הפעלה ושימוש בהערכת נקודות חולשה ב-AWS

בדף הזה מוסבר איך להגדיר את השירות הערכת נקודות חולשה עבור Amazon Web Services (AWS) ולהשתמש בו.

כדי להפעיל את הערכת נקודות החולשה ב-AWS, צריך ליצור תפקיד AWS IAM בפלטפורמת AWS, להפעיל את שירות הערכת נקודות החולשה ב-AWS ב-Security Command Center, ואז לפרוס תבנית CloudFormation ב-AWS.

לפני שמתחילים

כדי להפעיל את הערכת נקודות חולשה ב-AWS, אתם צריכים הרשאות מסוימות ב-IAM וצריך לקשר את Security Command Center ל-AWS.

תפקידים והרשאות

כדי להשלים את ההגדרה של שירות הערכת נקודות החולשה ב-AWS, צריך לקבל תפקידים עם ההרשאות הנדרשות גם ב-Google Cloud וגם ב-AWS.

Google Cloud roles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    כניסה לדף IAM
  2. בוחרים את הארגון.
  3. לוחצים על ‎ Grant access.

  4. בשדה New principals, מזינים את מזהה המשתמש. ‫ בדרך כלל מזהה המשתמש הוא כתובת האימייל של חשבון Google.

  5. לוחצים על בחירת תפקיד ומחפשים את התפקיד.
  6. כדי לתת עוד תפקידים, לוחצים על Add another role ומוסיפים את כולם.
  7. לוחצים על Save.

    8. תפקידים ב-AWS

    ב-Amazon Web Services‏ (AWS), משתמש עם הרשאת אדמין ב-AWS צריך ליצור את חשבון AWS שנדרש להפעלת הסריקות. תקצו את התפקיד הזה בהמשך, כשמתקינים את תבנית CloudFormation ב-AWS.

    • כדי ליצור תפקיד להערכת נקודות חולשה ב-AWS, פועלים לפי השלבים במאמר בנושא יצירת תפקיד לשירות AWS (מסוף).

      שימו לב לנקודות הבאות:

      • בקטע שירות או תרחיש לדוגמה, בוחרים באפשרות lambda.
      • מוסיפים את מדיניות ההרשאות הבאה:
        • AmazonSSMManagedInstanceCore
        • AWSLambdaBasicExecutionRole
        • AWSLambdaVPCAccessExecutionRole
      • שומרים את המדיניות ופותחים אותה מחדש. לוחצים על Add Permission (הוספת הרשאה) > Create Inline policy (יצירת מדיניות מוטמעת).
      • יוצרים מדיניות הרשאות לתפקיד ב-AWS:
        1. פועלים לפי ההוראות לשינוי ולהעתקה של מדיניות ההרשאות: מדיניות תפקידים להערכת נקודות חולשה ב-AWS ולזיהוי איומים ב-VM.
        2. מזינים את המדיניות בעורך ה-JSON ב-AWS.

      • כדי להגדיר יחסי אמון, מוסיפים את רשומת ה-JSON הבאה לכל מערך הצהרות קיים:

        {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    איסוף מידע על משאבי AWS שצריך לסרוק

    במהלך השלבים להפעלת הערכת נקודות חולשה ב-AWS, אפשר להתאים אישית את ההגדרה כדי לסרוק אזורי AWS ספציפיים, תגים ספציפיים שמזהים משאבי AWS וכונני דיסק קשיח (HDD) ספציפיים (גם SC1 וגם ST1).

    מומלץ להכין את המידע הזה לפני שמגדירים את הערכת נקודות חולשה ב-AWS.

    אישור ש-Security Command Center מחובר ל-AWS

    שירות הערכת נקודות חולשה ב-AWS דורש גישה למלאי המשאבים ב-AWS שמתוחזק על ידי מאגר משאבי הענן כש-Security Command Center מקושר ל-AWS.

    אם עדיין לא נוצר חיבור, תצטרכו להגדיר חיבור כשמפעילים את השירות הערכת נקודות חולשה ב-AWS.

    הוראות להגדרת חיבור מופיעות במאמר חיבור ל-AWS לצורך הגדרה ואיסוף נתוני משאבים.

    הפעלת הערכת נקודות חולשה ב-AWS ב-Security Command Center

    צריך להפעיל את הערכת נקודות החולשה ב-AWS ב- Google Cloud ברמת הארגון.

    1. עוברים לדף Risk overview ב-Security Command Center:

      לסקירה הכללית של הסיכונים

    2. בוחרים את הארגון שבו רוצים להפעיל את הערכת נקודות החולשה ב-AWS.

    3. לוחצים על הגדרות.

    4. בכרטיס Vulnerability Assessment (הערכת נקודות חולשה), לוחצים על Manage Settings (ניהול הגדרות). ייפתח הדף Vulnerability Assessment.

    5. בוחרים בכרטיסייה Amazon Web Services.

    6. בקטע הפעלת שירות, משנים את השדה סטטוס להפעלה.

    7. בקטע AWS connector (מחבר AWS), מוודאים שהסטטוס הוא AWS Connector added (מחבר AWS נוסף). אם הסטטוס הוא לא נוסף מחבר AWS, לוחצים על הוספת מחבר AWS. לפני שעוברים לשלב הבא, צריך להשלים את השלבים במאמר קישור ל-AWS לצורך הגדרה ואיסוף נתוני משאבים.

    8. מגדירים את הגדרות הסריקה לחישוב ולאחסון ב-AWS. כדי לשנות את הגדרת ברירת המחדל, לוחצים על עריכת הגדרות הסריקה. מידע על כל אחת מהאפשרויות מופיע במאמר התאמה אישית של הגדרות הסריקה לחישוב ולאחסון ב-AWS.

    9. אם כבר הפעלתם את התכונה 'זיהוי איומים במכונות וירטואליות' ב-AWS ופרסתם את תבנית CloudFormation כחלק מהתכונה הזו, אתם יכולים לדלג על השלב הזה. בקטע הגדרות הסריקה, לוחצים על הורדת תבנית CloudFormation. תתבצע הורדה של תבנית JSON לתחנת העבודה שלכם. צריך לפרוס את התבנית בכל חשבון AWS שרוצים לסרוק בו פגיעויות.

    התאמה אישית של הגדרות הסריקה עבור מחשוב ואחסון ב-AWS

    בקטע הזה מתוארות האפשרויות הזמינות להתאמה אישית של הסריקה של משאבי AWS. האפשרויות המותאמות אישית האלה מופיעות בקטע Scan settings for AWS compute and storage (הגדרות סריקה של מחשוב ואחסון ב-AWS) כשעורכים סריקה של הערכת נקודות חולשה ב-AWS.

    אפשר להגדיר עד 50 תגי AWS ומזהי מופעים של Amazon EC2. שינויים בהגדרות הסריקה לא משפיעים על תבנית AWS CloudFormation. אין צורך לפרוס מחדש את התבנית. אם ערך של תג או מזהה מופע לא נכון (לדוגמה, אם יש שגיאת כתיב בערך) והמשאב שצוין לא קיים, המערכת מתעלמת מהערך במהלך הסריקה.
    אפשרות תיאור
    מרווח הסריקה מזינים את מספר השעות בין כל סריקה. הערכים התקינים הם בין 6 ל-24. ערך ברירת המחדל הוא 6. סריקות תכופות יותר עלולות לגרום לשימוש מוגבר במשאבים ואולי גם להגדלת החיובים.
    אזורי AWS

    בוחרים קבוצת משנה של אזורים שרוצים לכלול בסריקה להערכת פגיעויות.

    רק מקרים מהאזורים שנבחרו נסרקים. בוחרים אזורי AWS אחד או יותר שיוכללו בסריקה.

    אם הגדרתם אזורים ספציפיים במחבר של Amazon Web Services‏ (AWS), ודאו שהאזורים שנבחרו כאן זהים לאלה שהוגדרו כש הגדרתם את החיבור ל-AWS, או שהם קבוצת משנה שלהם.

    תגי AWS מציינים תגים שמזהים את קבוצת המשנה של המופעים שנסרקים. רק מופעים עם התגים האלה נסרקים. מזינים את צמד המפתח/ערך לכל תג. אם מציינים תג לא תקין, המערכת מתעלמת ממנו. אפשר לציין עד 50 תגים. מידע נוסף על תגים זמין במאמרים תיוג משאבי Amazon EC2 ו הוספה והסרה של תגים למשאבי Amazon EC2.
    החרגה לפי מזהה מופע

    להחריג מכונות EC2 מכל סריקה על ידי ציון מזהה מכונת EC2. אפשר לציין עד 50 מזהי מופעים. אם מציינים ערכים לא תקינים, המערכת מתעלמת מהם. אם מגדירים כמה מזהי מופעים, הם משולבים באמצעות האופרטור AND.

    • אם בוחרים באפשרות החרגת מופע לפי מזהה, צריך להזין ידנית כל מזהה מופע. לשם כך, לוחצים על הוספת מופע AWS EC2 ומקלידים את הערך.

    • אם בוחרים באפשרות העתקה והדבקה של רשימת מזהי מופעים להחרגה בפורמט JSON, מבצעים אחת מהפעולות הבאות:

      • מזינים מערך של מזהי מכונות. לדוגמה:

        [ "instance-id-1", "instance-id-2" ]

      • מעלים קובץ עם רשימת מזהי המופעים. התוכן של הקובץ צריך להיות מערך של מזהי מופעים, למשל: 

        [ "instance-id-1", "instance-id-2" ]
    סריקת מופע SC1 כדי לכלול את המופעים האלה, בוחרים באפשרות סריקת מופע SC1. מכונות SC1 מוחרגות כברירת מחדל. מידע נוסף על מכונות SC1
    סריקת מופע ST1 בוחרים באפשרות סריקת מופע ST1 כדי לכלול את המופעים האלה. מכונות ST1 מוחרגות כברירת מחדל. מידע נוסף על מכונות ST1
    סריקת Elastic Container Registry‏ (ECR) בוחרים באפשרות סריקת מופע של Elastic Container Registry כדי לסרוק תמונות של קונטיינרים שמאוחסנות ב-ECR ואת החבילות המותקנות שלהן. מידע נוסף על Elastic Container Registry

    פריסת תבנית AWS CloudFormation

    פורסים את תבנית CloudFormation לפחות שש שעות אחרי יצירת מחבר AWS.

    מידע מפורט על פריסת תבנית CloudFormation מופיע במאמר יצירת מחסנית ממסוף CloudFormation במסמכי התיעוד של AWS.

    חשוב לזכור את הדברים הבאים: * אחרי העלאת תבנית CloudFormation, צריך להזין שם ייחודי למערך. לא משנים פרמטרים אחרים בתבנית. * באפשרות Permissions (הרשאות) באפשרויות של ה-stack, בוחרים את תפקיד ה-AWS שיצרתם קודם. * אחרי שפורסים את תבנית CloudFormation, לוקח כמה דקות עד שהמערך מתחיל לפעול.

    סטטוס הפריסה מוצג במסוף AWS. אם פריסת תבנית CloudFormation נכשלת, אפשר להיעזר במאמר בנושא פתרון בעיות.

    אחרי שהסריקות יתחילו לפעול, אם יזוהו נקודות חולשה, הממצאים המתאימים ייווצרו ויוצגו בדף Findings ב-Security Command Center במסוףGoogle Cloud .

    בדיקת הממצאים במסוף

    אפשר לראות את הממצאים של הערכת נקודות החולשה ב-AWS במסוף Google Cloud . תפקיד ה-IAM המינימלי שנדרש כדי לראות את הממצאים הוא צפייה בממצאים של מרכז האבטחה (roles/securitycenter.findingsViewer).

    כדי לבדוק את הממצאים של הערכת נקודות החולשה ב-AWS במסוף Google Cloud :

    1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

      כניסה לדף Findings

    2. בוחרים את הפרויקט או הארגון. Google Cloud
    3. בקטע Quick filters, בקטע המשנה Source display name, בוחרים באפשרות EC2 הערכת נקודות חולשה. תוצאות השאילתה של הממצאים מתעדכנות כך שיוצגו רק הממצאים מהמקור הזה.
    4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בעמודה קטגוריה. חלונית הפרטים של הממצא תיפתח ותציג את הכרטיסייה סיכום.
    5. בכרטיסייה סיכום, בודקים את פרטי הממצא, כולל מידע על מה שזוהה, על המשאב המושפע ועל השלבים שאפשר לבצע כדי לטפל בממצא – אם הם זמינים.
    6. אופציונלי: כדי לראות את הגדרת ה-JSON המלאה של הממצא, לוחצים על הכרטיסייה JSON.

    פתרון בעיות

    אם הפעלתם את שירות הערכת נקודות חולשה, אבל הסריקות לא פועלות, כדאי לבדוק את הדברים הבאים:

    • בודקים שהחיבור ל-AWS מוגדר בצורה תקינה.
    • מוודאים שסטאק התבנית של CloudFormation נפרס במלואו. הסטטוס שלו בחשבון AWS צריך להיות CREATION_COMPLETE.