Questa pagina descrive come configurare e utilizzare Valutazione delle vulnerabilità per Amazon Web Services (AWS) completamente gestito di Google Cloud.
Prima di iniziare
Per abilitare il servizio Valutazione delle vulnerabilità per AWS, sono necessarie alcune Le autorizzazioni IAM e Security Command Center devono essere connessi a AWS.
Ruoli e autorizzazioni
Per completare la configurazione del servizio Valutazione delle vulnerabilità per AWS: devi disporre dei ruoli con le autorizzazioni necessarie Google Cloud e AWS.
Ruoli Google Cloud
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Vai a IAM - Seleziona l'organizzazione.
- Fai clic su Concedi l'accesso.
-
Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.
- Nell'elenco Seleziona un ruolo, seleziona un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
- Fai clic su Salva.
- Utilizzando un account utente amministrativo AWS, vai a Pagina Ruoli IAM nella console di gestione AWS.
- Seleziona
lambda
dal menuService or Use Case
. Aggiungi i seguenti criteri di autorizzazione:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
Fai clic su Aggiungi autorizzazione > Crea Criterio in linea per creare un nuovo criterio di autorizzazione:
- Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per AWS.
- Incolla il criterio nell'Editor JSON.
- Specifica un nome per il criterio.
- Salva il criterio.
Apri la scheda Relazioni di attendibilità.
Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi oggetto esistente array di istruzioni:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Salva il ruolo.
Vai alla pagina Impostazioni in Security Command Center:
Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.
Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni. Si apre la pagina Valutazione della vulnerabilità.
Seleziona la scheda AWS.
Nel campo Stato in Attivazione del servizio, seleziona Abilita.
In Connettore AWS, controlla lo Stato della connessione.
- Se lo stato della connessione è Configurato, vai al passaggio successivo.
- Se lo stato della connessione è Non configurato, prima di procedere al passaggio successivo, configura il connettore facendo clic Aggiungi il connettore AWS. Per istruzioni, vedi Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.
In Impostazioni scansione, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla workstation. Devi eseguire il deployment il modello in ogni account AWS di cui occorre analizzare le vulnerabilità.
- Vai al modello CloudFormation AWS nella console di gestione AWS.
- Fai clic su Impilati > Con nuove risorse (standard).
- Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
- Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare qualsiasi altro parametro nel modello.
- Seleziona Specifica i dettagli dello stack. Viene visualizzata la pagina Configura le opzioni dello stack.
- In Autorizzazioni, seleziona la
IAM Vulnerability Assessment Role
che hai creato in precedenza. - Fai clic su Avanti.
- Seleziona la casella per l'accettazione.
- Fai clic su Invia per eseguire il deployment del modello. Lo stack richiede alcuni minuti per iniziare a correre.
Vai alla pagina Risultati di Security Command Center:
Se necessario, seleziona il progetto o l'organizzazione Google Cloud.
Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, Seleziona Valutazione delle vulnerabilità EC2.
Il riquadro Risultati della query dei risultati è stato aggiornato in modo da mostrare solo Valutazione delle vulnerabilità per risultati AWS.
Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Categoria. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.
Vai alla pagina Impostazioni in Security Command Center:
Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.
Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni.
Nel campo Stato in Attivazione del servizio, seleziona Disattiva.
Vai al modello CloudFormation AWS nella console di gestione AWS.
Elimina lo stack che contiene il modello CloudFormation per Valutazione delle vulnerabilità per AWS
Se non vengono eliminate, potrebbero essere addebitati costi inutili.
- Verifica che il connettore AWS sia configurato correttamente.
- Verifica che il deployment dello stack di modelli CloudFormation sia completo. È
nell'account AWS deve essere
CREATION_COMPLETE
.
Ruoli AWS
In AWS, un utente amministrativo AWS deve creare l'account AWS che si l'abilitazione delle scansioni.
Per creare un ruolo Valutazione delle vulnerabilità in AWS, segui questi passaggi:
Assegnerai questo ruolo in un secondo momento, quando installi il modello CloudFormation su AWS.
Verifica che Security Command Center sia connesso ad AWS
Il servizio Valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS conservate da Cloud Asset Inventory quando Security Command Center è connesso ad AWS per il rilevamento delle vulnerabilità.
Se non è ancora stata stabilita una connessione, devi configurarne una quando abiliti il servizio Valutazione delle vulnerabilità per AWS.
Per configurare una connessione, consulta la pagina Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.
Abilita la valutazione delle vulnerabilità per AWS
Per abilitare la valutazione delle vulnerabilità per AWS, devi creare un ruolo AWS IAM in sulla piattaforma AWS, abilitare il servizio Vulnerability Assessment per AWS in Security Command Center, quindi esegui il deployment di un modello CloudFormation su AWS.
Abilita la valutazione delle vulnerabilità per AWS in Security Command Center
La valutazione delle vulnerabilità per AWS deve essere abilitata su Google Cloud a livello di organizzazione.
Esegui il deployment del modello AWS CloudFormation
Lo stato del deployment viene visualizzato nella console AWS. Se Il deployment del modello CloudFormation non riesce, consulta Risoluzione dei problemi.
Una volta avviata l'esecuzione delle scansioni, se vengono rilevate delle vulnerabilità, i risultati corrispondenti vengono generati e visualizzati in Security Command Center Risultati nella console Google Cloud.
Esamina i risultati nella console Google Cloud
Puoi visualizzare la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud.
Il ruolo IAM minimo necessario per visualizzare i risultati è
Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer
).
Per rivedere la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud, segui questi passaggi passaggi:
Disabilita la valutazione delle vulnerabilità per AWS
Per disabilitare il servizio Valutazione delle vulnerabilità per AWS, devi disabilitarlo in Security Command Center ed eliminare lo stack che contiene CloudFormation in AWS. Se lo stack non viene eliminato, continuano a comportare costi in AWS.
Completa i seguenti passaggi per disabilitare la valutazione delle vulnerabilità per AWS:
Risoluzione dei problemi
Se hai abilitato il servizio Valutazione delle vulnerabilità per AWS, ma le scansioni non vengono eseguite, controlla quanto segue: