquina AWS EC2, o serviço emite uma descoberta no Security Command Center no Google Cloud.
As descobertas individuais e os módulos de detecção correspondentes não são listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações, que são exclusivas do uma vulnerabilidade de software detectada:
- O nome completo do recurso da instância do EC2 afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software com a vulnerabilidade
- Informações do registro de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração do vulnerabilidade
- Uma avaliação do Security Command Center sobre a gravidade dos vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir até recursos de alto valor expostos pela vulnerabilidade
- Se disponíveis, etapas que você pode seguir para corrigir o problema, incluindo um patch ou upgrade de versão que você pode usar para resolver
Todas as descobertas da avaliação de vulnerabilidades da AWS compartilham os seguintes valores de propriedade:
- Categoria
Software vulnerability- Classe
Vulnerability- Provedor de serviços de nuvem
Amazon Web Services- Origem
EC2 Vulnerability Assessment
Para informações sobre como visualizar descobertas no console do Google Cloud, consulte Analise as descobertas no console do Google Cloud.
Recursos usados pela avaliação de vulnerabilidades para a AWS durante verificações
Durante a verificação, a avaliação de vulnerabilidades para AWS usa recursos em ambos Google Cloud e AWS.
Uso de recursos do Google Cloud
Os recursos que a avaliação de vulnerabilidades para a AWS usa no Google Cloud estão incluídos no custo do Security Command Center.
Esses recursos incluem projetos de locatário, Buckets do Cloud Storage, Federação de identidade da carga de trabalho. Esses recursos são gerenciados pelo Google Cloud usada apenas durante verificações ativas,
A avaliação de vulnerabilidades da AWS também usa a API Cloud Asset para recuperar informações sobre contas e recursos da AWS.
Uso de recursos da AWS
Na AWS, a avaliação de vulnerabilidades da AWS usa o AWS Lambda (em inglês) e Amazon Virtual Private Cloud (Amazon VPC) serviços. Após a conclusão da verificação, a avaliação de vulnerabilidades do serviço da AWS deixar de usar esses serviços da AWS.
A AWS cobra sua conta da AWS pelo uso desses serviços e não identifica o uso como associado a Security Command Center ou avaliação de vulnerabilidades para o serviço AWS.
Identidade e permissões do serviço
Para as ações que ele realiza no Google Cloud, A avaliação de vulnerabilidades para o serviço da AWS usa o seguinte: Agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso Recursos do Google Cloud:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Este agente de serviço contém cloudasset.assets.listResource
permissão de acesso, que a avaliação de vulnerabilidades do serviço da AWS usa para recuperar
sobre as contas de destino da AWS no Inventário de recursos do Cloud.
Para as ações que a avaliação de vulnerabilidades para a AWS realiza na AWS, você cria um papel do IAM da AWS e atribuir o papel à avaliação de vulnerabilidades do serviço da AWS ao configurar o modelo AWS CloudFormation necessário. Para instruções, consulte Papéis e permissões.