O serviço de avaliação de vulnerabilidades para Amazon Web Services (AWS) detecta vulnerabilidades nos seguintes recursos da AWS:
- Pacotes de software instalados em instâncias do Amazon EC2
- Pacotes de software e configurações incorretas do sistema operacional em imagens do Elastic Container Registry (ECR)
O serviço de avaliação de vulnerabilidades para AWS verifica snapshots das instâncias do EC2 em execução, portanto, as cargas de trabalho de produção não são afetadas. Esse método de verificação é chamado de verificação de disco sem agente, porque nenhum agente é instalado nas máquinas EC2 de destino.
O serviço de avaliação de vulnerabilidades para AWS é executado no serviço AWS Lambda e implanta instâncias do EC2 que hospedam verificadores, criam snapshots das instâncias do EC2 de destino e verificam os snapshots.
É possível definir o intervalo de verificação de 6 a 24 horas.
Para cada vulnerabilidade detectada, a avaliação de vulnerabilidades para AWS gera uma descoberta no Security Command Center. Uma descoberta é um registro da vulnerabilidade que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do registro de vulnerabilidades e exposições comuns (CVEs) associado.
Para mais informações sobre as descobertas produzidas pela avaliação de vulnerabilidades para AWS, consulte Descobertas da avaliação de vulnerabilidades para AWS.
Descobertas geradas pela avaliação de vulnerabilidades para AWS
Quando o serviço de avaliação de vulnerabilidades para AWS detecta uma vulnerabilidade de software em uma máquina AWS EC2 ou em uma imagem do Elastic Container Registry, o serviço gera uma descoberta no Security Command Center em Google Cloud.
As descobertas individuais e os módulos de detecção correspondentes não estão listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detectada:
- O nome completo do recurso da instância ou imagem afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade
- Informações do registro de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração da vulnerabilidade
- Uma avaliação do Security Command Center sobre a gravidade da vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir para os recursos de alto valor expostos pela vulnerabilidade
- Se disponível, etapas que podem ser seguidas para corrigir o problema, incluindo o patch ou a atualização de versão que pode ser usada para resolver a vulnerabilidade
Todas as descobertas da avaliação de vulnerabilidades para AWS compartilham os seguintes valores de propriedade:
- Categoria
Software vulnerability- Turma
Vulnerability- Provedor de serviços de nuvem
Amazon Web Services- Origem
EC2 Vulnerability Assessment
Para informações sobre como visualizar descobertas no Google Cloud console, consulte Analisar descobertas no Google Cloud console.
Recursos usados durante as verificações
Durante a verificação, a avaliação de vulnerabilidades para AWS usa recursos noe Google Cloud na AWS.
Google Cloud uso de recursos
Os recursos que a avaliação de vulnerabilidades para AWS usa em Google Cloud estão incluídos no custo do Security Command Center.
Esses recursos incluem projetos de locatário, buckets do Cloud Storage, e a federação de identidade da carga de trabalho. Esses recursos são gerenciados por Google Cloud e são usados apenas durante verificações ativas.
A avaliação de vulnerabilidades para AWS também usa a API Cloud Asset para recuperar informações sobre contas e recursos da AWS.
Uso de recursos da AWS
Na AWS, a avaliação de vulnerabilidades para AWS usa os serviços AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Depois que a verificação é concluída, o serviço de avaliação de vulnerabilidades para AWS para de usar esses serviços da AWS.
A AWS fatura sua conta da AWS pelo uso desses serviços e não identifica o uso como associado ao Security Command Center ou ao serviço de avaliação de vulnerabilidades para AWS.
Identidade de serviço e permissões
Para as ações que ele realiza no Google Cloud, o serviço de avaliação de vulnerabilidades para AWS usa o seguinte agente de serviço do Security Command Center no nível da organização para identidade e permissão de acesso a Google Cloud recursos:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Esse agente de serviço contém a permissão cloudasset.assets.listResource, que a Avaliação de Vulnerabilidades para AWS usa para recuperar informações sobre as contas da AWS de destino do Inventário de recursos do Cloud.
Para as ações que a avaliação de vulnerabilidades para AWS realiza na AWS, crie um papel do IAM da AWS e atribua o papel ao serviço de avaliação de vulnerabilidades para AWS ao configurar o modelo do AWS CloudFormation necessário. Para instruções, consulte Papéis e permissões.