Auf dieser Seite wird beschrieben, wie Sie die Sicherheitslückenbewertung für Amazon Web Services (AWS) einrichten und verwenden. Service.
Hinweise
Um die Sicherheitslückenbewertung für AWS zu aktivieren, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center müssen verbunden sein mit AWS.
Rollen und Berechtigungen
So schließen Sie die Einrichtung der Sicherheitslückenbewertung für den AWS-Dienst ab: benötigen Sie Rollen mit den erforderlichen Berechtigungen in beiden Google Cloud und AWS.
Google Cloud-Rollen
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Zu IAM - Wählen Sie die Organisation aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
- Rufen Sie mit einem administrativen AWS-Nutzerkonto die IAM-Seite Rollen in der AWS Management Console.
- Wählen Sie im Menü
Service or Use Case
die Option „lambda
“ aus. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
Klicken Sie auf Berechtigung hinzufügen > Erstellen. Inline-Richtlinie zum Erstellen einer neuen Berechtigungsrichtlinie:
- Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS
- Fügen Sie die Richtlinie im JSON Editor ein.
- Geben Sie einen Namen für die Richtlinie an.
- Speichern Sie die Richtlinie.
Öffnen Sie den Tab Vertrauensbeziehungen.
Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Anweisungsarray:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Speichern Sie die Rolle.
Öffnen Sie in Security Command Center die Seite Einstellungen:
Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren müssen. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.
Klicken Sie auf der Dienstkarte Vulnerability Assessment auf Einstellungen verwalten. Die Seite Vulnerability Assessment (Sicherheitslückenbewertung) wird geöffnet.
Wählen Sie den Tab AWS aus.
Wählen Sie im Feld Status unter Dienstaktivierung die Option Aktivieren aus.
Prüfen Sie unter AWS-Connector den Verbindungsstatus.
- Wenn der Verbindungsstatus Konfiguriert ist, fahren Sie mit dem nächsten Schritt fort.
- Wenn der Verbindungsstatus Nicht konfiguriert lautet, bevor Sie fortfahren konfigurieren Sie den Connector, indem Sie auf AWS-Connector hinzufügen Anweisungen finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen
Klicken Sie unter Scan settings (Scaneinstellungen) auf Download CloudFormation template (CloudFormation-Vorlage herunterladen). Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen bereitstellen die Vorlage in jedem AWS-Konto, das Sie auf Sicherheitslücken scannen müssen.
- Rufen Sie die AWS CloudFormation-Vorlage auf. in der AWS Management Console.
- Klicken Sie auf Stapel > Mit neuen Ressourcen (Standard).
- Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen aus. und dann auf Vorlagendatei hochladen, um die CloudFormation-Vorlage hochzuladen.
- Geben Sie nach Abschluss des Uploads einen eindeutigen Stacknamen ein. Nicht ändern alle anderen Parameter in der Vorlage.
- Wählen Sie Stackdetails angeben aus. Die Seite Stackoptionen konfigurieren wird geöffnet.
- Wählen Sie unter Berechtigungen die Option
IAM Vulnerability Assessment Role
aus. die Sie zuvor erstellt haben. - Klicken Sie auf Weiter.
- Klicken Sie das Kästchen zur Bestätigung an.
- Klicken Sie auf Senden, um die Vorlage bereitzustellen. Der Stack dauert ein paar Minuten um mit dem Laufen zu beginnen.
Rufen Sie in Security Command Center die Seite Ergebnisse auf:
Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.
Gehen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle wie folgt vor: Wählen Sie EC2 Vulnerability Assessment aus.
Der Bereich Ergebnisse der Ergebnisabfrage wurde aktualisiert und zeigt jetzt nur noch Sicherheitslückenbewertung für AWS-Ergebnisse
Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und Sie sehen eine Zusammenfassung der Ergebnisdetails.
Öffnen Sie in Security Command Center die Seite Einstellungen:
Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren müssen. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.
Klicken Sie auf der Dienstkarte Vulnerability Assessment auf Einstellungen verwalten.
Wählen Sie im Feld Status unter Dienstaktivierung die Option Deaktivieren aus.
Rufen Sie die AWS CloudFormation-Vorlage auf. in der AWS Management Console.
Löschen Sie den Stapel, der die CloudFormation-Vorlage für Sicherheitslückenbewertung für AWS
Andernfalls können unnötige Kosten entstehen.
- Prüfen Sie, ob der AWS-Connector ordnungsgemäß eingerichtet ist.
- Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Das
Status im AWS-Konto sollte
CREATION_COMPLETE
sein.
AWS-Rollen
In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie Scans müssen aktiviert werden.
So erstellen Sie eine Rolle für die Sicherheitslückenbewertung in AWS:
Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.
Verbindung von Security Command Center mit AWS bestätigen
Die Sicherheitslückenbewertung für AWS benötigt Zugriff auf das Inventar der AWS-Ressourcen, die von Cloud Asset Inventory verwaltet werden, wenn Security Command Center ist zur Erkennung von Sicherheitslücken mit AWS verbunden.
Wenn noch keine Verbindung hergestellt wurde, müssen Sie eine einrichten. wenn Sie die Sicherheitslückenbewertung für AWS aktivieren.
Informationen zum Einrichten einer Verbindung findest du unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen
Sicherheitslückenbewertung für AWS aktivieren
Zum Aktivieren der Sicherheitslückenbewertung für AWS müssen Sie eine AWS-IAM-Rolle erstellen auf die AWS-Plattform, aktivieren Sie die Sicherheitslückenbewertung für den AWS-Dienst in Security Command Center und stellen Sie dann eine CloudFormation-Vorlage in AWS bereit.
Sicherheitslückenbewertung für AWS in Security Command Center aktivieren
Die Sicherheitslückenbewertung für AWS muss am folgenden Tag in Google Cloud aktiviert sein: Organisationsebene.
AWS CloudFormation-Vorlage bereitstellen
Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die CloudFormation-Vorlage konnte nicht bereitgestellt werden, siehe Fehlerbehebung
Wenn nach dem Start der Scans Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und im Security Command Center angezeigt. Ergebnisse in der Google Cloud Console.
Ergebnisse in der Google Cloud Console prüfen
Sie können sich die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console ansehen.
Die IAM-Mindestrolle, die zum Ansehen von Ergebnissen erforderlich ist, ist
Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer
):
So prüfen Sie die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console: Schritte:
Sicherheitslückenbewertung für AWS deaktivieren
Um die Sicherheitslückenbewertung für den AWS-Dienst zu deaktivieren, müssen Sie sie in Security Command Center und löschen Sie dann den Stack, der die CloudFormation-Vorlage in AWS. Wenn der Stapel nicht gelöscht wird, weiterhin Kosten in AWS anfallen.
Führen Sie die folgenden Schritte aus, um die Sicherheitslückenbewertung für AWS zu deaktivieren:
Fehlerbehebung
Wenn Sie die Sicherheitslückenbewertung für den AWS-Dienst aktiviert haben, aber keine Scans ausgeführt werden: überprüfen Sie Folgendes: