A avaliação de vulnerabilidades para o serviço Amazon Web Services (AWS) deteta vulnerabilidades nos seguintes recursos do AWS:
- Pacotes de software instalados em instâncias do Amazon EC2
- Pacotes de software e configurações incorretas do sistema operativo em imagens do Elastic Container Registry (ECR)
A avaliação de vulnerabilidades para o serviço AWS analisa as imagens instantâneas das instâncias EC2 em execução, pelo que as cargas de trabalho de produção não são afetadas. Este método de análise chama-se análise de disco sem agente, porque não são instalados agentes nas máquinas EC2 de destino.
A avaliação de vulnerabilidades para o serviço AWS é executada no serviço AWS Lambda e implementa instâncias EC2 que alojam scanners, criam instantâneos das instâncias EC2 de destino e analisam os instantâneos.
Pode definir o intervalo de análise entre 6 e 24 horas.
Para cada vulnerabilidade detetada, a avaliação de vulnerabilidades para AWS gera uma descoberta no Security Command Center. Uma descoberta é um registo da vulnerabilidade que contém detalhes sobre o recurso da AWS afetado e a vulnerabilidade, incluindo informações do registo de vulnerabilidades e exposições comuns (CVEs) associado.
Para mais informações sobre as conclusões produzidas pela avaliação de vulnerabilidades para AWS, consulte o artigo Conclusões da avaliação de vulnerabilidades para AWS.
Resultados gerados pela avaliação de vulnerabilidades para o AWS
Quando a avaliação de vulnerabilidades para o serviço AWS deteta uma vulnerabilidade de software numa máquina AWS EC2 ou numa imagem do Elastic Container Registry, o serviço gera uma descoberta no Security Command Center em Google Cloud.
As conclusões individuais e os respetivos módulos de deteção correspondentes não estão listados na documentação do Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detetada:
- O nome completo do recurso da instância ou da imagem afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade
- Informações do registo de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração da vulnerabilidade
- Uma avaliação do Security Command Center da gravidade da vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar a priorizar a correção
- Uma representação visual do caminho que um atacante pode seguir para os recursos de alto valor que são expostos pela vulnerabilidade
- Se disponíveis, passos que pode seguir para corrigir o problema, incluindo a correção ou a atualização da versão que pode usar para resolver a vulnerabilidade
Todas as conclusões da avaliação de vulnerabilidades para a AWS partilham os seguintes valores de propriedades:
- Categoria
Software vulnerability- Classe
Vulnerability- Fornecedor de serviços na nuvem
Amazon Web Services- Origem
EC2 Vulnerability Assessment
Para ver informações sobre como ver as conclusões na Google Cloud consola, consulte o artigo Reveja as conclusões na Google Cloud consola.
Recursos usados durante as análises
Durante a análise, a avaliação de vulnerabilidades para a AWS usa recursos no Google Cloud e na AWS.
Google Cloud utilização de recursos
Os recursos que a avaliação de vulnerabilidades para AWS usa no Google Cloud estão incluídos no custo do Security Command Center.
Estes recursos incluem: projetos de inquilinos, contentores do Cloud Storage e federação de identidades de cargas de trabalho. Estes recursos são geridos pela Google Cloud e são usados apenas durante as análises ativas.
A avaliação de vulnerabilidades para AWS também usa a API Cloud Asset para obter informações sobre contas e recursos da AWS.
Utilização de recursos da AWS
Na AWS, a avaliação de vulnerabilidades para a AWS usa os serviços AWS Lambda e Amazon Virtual Private Cloud (Amazon VPC). Após a conclusão da análise, a avaliação de vulnerabilidades para o serviço AWS deixa de usar estes serviços AWS.
A AWS fatura à sua conta da AWS a utilização destes serviços e não identifica a utilização como estando associada ao Security Command Center ou ao serviço de avaliação de vulnerabilidades para a AWS.
Identidade e autorizações do serviço
Para as ações que realiza no Google Cloud, o serviço de avaliação de vulnerabilidades para AWS usa o seguinte agente do serviço do Security Command Center ao nível da organização para identidade e para autorização de acesso a recursosGoogle Cloud :
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Este agente do serviço contém a autorização cloudasset.assets.listResource, que o serviço de avaliação de vulnerabilidades para AWS usa para obter informações sobre as contas AWS de destino a partir do Cloud Asset Inventory.
Para as ações que a avaliação de vulnerabilidades para AWS realiza na AWS, cria uma função do AWS IAM e atribui a função ao serviço de avaliação de vulnerabilidades para AWS quando configura o modelo do AWS CloudFormation necessário. Para ver instruções, consulte o artigo Funções e autorizações.