Il servizio Valutazione di vulnerabilità per Amazon Web Services (AWS) rileva le vulnerabilità nelle seguenti risorse AWS:
- Pacchetti software installati su istanze Amazon EC2
- Pacchetti software e configurazioni errate del sistema operativo nelle immagini Elastic Container Registry (ECR)
Il servizio Valutazione di vulnerabilità per AWS analizza gli snapshot delle istanze EC2 in esecuzione, quindi i carichi di lavoro di produzione non vengono interessati. Questo metodo di scansione è chiamato scansione del disco senza agenti, perché non vengono installati agenti sulle macchine EC2 di destinazione.
Il servizio Valutazione di vulnerabilità per AWS viene eseguito sul servizio AWS Lambda ed esegue il deployment delle istanze EC2 che ospitano gli scanner, crea snapshot delle istanze EC2 di destinazione e analizza gli snapshot.
Puoi impostare l'intervallo di scansione da 6 a 24 ore.
Per ogni vulnerabilità rilevata, Valutazione di vulnerabilità per AWS genera un risultato in Security Command Center. Un risultato è un record della vulnerabilità che contiene dettagli sulla risorsa AWS interessata e sulla vulnerabilità, incluse le informazioni del record Vulnerabilità ed esposizioni comuni (CVE) associato.
Per saperne di più sui risultati prodotti da Valutazione di vulnerabilità per AWS, consulta Risultati di Valutazione di vulnerabilità per AWS.
Risultati generati da Valutazione di vulnerabilità per AWS
Quando il servizio Valutazione delle vulnerabilità per AWS rileva una vulnerabilità software su una macchina AWS EC2 o in un'immagine Elastic Container Registry, genera un risultato in Security Command Center. Google Cloud
I singoli risultati e i relativi moduli di rilevamento non sono elencati nella documentazione di Security Command Center.
Ogni risultato contiene le seguenti informazioni univoche per la vulnerabilità software rilevata:
- Il nome completo della risorsa dell'istanza o dell'immagine interessata
- Una descrizione della vulnerabilità, incluse le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità
- Informazioni dal record CVE associato
- Una valutazione di Mandiant dell'impatto e della sfruttabilità della vulnerabilità
- Una valutazione di Security Command Center della gravità della vulnerabilità
- Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe intraprendere per raggiungere le risorse di alto valore esposte dalla vulnerabilità
- Se disponibili, i passaggi che puoi eseguire per risolvere il problema, inclusa la patch o l'upgrade di versione che puoi utilizzare per risolvere la vulnerabilità
Tutti i risultati di Valutazione di vulnerabilità per AWS condividono i seguenti valori delle proprietà:
- Categoria
Software vulnerability- Classe
Vulnerability- Provider di servizi cloud
Amazon Web Services- Origine
EC2 Vulnerability Assessment
Per informazioni sulla visualizzazione dei risultati nella Google Cloud console, consulta Esaminare i risultati nella Google Cloud console.
Risorse utilizzate durante le scansioni
Durante la scansione, Valutazione di vulnerabilità per AWS utilizza le risorse sia su Google Cloud che su AWS.
Google Cloud utilizzo delle risorse
Le risorse utilizzate da Valutazione di vulnerabilità per AWS su Google Cloud sono incluse nel costo di Security Command Center.
Queste risorse includono progetti tenant, bucket Cloud Storage e federazione delle identità per i workload. Queste risorse sono gestite da Google Cloud e vengono utilizzate solo durante le scansioni attive.
Valutazione di vulnerabilità per AWS utilizza anche l'API Cloud Asset per recuperare informazioni sugli account e sulle risorse AWS.
Utilizzo delle risorse AWS
Su AWS, Valutazione di vulnerabilità per AWS utilizza i servizi AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Al termine della scansione, il servizio Valutazione di vulnerabilità per AWS smette di utilizzare questi servizi AWS.
AWS fattura al tuo account AWS l'utilizzo di questi servizi e non identifica l'utilizzo come associato a Security Command Center o al servizio Valutazione di vulnerabilità per AWS.
Identità e autorizzazioni del servizio
Per le azioni che esegue su Google Cloud, il servizio Valutazione di vulnerabilità per AWS utilizza il seguente service agent di Security Command Center a livello di organizzazione per l'identità e per l'autorizzazione ad accedere alleGoogle Cloud risorse:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Questo service agent contiene l'autorizzazione cloudasset.assets.listResource,
che il servizio Valutazione di vulnerabilità per AWS utilizza per recuperare informazioni sugli
account AWS di destinazione da Cloud Asset Inventory.
Per le azioni che Valutazione di vulnerabilità per AWS esegue su AWS, devi creare un ruolo IAM AWS e assegnarlo al servizio Valutazione di vulnerabilità per AWS quando configuri il modello AWS CloudFormation richiesto. Per istruzioni, consulta Ruoli e autorizzazioni.