Ative e use a avaliação de vulnerabilidades para a AWS

Esta página descreve como configurar e usar a avaliação de vulnerabilidades para o serviço Amazon Web Services (AWS).

Para ativar a avaliação de vulnerabilidades para a AWS, tem de criar uma função do IAM da AWS na plataforma da AWS, ativar o serviço de avaliação de vulnerabilidades para a AWS no Security Command Center e, em seguida, implementar um modelo do CloudFormation na AWS.

Antes de começar

Para ativar a avaliação de vulnerabilidades para o serviço AWS, precisa de determinadas autorizações do IAM, e o Security Command Center tem de estar ligado à AWS.

Funções e permissões

Para concluir a configuração da avaliação de vulnerabilidades para o serviço AWS, tem de lhe serem concedidas funções com as autorizações necessárias no Google Cloud e na AWS.Google Cloud

Google Cloud funções

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Aceder ao IAM
  2. Selecione a organização.
  3. Clique em Conceder acesso.

  4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

  5. Na lista Selecionar uma função, selecione uma função.
  6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
  7. Clique em Guardar.

    8. Funções da AWS

    Nos Amazon Web Services (AWS), um utilizador administrativo dos AWS tem de criar a conta dos AWS necessária para ativar as análises. Atribui esta função mais tarde quando instala o modelo do CloudFormation na AWS.

    • Para criar uma função para a avaliação de vulnerabilidades na AWS, siga os passos em Crie uma função para um serviço AWS (consola).

      Tenha em conta o seguinte:

      • Para serviço ou exemplo de utilização, selecione lambda.
      • Adicione as seguintes políticas de autorização:
        • AmazonSSMManagedInstanceCore
        • AWSLambdaBasicExecutionRole
        • AWSLambdaVPCAccessExecutionRole
      • Crie uma política de autorização para a função da AWS:
        1. Siga as instruções para modificar e copiar a política de autorizações: Política de funções para a avaliação de vulnerabilidades para o AWS e a deteção de ameaças de VMs.
        2. Introduza a política no editor JSON na AWS.

      • Para relações de confiança, adicione a seguinte entrada JSON a qualquer matriz de declarações existente:

        {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Recolha informações sobre os recursos da AWS a serem analisados

    Durante os passos para ativar a avaliação de vulnerabilidades para a AWS, pode personalizar a configuração para analisar regiões específicas da AWS, etiquetas específicas que identificam recursos da AWS e volumes específicos de unidades de disco rígido (HDD) (SC1 e ST1).

    É útil ter estas informações disponíveis antes de configurar a avaliação de vulnerabilidades para a AWS.

    Confirme que o Security Command Center está ligado à AWS

    A avaliação de vulnerabilidades para o serviço AWS requer acesso ao inventário de recursos da AWS que o Cloud Asset Inventory mantém quando o Security Command Center está ligado à AWS.

    Se ainda não tiver uma ligação estabelecida, tem de configurar uma quando ativa a avaliação de vulnerabilidades para o serviço AWS.

    Para configurar uma associação, consulte o artigo Associe à AWS para a configuração e a recolha de dados de recursos.

    Ative a avaliação de vulnerabilidades para a AWS no Security Command Center

    A avaliação de vulnerabilidades para a AWS tem de estar ativada na Google Cloud ao nível da organização.

    1. Aceda à página Vista geral de riscos no Security Command Center:

      Aceda à Vista geral de risco

    2. Selecione a organização na qual quer ativar a avaliação de vulnerabilidades para a AWS.

    3. Clique em Definições.

    4. No cartão Avaliação de vulnerabilidades, clique em Gerir definições. É aberta a página Avaliação de vulnerabilidades.

    5. Selecione o separador Amazon Web Services.

    6. Na secção Ativação do serviço, altere o campo Estado para Ativar.

    7. Na secção Conetor da AWS, verifique se o estado apresenta Conetor da AWS adicionado. Se o estado apresentar Nenhum conetor da AWS adicionado, clique em Adicionar conetor da AWS. Conclua os passos em Estabeleça ligação à AWS para configuração e recolha de dados de recursos antes de avançar para o passo seguinte.

    8. Configure as definições de análise para o cálculo e o armazenamento da AWS. Para alterar a configuração predefinida, clique em Editar definições de análise. Para obter informações sobre cada opção, consulte o artigo Personalize as definições de análise para o cálculo e o armazenamento da AWS.

    9. Se já ativou a Deteção de ameaças de VMs para a AWS e implementou o modelo do CloudFormation como parte dessa funcionalidade, ignore este passo. Na secção Definições de análise, clique em Transferir modelo do CloudFormation. É transferido um modelo JSON para a sua estação de trabalho. Tem de implementar o modelo em cada conta da AWS que precisa de analisar para verificar a existência de vulnerabilidades.

    Personalize as definições de análise para computação e armazenamento da AWS

    Esta secção descreve as opções disponíveis para personalizar a análise dos recursos da AWS. Estas opções personalizadas encontram-se na secção Definições de análise para computação e armazenamento da AWS quando edita uma avaliação de vulnerabilidades para uma análise da AWS.

    Pode definir um máximo de 50 etiquetas da AWS e IDs de instâncias do Amazon EC2. As alterações às definições de análise não afetam o modelo do AWS CloudFormation. Não precisa de voltar a implementar o modelo. Se um valor de ID de instância ou de etiqueta não estiver correto (por exemplo, o valor tem um erro ortográfico) e o recurso especificado não existir, o valor é ignorado durante a análise.
    Opção Descrição
    Intervalo de análise Introduza o número de horas entre cada análise. Os valores válidos variam entre 6 e 24. O valor predefinido é 6. As análises mais frequentes podem provocar um aumento na utilização de recursos e, possivelmente, um aumento nos encargos de faturação.
    Regiões da AWS

    Escolha um subconjunto de regiões para incluir na análise de vulnerabilidades.

    Apenas são analisadas as instâncias das regiões selecionadas. Selecione uma ou mais regiões da AWS a incluir na análise.

    Se configurou regiões específicas no conector dos Amazon Web Services (AWS), certifique-se de que as regiões selecionadas aqui são as mesmas ou um subconjunto das definidas quando configurou a ligação aos AWS.

    Etiquetas da AWS Especifique etiquetas que identificam o subconjunto de instâncias que são analisadas. Apenas as instâncias com estas etiquetas são analisadas. Introduza o par de chave-valor para cada etiqueta. Se for especificada uma etiqueta inválida, esta é ignorada. Pode especificar um máximo de 50 etiquetas. Para mais informações acerca das etiquetas, consulte Etiquete os seus recursos do Amazon EC2 e Adicione e remova etiquetas para recursos do Amazon EC2.
    Exclua por ID da instância

    Exclua instâncias EC2 de cada análise especificando o ID da instância EC2. Pode especificar um máximo de 50 IDs de instâncias. Se forem especificados valores inválidos, estes são ignorados. Se definir vários IDs de instância, estes são combinados através do operador AND.

    • Se selecionar Excluir instância por ID, introduza cada ID de instância manualmente clicando em Adicionar instância do AWS EC2 e, de seguida, escrevendo o valor.

    • Se selecionar Copiar e colar uma lista de IDs de instâncias a excluir no formato JSON, realize uma das seguintes ações:

      • Introduza uma matriz de IDs de instâncias. Por exemplo:

        [ "instance-id-1", "instance-id-2" ]

      • Carregue um ficheiro com a lista de IDs de instâncias. O conteúdo do ficheiro deve ser uma matriz de IDs de instâncias, por exemplo: 

        [ "instance-id-1", "instance-id-2" ]
    Analise a instância SC1 Selecione Digitalizar instância SC1 para incluir estas instâncias. As instâncias SC1 são excluídas por predefinição. Saiba mais acerca das instâncias SC1.
    Analise a instância ST1 Selecione Analisar instância ST1 para incluir estas instâncias. As instâncias ST1 são excluídas por predefinição. Saiba mais sobre as instâncias ST1.
    Analise o Elastic Container Registry (ECR) Selecione Analisar instância do Elastic Container Registry para analisar imagens de contentores armazenadas no ECR e os respetivos pacotes instalados. Saiba mais sobre o Elastic Container Registry.

    Implemente o modelo do AWS CloudFormation

    Implemente o modelo do CloudFormation, pelo menos, seis horas após criar um conetor da AWS.

    Para ver informações detalhadas sobre como implementar um modelo do CloudFormation, consulte o artigo Crie uma pilha a partir da consola do CloudFormation na documentação da AWS.

    Tenha em atenção o seguinte: * Depois de carregar o modelo do CloudFormation, introduza um nome de conjunto exclusivo. Não modifique outros parâmetros no modelo. * Para Autorizações nas opções da hierarquia, selecione a função da AWS que criou anteriormente. * Depois de implementar o modelo do CloudFormation, a pilha demora alguns minutos a começar a ser executada.

    O estado da implementação é apresentado na consola da AWS. Se o modelo do CloudFormation não for implementado, consulte a secção Resolução de problemas.

    Depois de as análises começarem a ser executadas, se forem detetadas vulnerabilidades, são geradas e apresentadas as conclusões correspondentes na página Conclusões do Security Command Center naGoogle Cloud consola.

    Reveja as conclusões na consola

    Pode ver a avaliação de vulnerabilidades para as conclusões da AWS na Google Cloud consola. A função do IAM mínima necessária para ver as conclusões é Visualizador de conclusões do centro de segurança (roles/securitycenter.findingsViewer).

    Para rever a avaliação de vulnerabilidades para as conclusões da AWS na Google Cloud consola, siga estes passos:

    1. Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.

      Aceda a Conclusões

    2. Selecione o seu Google Cloud projeto ou organização.
    3. Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Avaliação de vulnerabilidades do EC2. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
    4. Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
    5. No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
    6. Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.

    Resolução de problemas

    Se ativou o serviço de avaliação de vulnerabilidades, mas as análises não estão a ser executadas, verifique o seguinte:

    • Verifique se o conector da AWS está configurado corretamente.
    • Confirme se a pilha do modelo do CloudFormation foi implementada na totalidade. O respetivo estado na conta da AWS deve ser CREATION_COMPLETE.