Halaman ini menjelaskan cara menyiapkan dan menggunakan Penilaian Kerentanan untuk Amazon Web Services (AWS) layanan.
Sebelum memulai
Guna mengaktifkan Layanan Penilaian Kerentanan untuk layanan AWS, Anda memerlukan Izin IAM dan Security Command Center harus terhubung AWS.
Peran dan izin
Untuk menyelesaikan penyiapan layanan Penilaian Kerentanan untuk AWS, Anda harus diberi peran dengan izin yang diperlukan dalam kedua yakni Google Cloud dan AWS.
Peran Google Cloud
Pastikan Anda memiliki peran berikut di organisasi:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Memeriksa peran
-
Di konsol Google Cloud, buka halaman IAM.
Buka IAM - Pilih organisasi.
-
Di kolom Akun utama, cari baris yang berisi alamat email Anda.
Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.
- Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.
Memberikan peran
-
Di konsol Google Cloud, buka halaman IAM.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
- Di kolom Akun utama baru, masukkan alamat email Anda.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
Peran AWS
Di AWS, pengguna administratif AWS harus membuat akun AWS yang yang diperlukan untuk mengaktifkan pemindaian.
Untuk membuat peran Penilaian Kerentanan di AWS, ikuti langkah-langkah berikut:
- Dengan menggunakan akun pengguna administratif AWS, buka Halaman Roles IAM di Konsol Pengelolaan AWS.
- Pilih
lambda
dari menuService or Use Case
. Tambahkan kebijakan izin berikut:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
Klik Tambahkan Izin > Buat Kebijakan inline untuk membuat kebijakan izin baru:
- Buka halaman berikut dan salin kebijakannya: Kebijakan peran untuk Penilaian Kerentanan untuk AWS.
- Di Editor JSON, tempel kebijakan.
- Tentukan nama untuk kebijakan tersebut.
- Simpan kebijakan.
Buka tab Trust Relationships.
Tempel objek JSON berikut, tambahkan ke objek JSON yang ada array pernyataan:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Simpan peran.
Anda menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.
Pastikan Security Command Center terhubung ke AWS
Penilaian Kerentanan untuk layanan AWS memerlukan akses ke inventaris resource AWS yang dikelola Inventaris Aset Cloud saat Security Command Center terhubung ke AWS untuk deteksi kerentanan.
Jika koneksi belum dibuat, Anda harus menyiapkannya saat Anda mengaktifkan layanan Penilaian Kerentanan untuk AWS.
Untuk menyiapkan koneksi, lihat Hubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.
Mengaktifkan Penilaian Kerentanan untuk AWS
Untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, aktifkan Penilaian Kerentanan untuk layanan AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.
Mengaktifkan Penilaian Kerentanan untuk AWS di Security Command Center
Penilaian Kerentanan untuk AWS harus diaktifkan di Google Cloud dengan tingkat organisasi.
Buka halaman Settings di Security Command Center:
Pilih organisasi tempat Anda perlu mengaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.
Di kartu layanan Penilaian Kerentanan, klik Kelola Setelan. Halaman Penilaian Kerentanan akan terbuka.
Pilih tab AWS.
Di kolom Status pada bagian Service enablement, pilih Enable.
Di bagian konektor AWS, periksa Status koneksi.
- Jika status koneksi Dikonfigurasi, lanjutkan ke langkah berikutnya.
- Jika status koneksi Tidak dikonfigurasi, sebelum Anda melanjutkan ke langkah berikutnya, konfigurasikan konektor dengan mengklik Tambahkan konektor AWS. Untuk mengetahui petunjuknya, lihat Hubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.
Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy {i>template<i} di setiap akun AWS yang perlu Anda pindai kerentanannya.
Men-deploy template AWS CloudFormation
- Buka AWS CloudFormation Template di AWS Management Console.
- Klik Tumpukan > Dengan resource baru (standar).
- Di halaman Buat stack, pilih Pilih template yang sudah ada dan Upload a template file untuk mengupload template CloudFormation.
- Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
- Pilih Tentukan detail tumpukan. Halaman Konfigurasi opsi tumpukan akan terbuka.
- Di bagian Izin, pilih
IAM Vulnerability Assessment Role
yang Anda buat sebelumnya. - Klik Berikutnya.
- Centang kotak untuk mengonfirmasi.
- Klik Submit untuk men-deploy template. Stack ini memerlukan waktu beberapa menit untuk mulai berlari.
Status deployment ditampilkan di konsol AWS. Jika Template CloudFormation gagal di-deploy, lihat Pemecahan masalah.
Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai dibuat dan ditampilkan di Security Command Center Temuan di Konsol Google Cloud.
Meninjau temuan di konsol Google Cloud
Anda dapat melihat Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud.
Peran IAM minimum yang diperlukan untuk melihat temuan adalah
Security Center Findings Viewer (roles/securitycenter.findingsViewer
).
Guna meninjau Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud, ikuti langkah:
Buka halaman Temuan Security Command Center:
Jika perlu, pilih project atau organisasi Google Cloud Anda.
Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih EC2 Vulnerability Assessment.
Panel Hasil kueri temuan diperbarui untuk hanya menampilkan Penilaian Kerentanan untuk temuan AWS.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.
Nonaktifkan Penilaian Kerentanan untuk AWS
Untuk menonaktifkan Layanan Penilaian Kerentanan untuk layanan AWS, Anda harus menonaktifkannya di Security Command Center, lalu hapus tumpukan yang berisi Template CloudFormation di AWS. Jika {i>stack<i} tidak dihapus, tumpukan akan akan terus dikenai biaya di AWS.
Selesaikan langkah-langkah berikut guna menonaktifkan Penilaian Kerentanan untuk AWS:
Buka halaman Settings di Security Command Center:
Pilih organisasi tempat Anda perlu mengaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.
Di kartu layanan Penilaian Kerentanan, klik Kelola Setelan.
Di kolom Status pada bagian Pengaktifan layanan, pilih Nonaktifkan.
Buka AWS CloudFormation Template di AWS Management Console.
Hapus stack yang berisi template CloudFormation untuk Penilaian Kerentanan untuk AWS.
Jika tidak dihapus, Anda mungkin dikenai biaya yang tidak perlu.
Pemecahan masalah
Jika Anda mengaktifkan Penilaian Kerentanan untuk layanan AWS, tetapi pemindaian tidak berjalan, periksa hal berikut:
- Periksa apakah konektor AWS disiapkan dengan benar.
- Pastikan stack template CloudFormation di-deploy sepenuhnya. Ini
di akun AWS seharusnya
CREATION_COMPLETE
.