Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS

Halaman ini menjelaskan cara menyiapkan dan menggunakan Penilaian Kerentanan untuk Amazon Web Services (AWS) layanan.

Sebelum memulai

Guna mengaktifkan Layanan Penilaian Kerentanan untuk layanan AWS, Anda memerlukan Izin IAM dan Security Command Center harus terhubung AWS.

Peran dan izin

Untuk menyelesaikan penyiapan layanan Penilaian Kerentanan untuk AWS, Anda harus diberi peran dengan izin yang diperlukan dalam kedua yakni Google Cloud dan AWS.

Peran Google Cloud

Pastikan Anda memiliki peran berikut di organisasi: Security Center Admin Editor (roles/securitycenter.adminEditor)

Memeriksa peran

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.

  3. Di kolom Akun utama, cari baris yang berisi alamat email Anda.

    Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.

  4. Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.
  4. Di kolom Akun utama baru, masukkan alamat email Anda.
  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

Peran AWS

Di AWS, pengguna administratif AWS harus membuat akun AWS yang yang diperlukan untuk mengaktifkan pemindaian.

Untuk membuat peran Penilaian Kerentanan di AWS, ikuti langkah-langkah berikut:

  1. Dengan menggunakan akun pengguna administratif AWS, buka Halaman Roles IAM di Konsol Pengelolaan AWS.
  2. Pilih lambda dari menu Service or Use Case.

  3. Tambahkan kebijakan izin berikut:

    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole

  4. Klik Tambahkan Izin > Buat Kebijakan inline untuk membuat kebijakan izin baru:

    1. Buka halaman berikut dan salin kebijakannya: Kebijakan peran untuk Penilaian Kerentanan untuk AWS.
    2. Di Editor JSON, tempel kebijakan.
    3. Tentukan nama untuk kebijakan tersebut.
    4. Simpan kebijakan.

  5. Buka tab Trust Relationships.

  6. Tempel objek JSON berikut, tambahkan ke objek JSON yang ada array pernyataan:

    {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

  7. Simpan peran.

Anda menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.

Pastikan Security Command Center terhubung ke AWS

Penilaian Kerentanan untuk layanan AWS memerlukan akses ke inventaris resource AWS yang dikelola Inventaris Aset Cloud saat Security Command Center terhubung ke AWS untuk deteksi kerentanan.

Jika koneksi belum dibuat, Anda harus menyiapkannya saat Anda mengaktifkan layanan Penilaian Kerentanan untuk AWS.

Untuk menyiapkan koneksi, lihat Hubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.

Mengaktifkan Penilaian Kerentanan untuk AWS

Untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, aktifkan Penilaian Kerentanan untuk layanan AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.

Mengaktifkan Penilaian Kerentanan untuk AWS di Security Command Center

Penilaian Kerentanan untuk AWS harus diaktifkan di Google Cloud dengan tingkat organisasi.

  1. Buka halaman Settings di Security Command Center:

    Buka Setelan

  2. Pilih organisasi tempat Anda perlu mengaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.

  3. Di kartu layanan Penilaian Kerentanan, klik Kelola Setelan. Halaman Penilaian Kerentanan akan terbuka.

  4. Pilih tab AWS.

  5. Di kolom Status pada bagian Service enablement, pilih Enable.

  6. Di bagian konektor AWS, periksa Status koneksi.

    • Jika status koneksi Dikonfigurasi, lanjutkan ke langkah berikutnya.
    • Jika status koneksi Tidak dikonfigurasi, sebelum Anda melanjutkan ke langkah berikutnya, konfigurasikan konektor dengan mengklik Tambahkan konektor AWS. Untuk mengetahui petunjuknya, lihat Hubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.

  7. Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy {i>template<i} di setiap akun AWS yang perlu Anda pindai kerentanannya.

Men-deploy template AWS CloudFormation

  1. Buka AWS CloudFormation Template di AWS Management Console.
  2. Klik Tumpukan &gt; Dengan resource baru (standar).
  3. Di halaman Buat stack, pilih Pilih template yang sudah ada dan Upload a template file untuk mengupload template CloudFormation.
  4. Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
  5. Pilih Tentukan detail tumpukan. Halaman Konfigurasi opsi tumpukan akan terbuka.
  6. Di bagian Izin, pilih IAM Vulnerability Assessment Role yang Anda buat sebelumnya.
  7. Klik Berikutnya.
  8. Centang kotak untuk mengonfirmasi.
  9. Klik Submit untuk men-deploy template. Stack ini memerlukan waktu beberapa menit untuk mulai berlari.

Status deployment ditampilkan di konsol AWS. Jika Template CloudFormation gagal di-deploy, lihat Pemecahan masalah.

Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai dibuat dan ditampilkan di Security Command Center Temuan di Konsol Google Cloud.

Meninjau temuan di konsol Google Cloud

Anda dapat melihat Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud. Peran IAM minimum yang diperlukan untuk melihat temuan adalah Security Center Findings Viewer (roles/securitycenter.findingsViewer).

Guna meninjau Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud, ikuti langkah:

  1. Buka halaman Temuan Security Command Center:

    Buka Temuan

  2. Jika perlu, pilih project atau organisasi Google Cloud Anda.

    Pemilih project

  3. Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih EC2 Vulnerability Assessment.

    Panel Hasil kueri temuan diperbarui untuk hanya menampilkan Penilaian Kerentanan untuk temuan AWS.

  4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.

Nonaktifkan Penilaian Kerentanan untuk AWS

Untuk menonaktifkan Layanan Penilaian Kerentanan untuk layanan AWS, Anda harus menonaktifkannya di Security Command Center, lalu hapus tumpukan yang berisi Template CloudFormation di AWS. Jika {i>stack<i} tidak dihapus, tumpukan akan akan terus dikenai biaya di AWS.

Selesaikan langkah-langkah berikut guna menonaktifkan Penilaian Kerentanan untuk AWS:

  1. Buka halaman Settings di Security Command Center:

    Buka Setelan

  2. Pilih organisasi tempat Anda perlu mengaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.

  3. Di kartu layanan Penilaian Kerentanan, klik Kelola Setelan.

  4. Di kolom Status pada bagian Pengaktifan layanan, pilih Nonaktifkan.

  5. Buka AWS CloudFormation Template di AWS Management Console.

  6. Hapus stack yang berisi template CloudFormation untuk Penilaian Kerentanan untuk AWS.

    Jika tidak dihapus, Anda mungkin dikenai biaya yang tidak perlu.

Pemecahan masalah

Jika Anda mengaktifkan Penilaian Kerentanan untuk layanan AWS, tetapi pemindaian tidak berjalan, periksa hal berikut:

  • Periksa apakah konektor AWS disiapkan dengan benar.
  • Pastikan stack template CloudFormation di-deploy sepenuhnya. Ini di akun AWS seharusnya CREATION_COMPLETE.