Habilitar y usar la evaluación de vulnerabilidades para AWS

Enterprise

En esta página se describe cómo configurar y usar el servicio Vulnerability Assessment for Amazon Web Services (AWS).

Para habilitar la evaluación de vulnerabilidades en AWS, debe crear un rol de gestión de identidades y accesos (IAM) de AWS en la plataforma de AWS, habilitar el servicio de evaluación de vulnerabilidades en AWS en Security Command Center y, a continuación, implementar una plantilla de CloudFormation en AWS.

Antes de empezar

Para habilitar el servicio Evaluación de vulnerabilidades para AWS, necesitas determinados permisos de gestión de identidades y accesos, y Security Command Center debe estar conectado a AWS.

Roles y permisos

Para completar la configuración del servicio Vulnerability Assessment for AWS, debes tener roles con los permisos necesarios tanto enGoogle Cloud como en AWS.

Google Cloud roles

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Conceder acceso.

  4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.

  5. En la lista Selecciona un rol, elige un rol.
  6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
  7. Haz clic en Guardar.

    8. Roles de AWS

    En AWS, un usuario administrativo de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis.

    Para crear un rol para Vulnerability Assessment en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrativo de AWS, ve a la página Roles de IAM en la consola de administración de AWS.
    2. En el menú Service or Use Case (Servicio o caso práctico), selecciona lambda.
    3. Añade las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Haz clic en Añadir permiso > Crear política insertada para crear una política de permisos:
      1. Abre la página siguiente y copia la política: Política de rol para la evaluación de vulnerabilidades de AWS y la detección de amenazas de máquinas virtuales.
      2. En el editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.
    5. Abre la pestaña Relaciones de confianza.

    6. Pega el siguiente objeto JSON y añádelo a cualquier matriz de instrucciones que ya tengas:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Guarda el rol.

    Asignarás este rol más adelante, cuando instales la plantilla de CloudFormation en AWS.

    Recopilar información sobre los recursos de AWS que se van a analizar

    Durante los pasos para habilitar la evaluación de vulnerabilidades en AWS, puedes personalizar la configuración para analizar regiones de AWS específicas, etiquetas específicas que identifiquen recursos de AWS y volúmenes de unidad de disco duro (HDD) específicos (tanto SC1 como ST1).

    Es útil tener esta información disponible antes de configurar la evaluación de vulnerabilidades para AWS.

    Confirmar que Security Command Center está conectado a AWS

    El servicio Evaluación de vulnerabilidades para AWS requiere acceso al inventario de recursos de AWS que mantiene Inventario de Recursos de Cloud cuando Security Command Center está conectado a AWS.

    Si aún no se ha establecido una conexión, deberás configurarla cuando habilites el servicio Vulnerability Assessment for AWS.

    Para configurar una conexión, consulta Conectarse a AWS para recopilar datos de configuración y de recursos.

    Habilitar la evaluación de vulnerabilidades para AWS en Security Command Center

    La evaluación de vulnerabilidades de AWS debe habilitarse en Google Cloud a nivel de organización.

    1. Ve a la página Resumen de riesgos de Security Command Center:

      Ir a Resumen de riesgos

    2. Selecciona la organización en la que quieras habilitar la evaluación de vulnerabilidades para AWS.

    3. Haz clic en Settings (Configuración).

    4. En la tarjeta Evaluación de vulnerabilidades, haga clic en Gestionar configuración. Se abrirá la página Evaluación de vulnerabilidades.

    5. Seleccione la pestaña Amazon Web Services.

    6. En la sección Habilitación de servicios, cambia el campo Estado a Habilitar.

    7. En la sección Conector de AWS, comprueba que el estado sea Conector de AWS añadido. Si el estado es No se ha añadido ningún conector de AWS, haz clic en Añadir conector de AWS. Sigue los pasos que se indican en Conectarse a AWS para configurar y recoger datos de recursos antes de pasar al siguiente paso.

    8. Configura los ajustes de análisis de computación y almacenamiento de AWS. Para cambiar la configuración predeterminada, haz clic en Editar ajustes de escaneo. Para obtener información sobre cada opción, consulta Personalizar la configuración de análisis para los servicios de computación y almacenamiento de AWS.

    9. Si ya has habilitado la detección de amenazas en VMs para AWS y has desplegado la plantilla de CloudFormation como parte de esa función, sáltate este paso. En la sección Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descarga una plantilla JSON en tu estación de trabajo. Debe implementar la plantilla en cada cuenta de AWS que necesite analizar para detectar vulnerabilidades.

    Personalizar la configuración de análisis para la computación y el almacenamiento de AWS

    En esta sección se describen las opciones disponibles para personalizar el análisis de los recursos de AWS. Estas opciones personalizadas se encuentran en la sección Ajustes de análisis para computación y almacenamiento de AWS al editar un análisis de evaluación de vulnerabilidades de AWS.

    Puedes definir un máximo de 50 etiquetas de AWS e IDs de instancias de Amazon EC2. Los cambios en la configuración de análisis no afectan a la plantilla de AWS CloudFormation. No es necesario que vuelvas a implementar la plantilla. Si el valor de un ID de etiqueta o de instancia no es correcto (por ejemplo, si está mal escrito) y el recurso especificado no existe, el valor se ignora durante el análisis.
    Opción Descripción
    Intervalo de análisis Introduce el número de horas que quieres que transcurran entre cada análisis. Los valores válidos están comprendidos entre 6 y 24. El valor predeterminado es 6. Si se realizan análisis con más frecuencia, puede aumentar el uso de recursos y, posiblemente, los cargos de facturación.
    Regiones de AWS

    Elige un subconjunto de regiones que quieras incluir en el análisis de evaluación de vulnerabilidades.

    Solo se analizan las instancias de las regiones seleccionadas. Seleccione una o varias regiones de AWS que quiera incluir en el análisis.

    Si has configurado regiones específicas en el conector de Amazon Web Services (AWS), asegúrate de que las regiones seleccionadas aquí sean las mismas que las definidas al configurar la conexión con AWS o un subconjunto de ellas.

    Etiquetas de AWS Especifica etiquetas que identifiquen el subconjunto de instancias que se van a analizar. Solo se analizan las instancias con estas etiquetas. Introduce el par clave-valor de cada etiqueta. Si se especifica una etiqueta no válida, se ignorará. Puedes especificar un máximo de 50 etiquetas. Para obtener más información sobre las etiquetas, consulta los artículos Etiquetar recursos de Amazon EC2 y Añadir y quitar etiquetas de recursos de Amazon EC2.
    Excluir por ID de instancia

    Excluya las instancias de EC2 de cada análisis especificando el ID de instancia de EC2. Puedes especificar un máximo de 50 IDs de instancia. Si se especifican valores no válidos, se ignorarán. Si defines varios IDs de instancia, se combinarán mediante el operador AND.

    • Si selecciona Excluir instancia por ID, introduzca manualmente el ID de cada instancia haciendo clic en Añadir instancia de AWS EC2 y, a continuación, escribiendo el valor.

    • Si seleccionas Copiar y pegar una lista de IDs de instancia para excluir en formato JSON, haz una de las siguientes acciones:

      • Introduce una matriz de IDs de instancia. Por ejemplo:

        [ "instance-id-1", "instance-id-2" ]

      • Suba un archivo con la lista de IDs de instancia. El contenido del archivo debe ser una matriz de IDs de instancia, por ejemplo: 

        [ "instance-id-1", "instance-id-2" ]
    Analizar instancia de SC1 Selecciona Escanear instancia de SC1 para incluir estas instancias. Las instancias SC1 se excluyen de forma predeterminada. Más información sobre las instancias SC1
    Analizar la instancia de ST1 Selecciona Escanear instancia ST1 para incluir estas instancias. Las instancias ST1 se excluyen de forma predeterminada. Más información sobre las instancias ST1
    Analizar Elastic Container Registry (ECR) Selecciona Analizar instancia de Elastic Container Registry para analizar las imágenes de contenedor almacenadas en ECR y sus paquetes instalados. Consulta más información sobre Elastic Container Registry.

    Desplegar la plantilla de AWS CloudFormation

    Sigue estos pasos al menos seis horas después de crear un conector de AWS.

    Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta el artículo Crear una pila desde la consola de CloudFormation de la documentación de AWS.

    1. Ve a la página Plantilla de AWS CloudFormation de la consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Crear pila, selecciona Elegir una plantilla y Subir un archivo de plantilla para subir la plantilla de CloudFormation.
    4. Cuando se haya completado la subida, introduce un nombre único para el stack. No modifiques ningún otro parámetro de la plantilla.
    5. Selecciona Especificar detalles de la pila. Se abrirá la página Configurar opciones de pila.
    6. En Permissions (Permisos), selecciona el rol de AWS que creaste anteriormente.
    7. Si se le solicita, marque la casilla de confirmación.
    8. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en empezar a ejecutarse.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se puede implementar, consulta la sección Solución de problemas.

    Una vez que se hayan iniciado los análisis, si se detecta alguna vulnerabilidad, se generarán los resultados correspondientes, que se mostrarán en la página Resultados de Security Command Center en la consolaGoogle Cloud .

    Revisar los resultados en la consola

    Puede ver los resultados de la evaluación de vulnerabilidades de AWS en la Google Cloud consola. La función de gestión de identidades y accesos mínima necesaria para ver los resultados es Lector de resultados de Security Center (roles/securitycenter.findingsViewer).

    Para revisar los resultados de Vulnerability Assessment for AWS en la Google Cloud consola, sigue estos pasos:

    1. En la Google Cloud consola, ve a la página Resultados de Security Command Center.

      Ir a Resultados

    2. Selecciona tu Google Cloud proyecto u organización.
    3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Evaluación de vulnerabilidades de EC2. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
    4. Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
    5. En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
    6. Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.

    Solución de problemas

    Si has habilitado el servicio de evaluación de vulnerabilidades, pero no se están ejecutando análisis, comprueba lo siguiente:

    • Comprueba que el conector de AWS esté configurado correctamente.
    • Confirme que la pila de la plantilla de CloudFormation se ha implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.