Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS

Halaman ini menjelaskan cara menyiapkan dan menggunakan layanan Penilaian Kerentanan untuk Amazon Web Services (AWS).

Untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda perlu membuat peran AWS IAM di platform AWS, mengaktifkan layanan Penilaian Kerentanan untuk AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.

Sebelum memulai

Untuk mengaktifkan layanan Penilaian Kerentanan untuk AWS, Anda memerlukan izin IAM tertentu dan Security Command Center harus terhubung ke AWS.

Peran dan izin

Untuk menyelesaikan penyiapan layanan Penilaian Kerentanan untuk AWS, Anda harus diberi peran dengan izin yang diperlukan di Google Cloud dan AWS.

Peran Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Peran AWS

    Di AWS, pengguna administratif AWS harus membuat akun AWS yang Anda perlukan untuk mengaktifkan pemindaian.

    Untuk membuat peran Penilaian Kerentanan di AWS, ikuti langkah-langkah berikut:

    1. Dengan menggunakan akun pengguna administratif AWS, buka halaman Peran IAM di AWS Management Console.
    2. Pilih lambda dari menu Service or Use Case.
    3. Tambahkan kebijakan izin berikut:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klik Tambahkan Izin > Buat kebijakan Inline untuk membuat kebijakan izin baru:
      1. Buka halaman berikut dan salin kebijakan: Kebijakan peran untuk Penilaian Kerentanan untuk AWS.
      2. Di JSON Editor, tempelkan kebijakan.
      3. Tentukan nama untuk kebijakan.
      4. Simpan kebijakan.
    5. Buka tab Hubungan Kepercayaan.

    6. Tempelkan objek JSON berikut, tambahkan ke array pernyataan yang ada:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Simpan peran.

    Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.

    Mengumpulkan informasi tentang resource AWS yang akan dipindai

    Selama langkah-langkah untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda dapat menyesuaikan konfigurasi untuk memindai region AWS tertentu, tag tertentu yang mengidentifikasi resource AWS, dan volume Hard disk drive (HDD) tertentu (SC1 dan ST1).

    Sebaiknya informasi ini tersedia sebelum mengonfigurasi Penilaian Kerentanan untuk AWS.

    Memastikan Security Command Center terhubung ke AWS

    Layanan Penilaian Kerentanan untuk AWS memerlukan akses ke inventaris resource AWS yang dikelola Cloud Asset Inventory saat Security Command Center terhubung ke AWS untuk deteksi kerentanan.

    Jika koneksi belum dibuat, Anda harus menyiapkannya saat mengaktifkan layanan Penilaian Kerentanan untuk AWS.

    Untuk menyiapkan koneksi, lihat Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.

    Mengaktifkan Penilaian Kerentanan untuk AWS di Security Command Center

    Penilaian Kerentanan untuk AWS harus diaktifkan di Google Cloud di tingkat organisasi.

    1. Buka halaman Ringkasan risiko di Security Command Center:

      Buka Ringkasan risiko

    2. Pilih organisasi tempat Anda ingin mengaktifkan Penilaian Kerentanan untuk AWS.

    3. Klik Setelan.

    4. Di kartu Penilaian Kerentanan, klik Kelola Setelan. Halaman Vulnerability Assessment akan terbuka.

    5. Pilih tab Amazon Web Services.

    6. Di bagian Aktifasi layanan, ubah kolom Status menjadi Aktifkan.

    7. Di bagian AWS connector, pastikan statusnya menampilkan AWS Connector added. Jika status menampilkan Tidak ada konektor AWS yang ditambahkan, klik Tambahkan konektor AWS. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko sebelum Anda melanjutkan ke langkah berikutnya.

    8. Konfigurasikan Setelan pemindaian untuk komputasi dan penyimpanan AWS. Untuk mengubah konfigurasi default, klik Edit setelan pemindaian. Untuk mengetahui informasi tentang setiap opsi, lihat Menyesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS.

    9. Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy template di setiap akun AWS yang perlu Anda pindai untuk menemukan kerentanan.

    Menyesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS

    Bagian ini menjelaskan opsi yang tersedia untuk menyesuaikan pemindaian resource AWS. Opsi kustom ini berada di bagian Setelan pemindaian untuk komputasi dan penyimpanan AWS saat mengedit pemindaian Penilaian Kerentanan untuk AWS.

    Anda dapat menentukan maksimum 50 tag AWS dan ID instance Amazon EC2. Perubahan pada setelan pemindaian tidak akan memengaruhi template AWS CloudFormation. Anda tidak perlu men-deploy ulang template. Jika nilai tag atau ID instance salah (misalnya, nilai salah eja) dan resource yang ditentukan tidak ada, nilai tersebut akan diabaikan selama pemindaian.
    Opsi Deskripsi
    Interval pemindaian Masukkan jumlah jam di antara setiap pemindaian. Nilai yang valid berkisar dari 6 hingga 24. Nilai defaultnya adalah 6. Pemindaian yang lebih sering dapat menyebabkan peningkatan penggunaan resource dan kemungkinan peningkatan tagihan penagihan.
    Region AWS

    Pilih sebagian wilayah yang akan disertakan dalam pemindaian penilaian kerentanan.

    Hanya instance dari wilayah yang dipilih yang akan dipindai. Pilih satu atau beberapa region AWS yang akan disertakan dalam pemindaian.

    Jika Anda mengonfigurasi region tertentu di konektor Amazon Web Services (AWS), pastikan region yang dipilih di sini sama, atau merupakan subset dari, region yang ditentukan saat Anda mengonfigurasi koneksi ke AWS.

    Tag AWS Tentukan tag yang mengidentifikasi subset instance yang dipindai. Hanya instance dengan tag ini yang akan dipindai. Masukkan pasangan nilai kunci untuk setiap tag. Jika tag yang tidak valid ditentukan, tag tersebut akan diabaikan. Anda dapat menentukan maksimum 50 tag. Untuk mengetahui informasi selengkapnya tentang tag, lihat Memberi tag pada resource Amazon EC2 dan Menambahkan dan menghapus tag untuk resource Amazon EC2.
    Kecualikan menurut Instance ID

    Kecualikan instance EC2 dari setiap pemindaian dengan menentukan ID instance EC2. Anda dapat menentukan maksimum 50 ID instance. Jika nilai yang tidak valid ditentukan, nilai tersebut akan diabaikan. Jika Anda menentukan beberapa ID instance, ID tersebut akan digabungkan menggunakan operator AND.

    • Jika Anda memilih Kecualikan instance menurut ID, masukkan setiap ID instance secara manual dengan mengklik Tambahkan instance AWS EC2, lalu mengetik nilainya.

    • Jika Anda memilih Salin dan tempel daftar ID instance yang akan dikecualikan dalam format JSON, lakukan salah satu tindakan berikut:

      • Masukkan array ID instance. Contoh:

        [ "instance-id-1", "instance-id-2" ]

      • Upload file yang berisi daftar ID instance. Konten file harus berupa array ID instance, misalnya: 

        [ "instance-id-1", "instance-id-2" ]
    Memindai instance SC1 Pilih Pindai instance SC1 untuk menyertakan instance ini. Instance SC1 dikecualikan secara default. Pelajari instance SC1 lebih lanjut.
    Memindai instance ST1 Pilih Pindai instance ST1 untuk menyertakan instance ini. Instance ST1 dikecualikan secara default. Pelajari instance ST1 lebih lanjut.

    Men-deploy template AWS CloudFormation

    1. Buka halaman AWS CloudFormation Template di AWS Management Console.
    2. Klik Stack > Dengan resource baru (standar).
    3. Di halaman Create stack, pilih Choose an existing template dan Upload a template file untuk mengupload template CloudFormation.
    4. Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
    5. Pilih Tentukan detail stack. Halaman Configure stack options akan terbuka.
    6. Di bagian Izin, pilih IAM Vulnerability Assessment Role yang Anda buat sebelumnya.
    7. Klik Berikutnya.
    8. Centang kotak untuk konfirmasi.
    9. Klik Kirim untuk men-deploy template. Stack memerlukan waktu beberapa menit untuk mulai berjalan.

    Status deployment ditampilkan di konsol AWS. Jika template CloudFormation gagal di-deploy, lihat Pemecahan masalah.

    Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai akan dibuat dan ditampilkan di halaman Temuan Security Command Center di Konsol Google Cloud.

    Meninjau temuan di konsol

    Anda dapat melihat temuan Penilaian Kerentanan untuk AWS di konsol Google Cloud. Peran IAM minimum yang diperlukan untuk melihat temuan adalah Security Center Findings Viewer (roles/securitycenter.findingsViewer).

    Untuk meninjau temuan Penilaian Kerentanan untuk AWS di konsol Google Cloud, ikuti langkah-langkah berikut:

    Konsol Google Cloud

    1. Di konsol Google Cloud, buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.
    3. Di bagian Quick filters, di subbagian Source display name, pilih EC2 Vulnerability Assessment. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
    4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
    5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
    6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

    Konsol Security Operations

    1. Di konsol Security Operations, buka halaman Temuan. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Ganti CUSTOMER_SUBDOMAIN dengan ID khusus pelanggan Anda.

    2. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
    3. Pilih EC2 Vulnerability Assessment. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
    4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
    5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
    6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

    Pemecahan masalah

    Jika Anda mengaktifkan layanan Penilaian Kerentanan untuk AWS, tetapi pemindaian tidak berjalan, periksa hal berikut:

    • Pastikan konektor AWS disiapkan dengan benar.
    • Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus CREATION_COMPLETE.