Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Descripción general de la evaluación de vulnerabilidades para AWS

El servicio de Evaluación de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades en los siguientes recursos de AWS:

Paquetes de software instalados en instancias de Amazon EC2
Paquetes de software y configuraciones incorrectas del sistema operativo en imágenes de Elastic Container Registry (ECR)

El servicio de Evaluación de vulnerabilidades para AWS analiza instantáneas de las instancias de EC2 en ejecución, por lo que las cargas de trabajo de producción no se ven afectadas. Este método de análisis se denomina análisis de disco sin agente, ya que no se instalan agentes en las máquinas EC2 de destino.

El servicio de Evaluación de vulnerabilidades para AWS se ejecuta en el servicio de AWS Lambda y, además, implementa instancias de EC2 que alojan analizadores, crean instantáneas de las instancias de EC2 de destino y analizan las instantáneas.

Puedes establecer el intervalo de análisis de 6 a 24 horas.

Para cada vulnerabilidad detectada, la Evaluación de vulnerabilidades para AWS genera un hallazgo en Security Command Center. Un hallazgo es un registro de la vulnerabilidad que contiene detalles sobre el recurso de AWS afectado y la vulnerabilidad, incluida información del registro de Vulnerabilidades y exposiciones comunes (CVE) asociado.

Para obtener más información sobre los hallazgos que produce Evaluación de vulnerabilidades para AWS, consulta Hallazgos de la Evaluación de vulnerabilidades para AWS.

Hallazgos generados por la Evaluación de vulnerabilidades para AWS

Cuando el servicio de Evaluación de vulnerabilidades para AWS detecta una vulnerabilidad de software en una máquina EC2 de AWS o en una imagen de Elastic Container Registry, el servicio genera un hallazgo en Security Command Center en Google Cloud.

Los hallazgos individuales y sus módulos de detección correspondientes no se enumeran en la documentación de Security Command Center.

Cada hallazgo contiene la siguiente información que es única para la vulnerabilidad de software detectada:

El nombre completo del recurso de la instancia o imagen afectada
Una descripción de la vulnerabilidad, que incluye la siguiente información:
- El paquete de software que contiene la vulnerabilidad
- Información del registro de CVE asociado
- Una evaluación de Mandiant sobre el impacto y la capacidad de explotación de la vulnerabilidad
- Una evaluación de Security Command Center sobre la gravedad de la vulnerabilidad
Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
Una representación visual de la ruta que podría tomar un atacante hacia los recursos de alto valor que expone la vulnerabilidad
Si están disponibles, los pasos que puedes seguir para solucionar el problema, incluida la actualización de parche o versión que puedes usar para abordar la vulnerabilidad

Todos los hallazgos de la Evaluación de vulnerabilidades para AWS comparten los siguientes valores de propiedad:

Categoría: Software vulnerability
Clase: Vulnerability
Proveedor de servicios en la nube: Amazon Web Services
Fuente: EC2 Vulnerability Assessment

Para obtener información sobre cómo ver los hallazgos en la Google Cloud consola de, consulta Revisa los hallazgos en la Google Cloud consola.

Recursos que se usan durante los análisis

Durante el análisis, la Evaluación de vulnerabilidades para AWS usa recursos en ambos Google Cloud y en AWS.

Google Cloud uso de recursos

Los recursos que usa la Evaluación de vulnerabilidades para AWS en Google Cloud están incluidos en el costo de Security Command Center.

Estos recursos incluyen proyectos de usuario, buckets de Cloud Storage, y federación de identidades para cargas de trabajo. Estos recursos son administrados por Google Cloud y se usan solo durante los análisis activos.

La Evaluación de vulnerabilidades para AWS también usa la API de Cloud Asset para recuperar información sobre las cuentas y los recursos de AWS.

Uso de recursos de AWS

En AWS, la Evaluación de vulnerabilidades para AWS usa los servicios de AWS Lambda y Amazon Virtual Private Cloud (Amazon VPC). Una vez que se completa el análisis, el servicio de Evaluación de vulnerabilidades para AWS deja de usar estos servicios de AWS.

AWS factura a tu cuenta de AWS el uso de estos servicios y no identifica el uso como asociado con Security Command Center o el servicio de Evaluación de vulnerabilidades para AWS.

Identidad y permisos del servicio

Para las acciones que realiza en Google Cloud, el servicio de Evaluación de vulnerabilidades para AWS usa el siguiente agente de servicio de Security Command Center a nivel de la organización para la identidad y el permiso para acceder a Google Cloud los recursos:

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Este agente de servicio contiene el permiso cloudasset.assets.listResource, que el servicio de Evaluación de vulnerabilidades para AWS usa para recuperar información sobre las cuentas de AWS de destino de Cloud Asset Inventory.

Para las acciones que realiza la Evaluación de vulnerabilidades para AWS en AWS, debes crear un rol de AWS IAM y asignarlo al servicio de Evaluación de vulnerabilidades para AWS cuando configures la plantilla de AWS CloudFormation requerida. Para obtener instrucciones, consulta Roles y permisos.