Esta página descreve como configurar e usar a avaliação de vulnerabilidades para a Amazon Web Services (AWS) serviço.
Antes de começar
Para ativar a avaliação de vulnerabilidades do serviço AWS, você precisa de determinados As permissões do IAM e o Security Command Center precisam estar conectados AWS.
Papéis e permissões
Para concluir a configuração da avaliação de vulnerabilidades para o serviço AWS, você precisa receber papéis com as permissões necessárias em ambos Google Cloud e AWS.
Papéis do Google Cloud
Verifique se você tem os seguintes papéis na organização:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Verificar os papéis
-
No console do Google Cloud, abra a página IAM.
Acessar IAM - Selecionar uma organização.
-
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.
Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
- Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.
Conceder os papéis
-
No console do Google Cloud, abra a página IAM.
Acesse o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
- No campo Novos participantes, digite seu endereço de e-mail.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Save.
Papéis da AWS
Na AWS, um usuário administrativo da AWS precisa criar a conta da AWS que você necessárias para ativar as verificações.
Para criar um papel de avaliação de vulnerabilidades na AWS, siga estas etapas:
- Usando uma conta de usuário administrativo da AWS, acesse Página Papéis do IAM no AWS Management Console.
- Selecione
lambda
no menuService or Use Case
. Adicione as seguintes políticas de permissão:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
Clique em Adicionar permissão > Criar Política inline para criar uma nova política de permissões:
- Abra a página a seguir e copie a política: Política de papéis para a avaliação de vulnerabilidades da AWS.
- No Editor do JSON, cole a política.
- Especifique um nome para a política.
- Salve a política.
Abra a guia Relacionamentos de confiança.
Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instruções:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Salve o papel.
Você atribui esse papel mais tarde ao instalar o modelo CloudFormation na AWS.
Confirme se o Security Command Center está conectado à AWS
A avaliação de vulnerabilidade para o serviço AWS requer acesso ao inventário de recursos da AWS que o Inventário de recursos do Cloud mantém quando o Security Command Center está conectado à AWS para detecção de vulnerabilidades.
Se uma conexão ainda não tiver sido estabelecida, você deverá configurar uma quando você ativa a avaliação de vulnerabilidades para o serviço AWS.
Para configurar uma conexão, consulte Conecte-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Ativar a avaliação de vulnerabilidades da AWS
Para ativar a avaliação de vulnerabilidades para a AWS, você precisa criar um papel do IAM da AWS em plataforma AWS, ative a avaliação de vulnerabilidades para o serviço AWS em Security Command Center e, em seguida, implantar um modelo CloudFormation na AWS.
Ativar a avaliação de vulnerabilidades para a AWS no Security Command Center
A avaliação de vulnerabilidades da AWS precisa estar ativada no Google Cloud no no nível da organização.
Acesse a página Configurações no Security Command Center:
Selecione a organização em que você precisa ativar a avaliação de vulnerabilidades para a AWS. A guia Serviços da página Configurações é aberta.
No card do serviço Avaliação de vulnerabilidades, clique em Gerenciar configurações. A página Avaliação de vulnerabilidades será aberta.
Selecione a guia AWS.
No campo Status em Ativação do serviço, selecione Ativar.
Em Conector da AWS, verifique o Status da conexão.
- Se o status da conexão for Configurada, prossiga para a próxima etapa.
- Se o status da conexão for Não configurada, antes de continuar para a próxima etapa, configure o conector clicando Adicionar conector AWS. Para instruções, consulte Conecte-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Em Configurações de verificação, clique em Fazer o download do modelo do CloudFormation. Será feito o download de um modelo JSON na estação de trabalho. Você precisa implantar o modelo em cada conta da AWS que você precisa verificar em busca de vulnerabilidades.
Implantar o modelo do AWS CloudFormation
- Acesse o Modelo do AWS CloudFormation. página no AWS Management Console.
- Clique em Pilhas > Com novos recursos (padrão).
- Na página Criar pilha, selecione Escolher um modelo existente. e Fazer upload de um arquivo de modelo para fazer upload do modelo do CloudFormation.
- Depois que o upload for concluído, insira um nome de pilha exclusivo. Não modificar quaisquer outros parâmetros no modelo.
- Selecione Especificar detalhes da pilha. A página Configurar opções da pilha é aberta.
- Em Permissões, selecione
IAM Vulnerability Assessment Role
que você criou anteriormente. - Clique em Next.
- Marque a caixa de confirmação.
- Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a correr.
O status da implantação é exibido no console da AWS. Se o Falha ao implantar o modelo do CloudFormation. Consulte Solução de problemas.
Depois que as verificações começarem a ser executadas, se alguma vulnerabilidade for detectada, o as descobertas correspondentes são geradas e exibidas no Descobertas no console do Google Cloud.
Analisar descobertas no console do Google Cloud
É possível conferir a avaliação de vulnerabilidades das descobertas da AWS no console do Google Cloud.
O papel mínimo do IAM necessário para ver as descobertas é
Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer
).
Para analisar a avaliação de vulnerabilidades das descobertas da AWS no console do Google Cloud, siga estas etapas: etapas:
Acesse a página Descobertas do Security Command Center:
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, faça o seguinte: Selecione Avaliação de vulnerabilidades do EC2.
O painel Resultados da consulta de descobertas é atualizado para mostrar apenas Avaliação de vulnerabilidades para descobertas da AWS.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta se expande para mostrar um resumo dos detalhes da descoberta.
Desativar a avaliação de vulnerabilidades da AWS
Para desativar a avaliação de vulnerabilidades do serviço AWS, você precisa desativá-la em o Security Command Center e depois excluir a pilha que contém a Modelo CloudFormation na AWS. Se a pilha não for excluída, ela continuam gerando custos na AWS.
Conclua as etapas a seguir para desativar a avaliação de vulnerabilidades para a AWS:
Acesse a página Configurações no Security Command Center:
Selecione a organização em que você precisa ativar a avaliação de vulnerabilidades para a AWS. A guia Serviços da página Configurações é aberta.
No card do serviço Avaliação de vulnerabilidades, clique em Gerenciar configurações.
No campo Status, em Ativação do serviço, selecione Desativar.
Acesse o Modelo do AWS CloudFormation. página no AWS Management Console.
Exclua a pilha que contém o modelo CloudFormation para Vulnerability Assessment for AWS.
Se não for excluído, você poderá ter custos desnecessários.
Solução de problemas
Se você ativou a avaliação de vulnerabilidades para o serviço AWS, mas as verificações não estão em execução, verifique o seguinte:
- Verifique se o conector da AWS está configurado corretamente.
- Confirme se a pilha de modelos do CloudFormation foi totalmente implantada. Seu
o status na conta da AWS será
CREATION_COMPLETE
.