Visão geral da avaliação de vulnerabilidades da AWS

A avaliação de vulnerabilidades do serviço Amazon Web Services (AWS) detecta vulnerabilidades em dos pacotes de software instalados Instâncias do Amazon EC2 (VMs) na plataforma de nuvem AWS.

A avaliação de vulnerabilidade do serviço da AWS verifica snapshots das instâncias EC2 em execução, para que as cargas de trabalho de produção não sejam afetadas. Esse método de verificação é chamado de verificação de disco sem agentes, porque nenhum agente é instalado nas máquinas EC2 de destino.

O serviço de avaliação de vulnerabilidade para a AWS é executado no AWS Lambda e implanta instâncias do EC2 que hospedam scanners, criam snapshots das instâncias do EC2 de destino e verificam os snapshots.

As verificações são executadas aproximadamente três vezes por dia.

Para cada vulnerabilidade detectada, a avaliação de vulnerabilidades da AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro da vulnerabilidade que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do registro de Vulnerabilidades e exposições comuns (CVEs, na sigla em inglês) associado.

Para mais informações sobre as descobertas produzidas pelos Vulnerability Assessment for AWS, consulte Avaliação de vulnerabilidades para descobertas da AWS.

Descobertas emitidas pela avaliação de vulnerabilidades da AWS

Quando a avaliação de vulnerabilidades do serviço da AWS detecta uma vulnerabilidade de software em uma máquina AWS EC2, o serviço emite uma descoberta no Security Command Center no Google Cloud.

As descobertas individuais e os módulos de detecção correspondentes não são listados na documentação do Security Command Center.

Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detectada:

  • O nome completo do recurso da instância EC2 afetada
  • Uma descrição da vulnerabilidade, incluindo as seguintes informações:
    • O pacote de software que contém a vulnerabilidade
    • Informações do registro de CVE associado
    • Uma avaliação da Mandiant sobre o impacto e a vulnerabilidade a explorações
    • Uma avaliação do Security Command Center sobre a gravidade dos vulnerabilidade
  • Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
  • Uma representação visual do caminho que um invasor pode seguir até recursos de alto valor expostos pela vulnerabilidade
  • Se disponível, etapas que podem ser seguidas para corrigir o problema, incluindo o patch ou upgrade de versão que pode ser usado para resolver a vulnerabilidade.

Todas as descobertas da avaliação de vulnerabilidades da AWS compartilham os seguintes valores de propriedade:

Categoria
Software vulnerability
Turma
Vulnerability
Provedor de serviços de nuvem
Amazon Web Services
Origem
EC2 Vulnerability Assessment

Para informações sobre como visualizar descobertas no console do Google Cloud, consulte Analise as descobertas no console do Google Cloud.

Recursos usados durante as verificações

Durante a verificação, a avaliação de vulnerabilidades para a AWS usa recursos em ambos Google Cloud e AWS.

Uso de recursos do Google Cloud

Os recursos que a Vulnerability Assessment for AWS usa no Google Cloud estão incluídos no custo do Security Command Center.

Esses recursos incluem projetos de locatário, buckets do Cloud Storage e Federação de identidade de carga de trabalho. Esses recursos são gerenciados pelo Google Cloud e são usados apenas durante verificações ativas.

A Vulnerability Assessment para AWS também usa a API Cloud Asset para extrair informações sobre contas e recursos da AWS.

Uso de recursos da AWS

Na AWS, a avaliação de vulnerabilidades da AWS usa o AWS Lambda (link em inglês) e Amazon Virtual Private Cloud (Amazon VPC) serviços. Depois que a verificação for concluída, o serviço de avaliação de vulnerabilidade da AWS vai parar de usar esses serviços da AWS.

A AWS cobra sua conta da AWS pelo uso desses serviços e não identifica seu uso como associado a Security Command Center ou avaliação de vulnerabilidades para o serviço AWS.

Identidade e permissões do serviço

Para as ações que ele realiza no Google Cloud, a Vulnerability Assessment para o serviço AWS usa o seguinte agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso a recursos do Google Cloud:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Esse agente de serviço contém a permissão cloudasset.assets.listResource, que a Avaliação de vulnerabilidade para o serviço da AWS usa para extrair informações sobre as contas da AWS de destino do Inventário de recursos do Cloud.

Para as ações que a Vulnerability Assessment for AWS realiza na AWS, crie um papel do IAM da AWS e atribua a função ao serviço Vulnerability Assessment for AWS ao configurar o modelo do AWS CloudFormation necessário. Para instruções, consulte Papéis e permissões.