Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio

Puoi collegare il livello Security Command Center Enterprise al tuo ambiente Amazon Web Services (AWS) per eseguire le seguenti operazioni:

  • Rileva e correggi gli errori di configurazione e le vulnerabilità del software nel tuo ambiente AWS
  • Crea e gestisci una security posture per AWS
  • Identifica i potenziali percorsi di attacco dalla rete internet pubblica al tuo di alto valore Asset AWS
  • Mappa la conformità delle risorse AWS a vari standard e benchmark

La connessione di Security Command Center ad AWS consente al tuo team di operazioni di sicurezza di gestire e correggere minacce e vulnerabilità su Google Cloud e AWS in un unico posto.

Per consentire a Security Command Center di monitorare l'organizzazione AWS, devi configurare un una connessione mediante un agente di servizio Google Cloud e un account AWS che ha accesso alle risorse da monitorare. Security Command Center utilizza questa connessione per raccogliere periodicamente dati su per tutti gli account e le regioni AWS che definisci.

Puoi creare una connessione AWS per ogni organizzazione Google Cloud. Il connettore utilizza le chiamate API per raccogliere i dati degli asset AWS. Queste chiamate API possono comporta l'addebito dei costi di AWS.

Questo documento descrive come configurare la connessione con AWS. Quando configuri una connessione, devi configurare quanto segue:

  • Una serie di account in AWS che hanno accesso diretto alle risorse AWS da monitorare. Nella console Google Cloud, questi account sono chiamati account collector.
  • Un account in AWS che disponga dei criteri e dei ruoli appropriati per consentire l'autenticazione negli account dei raccoglitori. Nella console Google Cloud, questo account è denominato account delegato. Sia l'account delegato sia gli account collector devono trovarsi nella stessa organizzazione AWS.
  • Un agente di servizio in Google Cloud che si connette all'account delegato per l'autenticazione.
  • Una pipeline per raccogliere i dati delle risorse dalle risorse AWS.
  • (Facoltativo) Autorizzazioni per Sensitive Data Protection di profilare i tuoi contenuti AWS.

Questa connessione non si applica alle funzionalità SIEM di Security Command Center che ti consentono di importare i log AWS per il rilevamento delle minacce.

Il seguente diagramma mostra questa configurazione. Il progetto tenant è un progetto che viene creato automaticamente e contiene l'istanza della pipeline di raccolta dei dati degli asset.

Configurazione di AWS e Security Command Center.

Prima di iniziare

Completa queste attività prima di completare quelle rimanenti in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa il passaggio 1 e il passaggio 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Crea account AWS

Assicurati di aver creato le seguenti risorse AWS:

Configura Security Command Center

  1. Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.

    Vai alla guida alla configurazione

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida all'installazione.

  3. Fai clic su Passaggio 3: configura il connettore Amazon Web Services (AWS).

  4. In ID account delegato, inserisci l'ID account AWS per AWS che puoi usare come account delegato.

  5. Per consentire a Sensitive Data Protection di profilare i tuoi dati AWS, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge le autorizzazioni AWS IAM nel modello CloudFormation per il ruolo del raccoltore.

    Autorizzazioni AWS IAM concesse da questa opzione

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. Se vuoi, controlla e modifica le Opzioni avanzate. Per informazioni su opzioni aggiuntive, consulta Personalizzare la configurazione del connettore AWS.

  7. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  8. Completa una delle seguenti operazioni:

    • Scarica ed esamina i modelli CloudFormation per il ruolo delegato e il ruolo raccoglitore.
    • Se hai configurato le opzioni avanzate o devi modificare i nomi dei ruoli AWS predefiniti (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), seleziona Configura manualmente gli account AWS. Copia l'ID agente di servizio, il nome ruolo delegato e il raccoglitore e il nome del ruolo raccoglitore di Sensitive Data Protection.

    Non puoi modificare i nomi dei ruoli dopo aver creato la connessione.

Non fare clic su Crea. Invece, per configurare l'ambiente AWS.

Configura il tuo ambiente AWS

Puoi configurare l'ambiente AWS utilizzando uno dei seguenti metodi:

Utilizzare i modelli CloudFormation per configurare l'ambiente AWS

Se hai scaricato i modelli CloudFormation, segui questi passaggi per configurare il tuo ambiente AWS.

  1. Accedi alla console dell'account delegato AWS. Assicurati che di aver effettuato l'accesso all'account delegato che utilizza per prevedere altre account AWS raccoglitore (ossia un account di gestione AWS o registrato come utente con delega di amministratore).
  2. Vai alla console Modello AWS CloudFormation.

  3. Crea uno stack che esegue il provisioning del ruolo del delegato:

    1. Nella pagina Gli stack, fai clic su Crea stack > Con nuovo (standard).
    2. Quando specifichi un modello, carica il file del modello del ruolo delegato.
    3. Quando specifichi i dettagli dello stack, inserisci un nome dello stack.

    4. Se hai modificato il nome del ruolo delegato, ruolo raccoglitore o Sensitive Data Protection, aggiorna i parametri di conseguenza. La inseriti devono corrispondere a quelli elencati nel Pagina Connetti ad AWS nella console Google Cloud.

    5. Aggiorna le opzioni dello stack in base alle esigenze della tua organizzazione.

    6. Nella pagina Rivedi e crea, seleziona Confermo che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati.

    7. Fai clic su Invia per creare la serie.

    Attendi la creazione dello stack. Se si verifica un problema, consulta Risoluzione dei problemi. Per ulteriori informazioni, consulta Creazione di uno stack in AWS CloudFormation console nella documentazione di AWS.

  4. Crea un set di stack che esegue il provisioning dei ruoli di raccoglitore.

    1. Nella pagina StackSet, fai clic su Crea StackSet.

    2. Fai clic su Autorizzazioni gestite dal servizio.

    3. Quando specifichi un modello, carica il file del modello del ruolo del raccoglitore.

    4. Quando specifichi i dettagli dell'oggetto StackSet, inserisci il nome di un set di stack e o l'audiodescrizione.

    5. Inserisci l'ID account delegato.

    6. Se hai modificato il nome del ruolo delegato, del ruolo del raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. La inseriti devono corrispondere a quelli elencati nel Pagina Connetti ad AWS nella console Google Cloud.

    7. In base alle esigenze della tua organizzazione, configura le opzioni dell'insieme di stack.

    8. Quando specifichi le opzioni di deployment, scegli le destinazioni del deployment. Puoi eseguire il deployment nell'intera organizzazione AWS o in un'unità organizzativa (UO) che includa tutti gli account AWS da cui vuoi raccogliere i dati.

    9. Specifica le regioni AWS in cui creare i ruoli e i criteri. Poiché i ruoli sono risorse globali, non devi specificare regioni.

    10. Se necessario, modifica altre impostazioni.

    11. Rivedi le modifiche e fai clic su Invia per creare l'insieme di stack. Se ricevi un messaggio di errore, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta Creare un set di stack con autorizzazioni gestite dal servizio nella documentazione di AWS.

  5. Se hai bisogno di raccogliere i dati dall'account di gestione, accedi a di gestione dell'account ed eseguire il deployment di uno stack separato per il provisioning del raccoglitore ruoli. Quando specifichi il modello, carica il modello di ruolo del raccoglitore .

    Questo passaggio è necessario perché gli stack set AWS CloudFormation non creano impilare le istanze negli account di gestione. Per ulteriori informazioni, vedi DeploymentTargets nella documentazione di AWS.

Per completare il processo di integrazione, consulta Completa la procedura di integrazione.

Configura manualmente gli account AWS

Se non puoi utilizzare i modelli CloudFormation (ad esempio, stai utilizzando ruoli diversi o che stai personalizzando l'integrazione), puoi creare i criteri e i ruoli AWS IAM richiesti manualmente.

Devi creare criteri e ruoli AWS IAM per l'account delegato e gli account raccoglitore.

Crea il criterio AWS IAM per il ruolo delegato

Per creare un criterio AWS IAM per il ruolo delegato (un criterio delegato), segui questi passaggi:

  1. Accedi a Console account delegato AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla una delle seguenti stringhe, a seconda che tu abbia selezionato o meno la casella di controllo Concede autorizzazioni per il rilevamento di Sensitive Data Protection in Configura Security Command Center.

    Concedi le autorizzazioni per Sensitive Data Protection rilevamento: cancellato

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    Sostituisci COLLECTOR_ROLE_NAME con il nome del raccoglitore che hai copiato durante la configurazione di Security Command Center (il il valore predefinito è aws-collector-role).

    Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: selezionato

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del di configurazione del raccoglitore dei dati che hai copiato durante configurazione di Security Command Center (il valore predefinito è aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo raccoglitore di Sensitive Data Protection che hai copiato durante configurazione di Security Command Center (il valore predefinito è aws-sensitive-data-protection-role)

  4. Fai clic su Avanti.

  5. Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.

  6. Fai clic su Crea criterio.

Crea un ruolo IAM AWS per la relazione di attendibilità tra AWS e Google Cloud

Crea un ruolo delegato che configuri una relazione attendibile tra AWS e Google Cloud. Questo ruolo utilizza il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato.

  1. Accedi alla console dell'account delegato AWS come utente AWS che può creare criteri e ruoli IAM.

  2. Fai clic su Ruoli > Crea ruolo.

  3. In Tipo di entità attendibile, fai clic su Identità web.

  4. In Provider di identità, fai clic su Google.

  5. In Pubblico, inserisci l'ID agente di servizio che hai copiato durante configurato Security Command Center. Fai clic su Avanti.

  6. Per concedere al ruolo delegato l'accesso ai ruoli del raccoglitore, allega i criteri di autorizzazione al ruolo. Cerca il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato e selezionalo.

  7. Nella sezione Dettagli ruolo, inserisci il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center (il nome predefinito è aws-delegated-role).

  8. Fai clic su Crea ruolo.

Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset

Per creare un criterio AWS IAM per la raccolta dei dati di configurazione degli asset (un raccoglitore ), completa le seguenti informazioni:

  1. Accedi a Console account raccoglitore AWS.

  2. Fai clic su Norme > Crea criterio.

  3. Fai clic su JSON e incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. Fai clic su Avanti.

  5. Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.

  6. Fai clic su Crea criterio.

  7. Ripeti questi passaggi per ogni account del raccoglitore.

Crea il ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ciascun account

Crea il ruolo raccoglitore che consente a Security Command Center di recuperare i dati di configurazione degli asset di AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Crea il Criterio AWS IAM per i dati di configurazione degli asset raccolta.

  1. Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Criterio di attendibilità personalizzato.

  4. Nella sezione Norme di attendibilità personalizzate, incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Sostituisci quanto segue:

  5. Per concedere a questo ruolo raccoglitore l'accesso ai dati di configurazione degli asset AWS, collegare i criteri di autorizzazione al ruolo. Cerca il criterio del collector personalizzato creato in Creare il criterio IAM AWS per la raccolta dei dati di configurazione degli asset e selezionalo.

  6. Cerca e seleziona i seguenti criteri gestiti:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. Nella sezione Dettagli del ruolo, inserisci il nome del ruolo del raccoglitore dei dati di configurazione che hai copiato quando hai configurato Security Command Center.

  8. Fai clic su Crea ruolo.

  9. Ripeti questi passaggi per ogni account raccoglitore.

Se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center, vai alla sezione successiva.

Se non hai attivato l'opzione Concedi autorizzazioni per Sensitive Data Protection casella di controllo di rilevamento, quindi completa la di integrazione.

Crea il criterio AWS IAM per Sensitive Data Protection

Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center.

Creare un criterio AWS IAM per Sensitive Data Protection (un raccoglitore ), completa le seguenti informazioni:

  1. Accedi a Console account raccoglitore AWS.

  2. Fai clic su Norme > Crea criterio.

  3. Fai clic su JSON e incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. Fai clic su Avanti.

  5. Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.

  6. Fai clic su Crea criterio.

  7. Ripeti questi passaggi per ogni account del raccoglitore.

Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account

Completa questi passaggi se hai selezionato l'opzione Concedi autorizzazioni per Sensitive Data Protection della funzionalità di rilevamento Configura Security Command Center.

Crea il ruolo del raccoglitore che consente a Sensitive Data Protection di profilare i contenuti delle tue risorse AWS. Questo ruolo utilizza il criterio del raccoglitore che è stato creato in Creare il criterio AWS IAM per Sensitive Data Protection.

  1. Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Criterio di attendibilità personalizzato.

  4. Nella sezione Norme di attendibilità personalizzate, incolla quanto segue:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Sostituisci quanto segue:

  5. Per concedere a questo ruolo raccoglitore l'accesso ai contenuti delle tue risorse AWS, collegare i criteri di autorizzazione al ruolo. Cerca il raccoglitore personalizzato creato in Crea il criterio AWS IAM per Sensitive Data Protection, e selezionalo.

  6. Nella sezione Dettagli ruolo, inserisci il nome del ruolo per Sensitive Data Protection che hai copiato durante la configurazione Security Command Center.

  7. Fai clic su Crea ruolo.

  8. Ripeti questi passaggi per ogni account del raccoglitore.

Per completare il processo di integrazione, consulta Completa la procedura di integrazione.

Completa la procedura di integrazione

  1. Nella console Google Cloud, nella pagina Testa il connettore, fai clic su Testa per verificare che Security Command Center possa connettersi del tuo ambiente AWS. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non riesce, consulta la sezione Risoluzione dei problemi. errori durante il test della connessione.

  2. Fai clic su Crea.

Personalizzare la configurazione del connettore AWS

Questa sezione descrive alcuni modi in cui puoi personalizzare la connessione tra Security Command Center e AWS. Queste opzioni sono disponibili nella sezione Opzioni avanzate (facoltative) della pagina Aggiungi connettore Amazon Web Services nella console Google Cloud.

Per impostazione predefinita, Security Command Center rileva automaticamente i tuoi account AWS in tutte le regioni AWS. La connessione utilizza endpoint globale predefinito per il servizio token di sicurezza AWS e le query predefinite al secondo (QPS) per il servizio AWS il monitoraggio. Queste opzioni avanzate ti consentono di personalizzare le impostazioni predefinite.

Opzione Descrizione
Aggiungi account connettore AWS Seleziona il campo Aggiungi account automaticamente (opzione consigliata) per consentire a Security Command Center di rilevare automaticamente gli account AWS oppure seleziona Aggiungi account singolarmente e fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare le risorse.
Escludi account connettore AWS Se hai selezionato il campo Aggiungi account singolarmente sotto le Aggiungi account connettore AWS, che fornisce un elenco di account AWS che Security Command Center non deve utilizzarlo per trovare risorse.
Seleziona le regioni in cui raccogliere i dati Seleziona una o più regioni AWS da cui Security Command Center raccogliere i dati. Esci dalla Il campo Regioni AWS è vuoto per raccogliere i dati di tutte le regioni.
Numero massimo di query al secondo (QPS) per i servizi AWS Puoi modificare il valore QPS per controllare il limite della quota Security Command Center. Imposta la sostituzione su un valore inferiore a valore predefinito per quel servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi la QPS, Security Command Center potrebbe riscontrare problemi di recupero dei dati. Pertanto, non è consigliabile modificare questo valore.
Endpoint per il servizio token di sicurezza AWS Puoi specificare un endpoint specifico per l'AWS Servizio token di sicurezza (ad esempio https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

Concedi le autorizzazioni per il rilevamento dei dati sensibili a un connettore AWS esistente

Per eseguire il rilevamento di dati sensibili sul contenuto AWS, è necessaria una Connettore AWS che dispone della richiesta AWS IAM autorizzazioni.

Questa sezione descrive come concedere queste autorizzazioni a un servizio AWS esistente di rete. I passaggi da seguire dipendono dal fatto che tu abbia configurato il tuo ambiente AWS utilizzando i modelli CloudFormation o manualmente.

Aggiorna un connettore esistente utilizzando i modelli CloudFormation

Se configuri il tuo ambiente AWS utilizzando CloudFormation modelli, quindi segui questa procedura per concedere i dati sensibili le autorizzazioni di rilevamento per il connettore AWS esistente.

  1. Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.

    Vai alla guida alla configurazione

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida all'installazione.

  3. Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.

  4. Per il connettore AWS, fai clic su Altro > Modifica.

  5. Nella sezione Rivedi i tipi di dati, seleziona Concedi autorizzazioni per Sensitive Data Protection per il rilevamento.

  6. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  7. Fai clic su Scarica modello del ruolo delegato. Il modello viene scaricato sul computer.

  8. Fai clic su Scarica modello di ruolo raccoglitore. Il modello viene scaricato sul computer.

  9. Fai clic su Continua. Si apre la pagina Testa connettore. Non testare il connettori.

  10. Nella console CloudFormation, aggiorna il modello di stack per il ruolo delegato:

    1. Accedi all'account delegato AWS Google Cloud. Assicurati di aver effettuato l'accesso all'account delegato che viene utilizzato per utilizzare un altro raccoglitore AWS .
    2. Vai alla pagina AWS CloudFormation.

    3. Sostituisci il modello di stack per il ruolo delegato con il ruolo aggiornato che hai scaricato.

      Per ulteriori informazioni, consulta Aggiornare il modello di uno stack (console) nella documentazione di AWS.

  11. Aggiorna l'insieme di stack per il ruolo del raccoglitore:

    1. Utilizzando un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato, vai alla console AWS CloudFormation.

    2. Sostituisci il modello di set di stack per il ruolo raccoglitore con il modello aggiornato il modello di ruolo del raccoglitore che hai scaricato.

      Per ulteriori informazioni, consulta Aggiornare l'insieme di stack utilizzando la console AWS CloudFormation nella documentazione AWS.

  12. Se devi raccogliere i dati dall'account di gestione: accedi all'account di gestione e sostituisci il modello nel raccoglitore Impila con il modello di ruolo raccoglitore aggiornato che hai scaricato.

    Questo passaggio è necessario perché gli stack set AWS CloudFormation non creano stack e istanze VM negli account di gestione. Per ulteriori informazioni, consulta DeploymentTargets nella documentazione di AWS.

  13. Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore. Se la connessione riesce, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere il raccoglitore ruoli. Se la connessione non riesce, consulta la sezione Risolvere gli errori durante la per testare la connessione.

  14. Fai clic su Salva.

Aggiornare manualmente un connettore esistente

Se hai configurato i tuoi account AWS manualmente durante ha creato il connettore AWS, quindi segui questi passaggi per concedere i dati sensibili le autorizzazioni di rilevamento per il connettore AWS esistente.

  1. Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.

    Vai alla Guida alla configurazione

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Viene visualizzata la pagina Guida alla configurazione.

  3. Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.

  4. Per il connettore AWS, fai clic su Altro > Modifica.

  5. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  6. Fai clic su Continua. Si apre la pagina Connetti ad AWS.

  7. Fai clic su Configura manualmente gli account AWS (consigliato se utilizzi impostazioni avanzate o nomi ruolo personalizzati).

  8. Copia i valori dei seguenti campi:

    • Nome ruolo delegato
    • Nome del ruolo del raccoglitore
    • Nome del ruolo del raccoglitore Sensitive Data Protection

  9. Fai clic su Continua. Si apre la pagina Connettore di test. Non testare il connettori.

  10. Nella console dell'account delegato AWS, aggiorna il criterio AWS IAM per il ruolo delegato in modo da utilizzare il seguente JSON:

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del ruolo del raccoglie dati di configurazione che hai copiato (il valore predefinito è aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo del raccoglitore Sensitive Data Protection che hai copiato (il valore predefinito è aws-sensitive-data-protection-role)

    Per ulteriori informazioni, vedi Modifica dei criteri gestiti dal cliente (console) nella documentazione di AWS.

  11. Per ogni account del raccoglitore, svolgi le seguenti procedure:

    1. Crea il criterio AWS IAM per la protezione dei dati sensibili.

    2. Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account.

  12. Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di gatherer. Se la connessione non va a buon fine, consulta Risolvere i problemi di connessione durante il test.

  13. Fai clic su Salva.

Risoluzione dei problemi

Questa sezione include alcuni problemi comuni che potresti riscontrare durante l'integrazione di Security Command Center con AWS.

Le risorse esistono già

Questo errore si verifica nell'ambiente AWS quando provi a creare AWS IAM e i ruoli AWS IAM. Questo problema si verifica quando il ruolo esiste già nel tuo account AWS e stai tentando di crearlo di nuovo.

Per risolvere il problema, completa i seguenti passaggi:

  • Verifica se il ruolo o il criterio che stai creando esiste già e soddisfi i requisiti elencati in questa guida.
  • Se necessario, modifica il nome del ruolo per evitare conflitti.

Entità non valida nel criterio

Questo errore può verificarsi nell'ambiente AWS durante la creazione del raccoglitore ma il ruolo delegato non esiste ancora.

Per risolvere il problema, completa i passaggi descritti in Creare il criterio AWS IAM per il ruolo delegato e attendi che il ruolo delegato venga creato prima di continuare.

Limitazioni del throttling in AWS

AWS limita le richieste API per ogni account AWS su base account o regione. Per garantire che questi limiti non vengano superati quando Security Command Center raccoglie i dati di configurazione delle risorse da AWS, li raccoglie a una QPS massima fissa per ogni servizio AWS, come descritto nella documentazione dell'API per il servizio AWS.

Se noti una limitazione delle richieste nel tuo ambiente AWS a causa del numero di QPS consumati, puoi mitigare il problema completando quanto segue:

  • Nella pagina Impostazioni del connettore AWS, imposta un QPS personalizzato per il servizio AWS che presenta problemi di throttling delle richieste.

  • Limita le autorizzazioni del ruolo raccoglitore AWS in modo che i dati provenienti da quel per un servizio specifico non vengono più raccolte. Questa tecnica di mitigazione impedisce il corretto funzionamento delle simulazioni dei percorsi di attacco per AWS.

La revoca di tutte le autorizzazioni in AWS interrompe immediatamente il processo del raccoglitore dei dati. L'eliminazione del connettore AWS non interrompe immediatamente il processo del raccoltore dei dati, ma non verrà riavviato al termine.

Risolvere gli errori durante il test della connessione

Questi errori possono verificarsi quando testi la connessione tra Security Command Center e AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connessione non è valida perché l'agente di servizio Google Cloud non può assumere il ruolo delegato.

Per risolvere il problema, tieni presente quanto segue:

AWS_FAILED_TO_LIST_ACCOUNTS

La connessione non è valida perché il rilevamento automatico è abilitato e il traffico delegato non può recuperare tutti gli account AWS nelle organizzazioni.

Questo problema indica che il criterio per consentire l'azione organizations:ListAccounts sul ruolo delegato non è presente in determinate risorse. Per risolvere il problema, verifica quali risorse mancano. Per verificare le impostazioni del criterio delegato, vedi Crea il criterio AWS IAM per il ruolo delegato.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connessione non è valida perché esistono account non validi del raccoglitore. La include ulteriori informazioni sulle possibili cause, tra cui: le seguenti:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

L'account del raccoglitore non è valido perché il ruolo delegato non può assumere il ruolo del raccoglitore nell'account del raccoglitore.

Per risolvere il problema, tieni presente quanto segue:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché nel criterio del raccoglitore mancano alcuni dei le impostazioni di autorizzazione obbligatorie.

Per risolvere il problema, tieni presente le seguenti cause:

Passaggi successivi