Attivare e utilizzare Vulnerability Assessment per AWS

Questa pagina descrive come configurare e utilizzare il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS).

Per attivare la valutazione delle vulnerabilità per AWS, devi creare un ruolo AWS IAM sulla piattaforma AWS, attivare il servizio di valutazione delle vulnerabilità per AWS in Security Command Center e poi eseguire il deployment di un modello CloudFormation su AWS.

Prima di iniziare

Per attivare il servizio Valutazione delle vulnerabilità per AWS, sono necessarie determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio di valutazione delle vulnerabilità per AWS, devi disporre dei ruoli con le autorizzazioni necessarie sia in Google Cloud sia in AWS.

Ruoli Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
  7. Fai clic su Salva.

Ruoli AWS

In AWS, un utente amministrativo AWS deve creare l'account AWS che si l'abilitazione delle scansioni.

Per creare un ruolo di valutazione delle vulnerabilità in AWS:

  1. Utilizzando un account utente amministrativo AWS, vai alla pagina Ruoli IAM nella Console di gestione AWS.
  2. Seleziona lambda dal menu Service or Use Case.

  3. Aggiungi i seguenti criteri di autorizzazione:

    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole

  4. Fai clic su Aggiungi autorizzazione > Crea criterio in linea per creare un nuovo criterio di autorizzazione:

    1. Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per AWS.
    2. In Editor JSON, incolla il criterio.
    3. Specifica un nome per il criterio.
    4. Salva il criterio.

  5. Apri la scheda Relazioni di attendibilità.

  6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi oggetto esistente array di istruzioni:

    {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

  7. Salva il ruolo.

Assegnerai questo ruolo in un secondo momento, quando installi il modello CloudFormation su AWS.

Raccogli informazioni sulle risorse AWS da sottoporre a scansione

Durante i passaggi per abilitare la Valutazione delle vulnerabilità per AWS, puoi personalizzare la configurazione per scansionare determinate regioni AWS, tag specifici che identificano le risorse AWS e volumi di unità disco rigido (HDD) specifici (sia SC1 che ST1).

È utile avere queste informazioni a disposizione prima di configurare la valutazione delle vulnerabilità per AWS.

Verifica che Security Command Center sia connesso ad AWS

Il servizio Valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS conservate da Cloud Asset Inventory quando Security Command Center è connesso ad AWS per il rilevamento delle vulnerabilità.

Se non è ancora stata stabilita una connessione, devi configurarne una quando abiliti il servizio Valutazione delle vulnerabilità per AWS.

Per configurare una connessione, consulta la pagina Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.

Abilita la valutazione delle vulnerabilità per AWS in Security Command Center

Vulnerability Assessment for AWS deve essere abilitato su Google Cloud a livello di organizzazione.

  1. Vai alla pagina Impostazioni in Security Command Center:

    Vai alle impostazioni

  2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

  3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni. Si apre la pagina Valutazione della vulnerabilità.

  4. Seleziona la scheda Amazon Web Services.

  5. Nel campo Stato in Attivazione del servizio, seleziona Abilita.

  6. In Connettore AWS, verifica che lo stato sia Connettore AWS aggiunto. Se lo stato visualizzato è Nessun connettore AWS aggiunto, fai clic su Aggiungi connettore AWS. Completa i passaggi descritti in Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione dei rischi prima di passare al passaggio successivo.

  7. Configura le impostazioni di analisi per calcolo e archiviazione AWS. Per modificare la configurazione predefinita, fai clic su Modifica impostazioni di ricerca. Per informazioni su ogni opzione, consulta Personalizzare le impostazioni di analisi per calcolo e archiviazione AWS.

  8. Nella sezione Impostazioni di scansione, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla workstation. Devi eseguire il deployment il modello in ogni account AWS di cui occorre analizzare le vulnerabilità.

Personalizza le impostazioni di scansione per computing e archiviazione AWS

Questa sezione descrive le opzioni disponibili per personalizzare la scansione delle risorse AWS. Queste opzioni personalizzate si trovano in Scan settings for AWS computing and storage (Impostazioni di scansione per computing e archiviazione AWS) durante la modifica di una Valutazione delle vulnerabilità per una scansione AWS.

Puoi definire un massimo di 50 tag AWS e ID istanza Amazon EC2. Le modifiche alle impostazioni di scansione non influiscono sul modello AWS CloudFormation. Non è necessario eseguire nuovamente il deployment del modello. Se il valore di un tag o di un ID istanza non è corretto (ad esempio, è stato scritto male) e la risorsa specificata non esiste, il valore viene ignorato durante la scansione.
Opzione Descrizione
Intervallo di analisi Definisci il numero di ore tra ogni scansione. Inserisci un valore compreso tra 6 e 24. Il valore predefinito è 6. Il valore massimo è 24. Le scansioni più frequenti potrebbero causare un aumento dell'utilizzo delle risorse e possibilmente un aumento degli addebiti di fatturazione.
Regioni AWS Scegli un sottoinsieme di regioni da includere nell'analisi della valutazione delle vulnerabilità. Vengono sottoposte a scansione solo le istanze
delle regioni selezionate. Seleziona una o più regioni AWS da includere nella ricerca.
Se hai configurato regioni specifiche nel connettore Amazon Web Services (AWS), assicurati che le regioni selezionate queste sono le stesse o un sottoinsieme di quelle definite quando configurato la connessione ad AWS.
Tag AWS Specifica i tag che identificano il sottoinsieme di istanze sottoposte a scansione. Solo le istanze con questi vengono analizzati. Inserisci la coppia chiave-valore per ogni tag. Se viene specificato un tag non valido, questo verrà ignorato. Puoi specificare un massimo di 50 tag. Per ulteriori informazioni sui tag, consulta Applicare tag alle risorse Amazon EC2 e Aggiungere e rimuovere tag per le risorse Amazon EC2.
Escludi per ID istanza Escludi le istanze EC2 da ogni scansione specificando il ID istanza EC2. Puoi specificare un massimo di 50 ID istanza. Se vengono specificati valori non validi, questi verranno ignorati. Se definisci più ID istanza, questi vengono combinati utilizzando l'operatore AND.
  • Se selezioni Escludi istanza per ID, inserisci manualmente ogni ID istanza facendo clic su Aggiungi istanza AWS EC2 e poi digitando il valore.
  • Se selezioni Copia e incolla un elenco di ID istanza da escludere in formato JSON, esegui una delle seguenti operazioni:
    • Inserisci un array di ID istanza. Ad esempio:
      [ "instance-id-1", "instance-id-2" ]
    • Carica un file con l'elenco degli ID istanza. Il contenuto del file deve essere un array di ID istanza, ad esempio:
      [ "instance-id-1", "instance-id-2" ]
Eseguire la scansione dell'istanza SC1 Seleziona Scan SC1 instance (Esegui la scansione dell'istanza SC1) per includere queste istanze. Le istanze SC1 sono escluse per impostazione predefinita.
Scopri di più sulle istanze SC1.
Esegui la scansione dell'istanza ST1 Seleziona Scan ST1 instance (Esegui la scansione dell'istanza ST1) per includerle. Le istanze ST1 sono escluse per impostazione predefinita.
Scopri di più sulle istanze ST1.

Esegui il deployment del modello AWS CloudFormation

  1. Vai al modello CloudFormation di AWS nella console di gestione AWS.
  2. Fai clic su Impilati > Con nuove risorse (standard).
  3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
  4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare qualsiasi altro parametro nel modello.
  5. Seleziona Specifica i dettagli della pila. Viene visualizzata la pagina Configura le opzioni dello stack.
  6. In Autorizzazioni, seleziona la IAM Vulnerability Assessment Role che hai creato in precedenza.
  7. Fai clic su Avanti.
  8. Seleziona la casella di conferma.
  9. Fai clic su Invia per eseguire il deployment del modello. L'esecuzione dello stack richiede alcuni minuti.

Lo stato del deployment viene visualizzato nella console AWS. Se Il deployment del modello CloudFormation non riesce, consulta Risoluzione dei problemi.

Dopo l'avvio delle scansioni, se vengono rilevate vulnerabilità, i risultati corrispondenti vengono generati e visualizzati nella pagina Risultati di Security Command Center nella console Google Cloud.

Esamina i risultati nella console

Puoi visualizzare i risultati di Valutazione delle vulnerabilità per AWS nella console Google Cloud. Il ruolo IAM minimo necessario per visualizzare i risultati è Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

Per esaminare i risultati della valutazione delle vulnerabilità per AWS nella console Google Cloud, segui questi passaggi:

Console Google Cloud

  1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

    Vai ai risultati

  2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità EC2. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo da questa fonte.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. La si apre il riquadro dei dettagli del risultato, che mostra la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

Console operativa di sicurezza

  1. Nella console Security Operations, vai alla pagina Risultati. 
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

    Sostituisci CUSTOMER_SUBDOMAIN con il tuo identificatore specifico del cliente.

  2. Nella sezione Aggregazioni, fai clic per espandere il campo Nome visualizzato dell'origine. .
  3. Seleziona Vulnerability Assessment di EC2. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
  4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento in Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
  5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni è stato rilevato, la risorsa interessata e, se disponibile, i passaggi per correggere il risultato.
  6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic su nella scheda JSON.

Risoluzione dei problemi

Se hai attivato il servizio Vulnerability Assessment for AWS, ma le analisi non sono in esecuzione, controlla quanto segue:

  • Verifica che il connettore AWS sia configurato correttamente.
  • Verifica che lo stack del modello CloudFormation sia stato disegnato completamente. È nell'account AWS deve essere CREATION_COMPLETE.