Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko

Anda dapat menghubungkan tingkat Security Command Center Enterprise ke lingkungan AWS sehingga Anda dapat menyelesaikan hal berikut:

  • Meninjau dan memperbaiki temuan (yang mencakup ancaman dan kerentanan) dari AWS
  • Membuat dan mengelola postur keamanan untuk AWS
  • Mengidentifikasi jalur serangan potensial dari internet publik ke aset AWS bernilai tinggi Anda
  • Memetakan kepatuhan resource AWS dengan berbagai standar dan tolok ukur

Dengan menghubungkan Security Command Center ke AWS, tim operasi keamanan Anda akan menjadi satu tempat untuk mengelola serta memperbaiki ancaman dan kerentanan di Google Cloud dan AWS.

Agar Security Command Center memantau organisasi AWS Anda, Anda harus mengonfigurasi koneksi menggunakan agen layanan Google Cloud dan akun AWS yang memiliki akses ke resource yang ingin Anda pantau. Security Command Center menggunakan koneksi ini untuk mengumpulkan metadata aset secara berkala di semua akun dan region AWS yang Anda tentukan.

Dokumen ini menjelaskan cara menyiapkan koneksi dengan AWS. Saat menyiapkan koneksi, Anda mengonfigurasi hal berikut:

  • Serangkaian akun di AWS yang memiliki akses langsung ke resource AWS yang ingin Anda pantau. Di konsol Google Cloud, akun ini disebut akun kolektor.
  • Akun di AWS yang memiliki kebijakan dan peran yang sesuai untuk mengizinkan autentikasi ke akun kolektor. Di konsol Google Cloud, akun ini disebut akun yang didelegasikan. akun yang didelegasikan dan akun kolektor harus berada di organisasi AWS yang sama.
  • Agen layanan di Google Cloud yang terhubung ke akun yang didelegasikan untuk autentikasi.
  • Pipeline untuk mengumpulkan data aset dari resource AWS.

Koneksi ini tidak berlaku untuk kemampuan SIEM Security Command Center yang memungkinkan Anda menyerap log AWS untuk deteksi ancaman.

Diagram berikut menunjukkan konfigurasi ini. Project tenant adalah project yang dibuat secara otomatis dan berisi instance pipeline pengumpulan data aset Anda.

Konfigurasi AWS dan Security Command Center.

Sebelum memulai

Selesaikan tugas berikut sebelum Anda menyelesaikan tugas lainnya di halaman ini.

Aktifkan tingkat Security Command Center Enterprise

Selesaikan langkah 1 dan langkah 2 dalam panduan penyiapan untuk mengaktifkan tingkat Security Command Center Enterprise.

Siapkan izin

Untuk mendapatkan izin yang diperlukan untuk menggunakan konektor AWS, minta administrator untuk memberi Anda peran IAM Cloud Asset Owner (roles/cloudasset.owner). Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat akun AWS

Pastikan Anda telah membuat resource AWS berikut:

Mengonfigurasi Security Command Center

  1. Di konsol Google Cloud, buka halaman penyiapan.

    Buka penyiapan

  2. Pastikan Anda melihat organisasi tempat Anda mengaktifkan tingkat Security Command Center Enterprise.

  3. Klik Langkah 3: Siapkan konektor Amazon Web Services (AWS).

  4. Di bagian ID akun yang didelegasikan, masukkan ID akun AWS untuk akun AWS yang dapat Anda gunakan sebagai akun yang didelegasikan.

  5. Jika perlu, tinjau opsi lanjutan.

  6. Klik Lanjutkan.

  7. Selesaikan salah satu langkah berikut:

    • Download template CloudFormation untuk peran yang didelegasikan dan peran kolektor.
    • Jika Anda mengonfigurasi opsi lanjutan atau perlu mengubah nama peran AWS default (aws-delegated-role dan aws-collector-role), pilih Gunakan konsol AWS. Salin ID agen layanan, nama peran yang didelegasikan, dan nama peran kolektor.

    Anda tidak dapat mengubah nama peran setelah membuat koneksi.

Jangan klik Buat. Sebagai gantinya, konfigurasikan lingkungan AWS Anda.

Mengonfigurasi lingkungan AWS Anda

Anda dapat menyiapkan lingkungan AWS menggunakan salah satu metode berikut:

Gunakan template CloudFormation untuk menyiapkan lingkungan AWS Anda

Jika Anda mendownload template CloudFormation, gunakan langkah-langkah ini untuk menyiapkan lingkungan AWS Anda.

  1. Login ke Konsol akun delegasi AWS. Pastikan Anda login ke akun delegasi yang digunakan untuk menggunakan akun AWS kolektor lainnya.
  2. Buka konsol AWS CloudFormation Template.
  3. Klik Stacks > With new resources (standard).
  4. Upload file template peran yang didelegasikan, lalu klik Next.
  5. Masukkan nama tumpukan. Jika Anda mengubah nama peran untuk peran yang didelegasikan, perbarui parameter. Klik Next.
  6. Sesuai yang diwajibkan oleh organisasi Anda, perbarui opsi stack, lalu klik Next.
  7. Tinjau informasi, lalu klik Kirim. Tunggu hingga stack dibuat. Jika terjadi masalah, lihat Pemecahan masalah.

    Jika memilih untuk menambahkan akun AWS satu per satu (dengan menonaktifkan penemuan otomatis untuk akun), Anda juga dapat membuat stack terpisah untuk setiap akun AWS, bukan membuat satu set stack.

  8. Dengan menggunakan akun pengelolaan AWS atau akun anggota yang terdaftar sebagai administrator yang didelegasikan, klik Stackset > Create StackSet.

  9. Klik Izin yang dikelola layanan.

  10. Upload file template peran kolektor. Klik Next.

  11. Di halaman Define StackSet details, masukkan nama dan deskripsi kumpulan stack. Verifikasi dan perbarui ID akun delegasi dan nama peran. Klik Next.

  12. Sebagaimana yang diwajibkan organisasi Anda, konfigurasi opsi kumpulan stack Anda. Klik Berikutnya.

  13. Di halaman Set deployment options, selesaikan langkah-langkah berikut:

    1. Pilih target deployment. Anda dapat melakukan deployment ke seluruh organisasi AWS atau men-deploy ke unit organisasi yang menyertakan semua akun AWS yang datanya ingin Anda kumpulkan.

    2. Tentukan region AWS tempat Anda akan membuat peran dan kebijakan. Karena peran merupakan resource global, Anda tidak perlu menentukan beberapa region.

    3. Ubah setelan lain jika perlu, lalu klik Next.

  14. Tinjau perubahannya, lalu klik Kirim. Jika Anda menerima error, lihat Pemecahan masalah.

  15. Deploy stack terpisah untuk menyediakan peran kolektor di bagian akun pengelolaan karena kumpulan stack AWS CloudFormation tidak membuat instance stack di akun pengelolaan. Untuk mengetahui informasi selengkapnya, lihat DeploymentTargets.

Untuk menyelesaikan proses integrasi, lihat Menyelesaikan proses integrasi.

Konfigurasi akun AWS secara manual

Jika tidak dapat menggunakan template CloudFormation (misalnya, Anda menggunakan nama peran yang berbeda atau menyesuaikan integrasi), Anda dapat membuat kebijakan AWS IAM yang diperlukan dan peran AWS IAM secara manual.

Anda harus membuat kebijakan IAM AWS dan peran IAM AWS untuk akun yang didelegasikan dan akun kolektor.

Membuat kebijakan IAM AWS untuk peran yang didelegasikan

Guna membuat kebijakan IAM AWS untuk peran yang didelegasikan (kebijakan yang didelegasikan), selesaikan langkah-langkah berikut:

  1. Login ke Konsol akun delegasi AWS.

  2. Klik Kebijakan > Buat kebijakan.

  3. Klik JSON dan tempel teks berikut:

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List*",
                  "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
          }
      ]
    
    }
    

    Ganti COLLECTOR_ROLE_NAME dengan nama peran kolektor yang Anda salin saat mengonfigurasi Security Command Center (default-nya adalah aws-collector-role).

  4. Klik Next.

  5. Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan tersebut.

  6. Klik Create policy.

Membuat peran IAM AWS untuk hubungan kepercayaan antara AWS dan Google Cloud

Buat peran delegasi yang mengatur hubungan tepercaya antara AWS dan Google Cloud. Peran ini menggunakan kebijakan yang didelegasikan yang telah dibuat di bagian Membuat kebijakan IAM AWS untuk peran yang didelegasikan.

  1. Login ke konsol akun delegasi AWS sebagai pengguna AWS yang dapat membuat peran dan kebijakan IAM.

  2. Klik Peran > Buat peran.

  3. Untuk Jenis entitas tepercaya, klik Identitas Web.

  4. Untuk Identity Provider, klik Google.

  5. Untuk Audience, masukkan ID akun layanan yang Anda salin saat mengonfigurasi Security Command Center. Klik Next.

  6. Untuk memberikan akses peran yang didelegasikan ke peran kolektor, lampirkan kebijakan izin ke peran tersebut. Cari kebijakan delegasi yang telah dibuat di bagian Membuat kebijakan IAM AWS untuk peran yang didelegasikan, lalu pilih kebijakan tersebut.

  7. Di bagian Role details, masukkan Delegated role name yang Anda salin saat mengonfigurasi Security Command Center (nama defaultnya adalah aws-delegated-role).

  8. Klik Buat peran.

Membuat kebijakan IAM AWS untuk pengumpulan data aset

Agar dapat membuat kebijakan IAM AWS untuk pengumpulan data aset (kebijakan kolektor), selesaikan langkah-langkah berikut:

  1. Login ke konsol akun AWS collector.

  2. Klik Kebijakan > Buat kebijakan.

  3. Klik JSON dan tempel teks berikut:

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ce:GetCostAndUsage",
                  "dynamodb:DescribeTableReplicaAutoScaling",
                  "identitystore:ListGroupMemberships",
                  "identitystore:ListGroups",
                  "identitystore:ListUsers",
                  "lambda:GetFunction",
                  "lambda:GetFunctionConcurrency",
                  "logs:ListTagsForResource",
                  "s3express:GetBucketPolicy",
                  "s3express:ListAllMyDirectoryBuckets",
                  "wafv2:GetIPSet"
              ],
              "Resource": [
                  "*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "apigateway:GET"
              ],
              "Resource": [
                  "arn:aws:apigateway:*::/usageplans",
                  "arn:aws:apigateway:*::/usageplans/*/keys",
                  "arn:aws:apigateway:*::/vpclinks/*"
              ]
          }
      ]
    
    }
    
  4. Klik Next.

  5. Di bagian Detail kebijakan, masukkan nama dan deskripsi untuk kebijakan tersebut.

  6. Klik Create policy.

  7. Ulangi langkah-langkah ini untuk setiap akun kolektor.

Membuat peran IAM AWS untuk pengumpulan data di setiap akun

Buat peran kolektor yang memungkinkan Security Command Center mendapatkan data aset dari AWS. Peran ini menggunakan kebijakan kolektor yang dibuat di bagian Membuat kebijakan IAM AWS untuk pengumpulan data aset.

  1. Login ke konsol akun kolektor AWS sebagai pengguna yang dapat membuat peran IAM untuk akun kolektor.

  2. Klik Peran > Buat peran.

  3. Untuk Jenis entitas tepercaya, klik Kebijakan kepercayaan khusus.

  4. Di bagian Kebijakan kepercayaan kustom, tempel perintah berikut:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    

    Ganti kode berikut:

  5. Untuk memberikan akses peran kolektor ke data konfigurasi aset AWS Anda, lampirkan kebijakan izin ke peran tersebut. Cari kebijakan kolektor kustom yang dibuat di bagian Membuat kebijakan IAM AWS untuk pengumpulan data aset, lalu pilih kebijakan tersebut.

  6. Telusuri dan pilih kebijakan terkelola berikut:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit
  7. Di bagian Detail peran, masukkan Nama peran kolektor yang Anda salin saat mengonfigurasi Security Command Center.

  8. Klik Buat peran.

  9. Ulangi langkah-langkah ini untuk setiap akun kolektor.

Untuk menyelesaikan proses integrasi, lihat Menyelesaikan proses integrasi.

Menyelesaikan proses integrasi

  1. Di Konsol Google Cloud, buka halaman Add Amazon Web Services Connector.

    Buka konektor Amazon Web Services

  2. Klik Test Connector untuk memverifikasi bahwa Security Command Center dapat terhubung ke lingkungan AWS Anda. Jika koneksi berhasil, agen layanan Google Cloud dapat mengasumsikan yang didelegasikan dan peran yang didelegasikan memiliki semua izin yang diperlukan untuk mengambil peran kolektor. Jika koneksi tidak berhasil, lihat Memecahkan masalah error saat menguji koneksi.

  3. Klik Create.

Konfigurasi kustom

Bagian ini menjelaskan beberapa cara menyesuaikan koneksi antara Security Command Center dan AWS. Opsi ini tersedia di bagian Advanced options (optional) di halaman Add Amazon Web Services Connector di Google Cloud Console.

Secara default, Security Command Center otomatis menemukan akun AWS Anda di semua region AWS. Koneksi menggunakan endpoint global default untuk AWS Security Token Service dan kueri per detik (QPS) default untuk layanan AWS yang Anda pantau. Opsi lanjutan ini memungkinkan Anda menyesuaikan setelan default.

Opsi Deskripsi
Menentukan akun AWS yang akan digunakan Anda dapat mengizinkan Security Command Center menemukan akun AWS secara otomatis, atau Anda dapat memberikan daftar akun AWS yang dapat digunakan Security Command Center untuk menemukan resource.
Menentukan akun AWS yang akan dikecualikan Jika mengizinkan Security Command Center secara otomatis menemukan akun, Anda dapat memberikan daftar akun AWS yang tidak dapat digunakan Security Command Center untuk menemukan resource.
Menentukan region AWS yang akan dipantau Anda dapat memilih satu atau beberapa region AWS untuk Security Command Center yang akan dipantau. Biarkan kolom AWS region kosong untuk memantau semua region.
Mengganti kueri per detik (QPS) default untuk layanan AWS Anda dapat mengubah QPS untuk mengontrol batas kuota Security Command Center. Tetapkan penggantian ke nilai yang lebih kecil daripada nilai default untuk layanan tersebut, dan lebih besar dari atau sama dengan 1. Nilai defaultnya adalah nilai maksimum. Jika Anda mengubah QPS, Security Command Center mungkin mengalami masalah saat mengambil data. Oleh karena itu, sebaiknya Anda tidak mengubah nilai ini.
Mengubah endpoint untuk AWS Security Token Service Anda dapat menentukan endpoint tertentu untuk AWS Security Token Service (misalnya, https://sts.us-east-2.amazonaws.com). Biarkan kolom AWS Security Token Service (AWS STS) (opsional) untuk menggunakan endpoint global default (https://sts.amazonaws.com).

Pemecahan masalah

Bagian ini membahas beberapa masalah umum yang mungkin Anda alami saat mengintegrasikan Security Command Center dengan AWS.

Resource sudah ada

Error ini terjadi di lingkungan AWS saat Anda mencoba membuat kebijakan IAM AWS dan peran IAM AWS. Masalah ini terjadi saat peran tersebut sudah ada di akun AWS dan Anda mencoba membuatnya lagi.

Untuk mengatasi masalah ini, selesaikan hal berikut:

  • Periksa apakah peran atau kebijakan yang Anda buat sudah ada dan memenuhi persyaratan yang tercantum dalam panduan ini.
  • Jika perlu, ubah nama peran untuk menghindari konflik.

Akun utama tidak valid dalam kebijakan

Error ini dapat terjadi di lingkungan AWS saat Anda membuat peran kolektor, tetapi peran delegasi belum ada.

Untuk mengatasi masalah ini, selesaikan langkah-langkah dalam artikel Membuat kebijakan IAM AWS untuk peran delegasi dan tunggu hingga peran delegasi dibuat sebelum melanjutkan.

Batasan throttling di AWS

AWS men-throttle permintaan API untuk setiap akun AWS atas dasar per akun atau per region. Untuk memastikan batas ini tidak terlampaui saat Security Command Center mengumpulkan metadata aset dari AWS, Security Command Center mengumpulkan data pada QPS maksimum tetap untuk setiap layanan AWS, seperti yang dijelaskan dalam dokumentasi API untuk layanan AWS.

Jika Anda mengalami throttling permintaan di lingkungan AWS karena QPS yang digunakan, Anda dapat mengurangi masalah dengan menyelesaikan hal berikut:

  • Di halaman setelan konektor AWS, tetapkan QPS kustom untuk layanan AWS yang mengalami masalah throttling permintaan.

  • Batasi izin peran pengumpul AWS agar data dari layanan spesifik tersebut tidak dikumpulkan lagi. Teknik mitigasi ini mencegah simulasi jalur serangan tidak berfungsi dengan benar untuk AWS.

Mencabut semua izin di AWS akan langsung menghentikan proses pengumpul data. Menghapus konektor AWS tidak akan langsung menghentikan proses pengumpulan data, tetapi tidak akan dimulai lagi setelah selesai.

Memecahkan masalah error saat menguji koneksi

Error ini dapat terjadi saat Anda menguji koneksi antara Security Command Center dan AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Koneksi tidak valid karena agen layanan Google Cloud tidak dapat mengambil peran yang didelegasikan.

Untuk mengatasi masalah ini, pertimbangkan hal berikut:

AWS_FAILED_TO_LIST_ACCOUNTS

Koneksi tidak valid karena penemuan otomatis diaktifkan dan peran yang didelegasikan tidak bisa mendapatkan semua akun AWS dalam organisasi.

Masalah ini menunjukkan bahwa kebijakan untuk mengizinkan tindakan organizations:ListAccounts pada peran yang didelegasikan tidak ada pada resource tertentu. Untuk mengatasi masalah ini, pastikan resource mana yang tidak ada. Untuk memverifikasi setelan kebijakan yang didelegasikan, lihat Membuat kebijakan IAM AWS untuk peran yang didelegasikan.

AWS_INVALID_COLLECTOR_ACCOUNTS

Koneksi tidak valid karena ada akun Kolektor yang tidak valid. Pesan error ini menyertakan informasi selengkapnya tentang kemungkinan penyebabnya, yang meliputi hal berikut:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

Akun kolektor tidak valid karena peran yang didelegasikan tidak dapat memegang peran kolektor di akun kolektor.

Untuk mengatasi masalah ini, pertimbangkan hal berikut:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

Koneksi tidak valid karena kebijakan kolektor tidak memiliki beberapa setelan izin yang diperlukan.

Untuk mengatasi masalah ini, pertimbangkan penyebab berikut:

Langkah selanjutnya