Abilitare e utilizzare la valutazione delle vulnerabilità per AWS

Questa pagina descrive come configurare e utilizzare il servizio Valutazione di vulnerabilità per Amazon Web Services (AWS).

Per abilitare Valutazione di vulnerabilità per AWS, devi creare un ruolo IAM AWS sulla piattaforma AWS, abilitare il servizio Valutazione di vulnerabilità per AWS in Security Command Center e poi eseguire il deployment di un modello CloudFormation su AWS.

Prima di iniziare

Per abilitare il servizio Valutazione di vulnerabilità per AWS, devi disporre di determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio Valutazione di vulnerabilità per AWS, devi disporre dei ruoli con le autorizzazioni necessarie sia in Google Cloud che in AWS.

Google Cloud Ruoli

Assicurati di avere il seguente ruolo o i seguenti ruoli nell'organizzazione: Centro sicurezza Editor amministratore (roles/securitycenter.adminEditor)

Controlla i ruoli

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.

  3. Nella colonna Entità, trova tutte le righe che identificano te o un gruppo di cui fai parte. Per scoprire i gruppi di cui fai parte, contatta l' amministratore.

  4. Per tutte le righe che ti specificano o ti includono, controlla la colonna Ruolo per verificare se l'elenco dei ruoli include i ruoli richiesti.

Concedi i ruoli

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore dell'utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Fai clic su Seleziona un ruolo, quindi cerca il ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

Ruoli AWS

In Amazon Web Services (AWS), un utente amministratore AWS deve creare l'account AWS necessario per abilitare le scansioni. Assegnerai questo ruolo in un secondo momento quando installerai il modello CloudFormation su AWS.

  • Per creare un ruolo per Valutazione di vulnerabilità in AWS, segui i passaggi descritti in Creare un ruolo per un servizio AWS (console).

    Tieni presente quanto segue:

    • Per Servizio o caso d'uso, seleziona lambda.
    • Aggiungi le seguenti policy di autorizzazione:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Salva la policy e poi riaprila. Fai clic su Aggiungi autorizzazione > Crea policy inline.
    • Crea una policy di autorizzazione per il ruolo AWS:
      1. Segui le istruzioni per modificare e copiare la policy di autorizzazione: Policy del ruolo per Valutazione di vulnerabilità per AWS e VM Threat Detection.
      2. Inserisci la policy nell'editor JSON in AWS.

    • Per le relazioni di attendibilità, aggiungi la seguente voce JSON a qualsiasi array di istruzioni esistente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Raccogli informazioni sulle risorse AWS da analizzare

Durante i passaggi per abilitare Valutazione di vulnerabilità per AWS, puoi personalizzare la configurazione per analizzare regioni AWS specifiche, tag specifici che identificano le risorse AWS e volumi di unità disco rigido (HDD) specifici (sia SC1 che ST1).

È utile avere queste informazioni a disposizione prima di configurare Valutazione di vulnerabilità per AWS.

Verifica che Security Command Center sia connesso ad AWS

Il servizio Valutazione di vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS gestito da Cloud Asset Inventory quando Security Command Center è connesso ad AWS.

Se non è già stata stabilita una connessione, devi configurarne una quando abiliti il servizio Valutazione di vulnerabilità per AWS.

Per configurare una connessione, consulta Connettersi ad AWS per la configurazione e la raccolta dei dati delle risorse.

Abilita Valutazione di vulnerabilità per AWS in Security Command Center

Valutazione di vulnerabilità per AWS deve essere abilitato on Google Cloud at the livello di organizzazione.

  1. Vai alla pagina Panoramica dei rischi in Security Command Center:

    Vai a Panoramica dei rischi

  2. Seleziona l'organizzazione in cui vuoi abilitare Valutazione di vulnerabilità per AWS.

  3. Fai clic su Impostazioni.

  4. Nella scheda Valutazione di vulnerabilità, fai clic su Gestisci impostazioni. Viene visualizzata la pagina Valutazione di vulnerabilità.

  5. Seleziona la scheda Amazon Web Services.

  6. Nella sezione Abilitazione del servizio, imposta il campo Stato su Abilita.

  7. Nella sezione Connettore AWS, verifica che lo stato visualizzi Connettore AWS aggiunto. Se lo stato visualizza Nessun connettore AWS aggiunto, fai clic su Aggiungi il connettore AWS. Completa i passaggi descritti in Connettersi ad AWS per la configurazione e la raccolta dei dati delle risorse prima di passare al passaggio successivo.

  8. Configura le Impostazioni di analisi per calcolo e archiviazione AWS. Per modificare la configurazione predefinita, fai clic su Modifica impostazioni di analisi. Per informazioni su ogni opzione, consulta Personalizzare le impostazioni di analisi per calcolo e archiviazione AWS.

  9. Se hai già abilitato VM Threat Detection for AWS e hai eseguito il deployment del modello CloudFormation nell'ambito di questa funzionalità, salta questo passaggio. Nella sezione Impostazioni di analisi, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla tua workstation. Devi eseguire il deployment del modello in ogni account AWS di cui devi analizzare le vulnerabilità.

Personalizza le impostazioni di analisi per calcolo e archiviazione AWS

Questa sezione descrive le opzioni disponibili per personalizzare l'analisi delle risorse AWS. Queste opzioni personalizzate si trovano nella sezione Impostazioni di analisi per calcolo e archiviazione AWS quando modifichi un'analisi di Valutazione di vulnerabilità per AWS.

Puoi definire un massimo di 50 tag AWS e ID istanza Amazon EC2. Le modifiche alle impostazioni di analisi non influiscono sul modello AWS CloudFormation. Non è necessario eseguire di nuovo il deployment del modello. Se un valore di tag o ID istanza non è corretto (ad esempio, il valore è scritto in modo errato) e la risorsa specificata non esiste, il valore viene ignorato durante l'analisi.
Opzione Descrizione
Intervallo di analisi Inserisci il numero di ore tra un'analisi e l'altra. I valori validi vanno da 6 a 24. Il valore predefinito è 6. Le analisi più frequenti possono causare un aumento dell'utilizzo delle risorse e, di conseguenza, un aumento degli addebiti di fatturazione.
Regioni AWS

Scegli un sottoinsieme di regioni da includere nell'analisi di Vulnerability Assessment.

Vengono analizzate solo le istanze delle regioni selezionate. Seleziona una o più regioni AWS da includere nell'analisi.

Se hai configurato regioni specifiche nel connettore Amazon Web Services (AWS), assicurati che le regioni selezionate qui siano le stesse o un sottoinsieme di quelle definite quando hai configurato la connessione ad AWS.

Tag AWS Specifica i tag che identificano il sottoinsieme di istanze analizzate. Vengono analizzate solo le istanze con questi tag. Inserisci la coppia chiave-valore per ogni tag. Se viene specificato un tag non valido, verrà ignorato. Puoi specificare un massimo di 50 tag. Per saperne di più sui tag, consulta Tagga le risorse Amazon EC2 e Aggiungi e rimuovi tag per le risorse Amazon EC2.
Escludi per ID istanza

Escludi le istanze EC2 da ogni analisi specificando l' ID istanza EC2. Puoi specificare un massimo di 50 ID istanza. Se vengono specificati valori non validi, verranno ignorati. Se definisci più ID istanza, questi vengono combinati utilizzando l' AND operatore.

  • Se selezioni Escludi istanza per ID, inserisci manualmente ogni ID istanza facendo clic su Aggiungi istanza AWS EC2 e poi digitando il valore.

  • Se selezioni Copia e incolla un elenco di ID istanze da escludere nel formato JSON, esegui una delle seguenti operazioni:

    • Inserisci un array di ID istanza. Ad esempio:

      [ "instance-id-1", "instance-id-2" ]

    • Carica un file con l'elenco degli ID istanza. Il contenuto del file deve essere un array di ID istanza, ad esempio: 

      [ "instance-id-1", "instance-id-2" ]
Analizza l'istanza SC1 Seleziona Analizza l'istanza SC1 per includere queste istanze. Le istanze SC1 sono escluse per impostazione predefinita. Scopri di più sulle istanze SC1.
Analizza l'istanza ST1 Seleziona Analizza l'istanza ST1 per includere queste istanze. Le istanze ST1 sono escluse per impostazione predefinita. Scopri di più sulle istanze ST1.
Analizza Elastic Container Registry (ECR) Seleziona Analizza l'istanza Elastic Container Registry per analizzare le immagini container archiviate in ECR e i relativi pacchetti installati. Scopri di più su Elastic Container Registry.

Esegui il deployment del modello AWS CloudFormation

Esegui il deployment del modello CloudFormation almeno sei ore dopo aver creato un connettore AWS.

Per informazioni dettagliate su come eseguire il deployment di un modello CloudFormation, consulta Creare uno stack dalla console CloudFormation nella documentazione di AWS.

Tieni presente quanto segue: * Dopo aver caricato il modello CloudFormation, inserisci un nome di stack univoco. Non modificare altri parametri nel modello. * Per Autorizzazioni nelle opzioni dello stack, seleziona il ruolo AWS che hai creato in precedenza. * Dopo aver eseguito il deployment del modello CloudFormation, l'avvio dello stack richiede alcuni minuti per l'avvio.

Lo stato del deployment viene visualizzato nella console AWS. Se il deployment del modello CloudFormation non riesce, consulta Risoluzione dei problemi.

Una volta avviate le analisi, se vengono rilevate vulnerabilità, vengono generati i risultati corrispondenti e visualizzati nella pagina Risultati di Security Command Center Findings nella Google Cloud console.

Esamina i risultati nella console

Puoi visualizzare i risultati di Valutazione di vulnerabilità per AWS nella Google Cloud console. Il ruolo IAM minimo richiesto per visualizzare i risultati è Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

Per esaminare i risultati di Valutazione di vulnerabilità per AWS nella Google Cloud console, seguire questi passaggi:

  1. Nella Google Cloud console, vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo Google Cloud progetto o la tua organizzazione.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione di vulnerabilità EC2. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati da questa origine.
  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
  5. Nella scheda Riepiligo , esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi eseguire per risolvere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

Risoluzione dei problemi

Se hai abilitato il servizio Valutazione di vulnerabilità, ma le analisi non sono in esecuzione, controlla quanto segue:

  • Verifica che il connettore AWS sia configurato correttamente.
  • Verifica che lo stack del modello CloudFormation sia stato eseguito completamente. Il suo stato nell'account AWS deve essere CREATION_COMPLETE.