Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie die Sicherheitslückenbewertung für Amazon Web Services (AWS) einrichten und verwenden. Service.

Zum Aktivieren der Sicherheitslückenbewertung für AWS müssen Sie eine AWS-IAM-Rolle erstellen auf die AWS-Plattform, aktivieren Sie die Sicherheitslückenbewertung für den AWS-Dienst in Security Command Center und stellen Sie dann eine CloudFormation-Vorlage in AWS bereit.

Hinweis

Um die Sicherheitslückenbewertung für den AWS-Dienst zu aktivieren, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

So schließen Sie die Einrichtung der Sicherheitslückenbewertung für den AWS-Dienst ab: müssen Sie Rollen mit den erforderlichen Berechtigungen in beiden Google Cloud und AWS.

Google Cloud-Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.
  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.
  8. AWS-Rollen

    In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie Scans müssen aktiviert werden.

    So erstellen Sie eine Rolle für die Sicherheitslückenbewertung in AWS:

    1. Rufen Sie mit einem administrativen AWS-Nutzerkonto die IAM-Seite Rollen in der AWS Management Console.
    2. Wählen Sie im Menü Service or Use Case die Option „lambda“ aus.
    3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:

      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:

      1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS.
      2. Fügen Sie die Richtlinie im JSON Editor ein.
      3. Geben Sie einen Namen für die Richtlinie an.
      4. Speichern Sie die Richtlinie.
    5. Öffnen Sie den Tab Vertrauensstellungen.

    6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Statement-Array hinzu:

      {
        "Version": "2012-10-17",
        "Statement": [
           {
                 "Sid": "Statement1 or replace with a unique statementId",
                 "Effect": "Allow",
                 "Principal": {
                    "Service": "cloudformation.amazonaws.com"
                 },
                 "Action": "sts:AssumeRole"
           }
        ]
      }
      
    7. Speichern Sie die Rolle.

    Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

    Informationen zu den zu scannenden AWS-Ressourcen erfassen

    Während der Schritte zum Aktivieren der Sicherheitslückenbewertung für AWS können Sie die Konfiguration anpassen, um bestimmte AWS-Regionen, bestimmte Tags, die AWS-Ressourcen identifizieren, und bestimmte Festplattenvolumes (SC1 und ST1) zu scannen.

    Es ist hilfreich, diese Informationen zur Verfügung zu haben, bevor Sie die Sicherheitslückenbewertung für AWS konfigurieren.

    Verbindung von Security Command Center mit AWS bestätigen

    Die Sicherheitslückenbewertung für AWS benötigt Zugriff auf das Inventar der AWS-Ressourcen, die von Cloud Asset Inventory verwaltet werden, wenn Security Command Center ist zur Erkennung von Sicherheitslücken mit AWS verbunden.

    Wenn noch keine Verbindung hergestellt wurde, müssen Sie eine einrichten. wenn Sie die Sicherheitslückenbewertung für AWS aktivieren.

    Informationen zum Einrichten einer Verbindung finden Sie unter Verbindung mit AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen.

    Sicherheitslückenbewertung für AWS in Security Command Center aktivieren

    Die Sicherheitslückenbewertung für AWS muss in Google Cloud auf Organisationsebene aktiviert sein.

    1. Rufen Sie im Security Command Center die Seite Einstellungen auf:

      Einstellungen aufrufen

    2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren möchten. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

    3. Klicken Sie auf der Karte „Sicherheitsrisikobewertung“ des Dienstes auf Einstellungen verwalten. Die Seite Vulnerability Assessment (Sicherheitslückenbewertung) wird geöffnet.

    4. Wählen Sie den Tab Amazon Web Services aus.

    5. Wählen Sie im Feld Status unter Dienstaktivierung die Option Aktivieren aus.

    6. Prüfen Sie unter AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet. Wenn der Status Kein AWS-Connector hinzugefügt angezeigt wird, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Zur Erkennung von Sicherheitslücken und Risikobewertungen mit AWS verbinden aus, bevor Sie mit dem nächsten Schritt fortfahren.

    7. Konfigurieren Sie die Scaneinstellungen für AWS-Computing und -Speicher. Wenn Sie die Standardkonfiguration ändern möchten, klicken Sie auf Scaneinstellungen bearbeiten. Informationen zu den einzelnen Optionen finden Sie unter Scaneinstellungen für AWS-Computing und ‑Speicher anpassen.

    8. Klicken Sie unter Scan settings (Scaneinstellungen) auf Download CloudFormation template (CloudFormation-Vorlage herunterladen). Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen bereitstellen die Vorlage in jedem AWS-Konto, das Sie auf Sicherheitslücken scannen müssen.

    Scaneinstellungen für AWS-Computing und -Speicher anpassen

    In diesem Abschnitt werden Optionen zum Anpassen des Scans von AWS-Ressourcen beschrieben. Diese benutzerdefinierten Optionen finden Sie im Bereich Scaneinstellungen für AWS-Computing und ‑Speicher, wenn Sie einen Scan für die Sicherheitslückenbewertung für AWS bearbeiten.

    Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen auf die AWS CloudFormation-Vorlage auswirken. Sie müssen die Vorlage nicht noch einmal bereitstellen. Wenn ein Tag- oder Instanz-ID-Wert nicht korrekt ist (z. B. wenn der Wert falsch geschrieben ist), und die Ressource nicht vorhanden ist, wird der Wert beim Scan ignoriert.
    Option Beschreibung
    Scanintervall Definieren Sie die Anzahl der Stunden zwischen den einzelnen Scans. Geben Sie einen Wert zwischen 6 und 24 ein. Der Standardwert ist 6. Der Höchstwert ist 24. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungskosten führen.
    AWS-Regionen Wählen Sie eine Teilmenge der Regionen aus, die in die Sicherheitslückenbewertung einbezogen werden sollen. Nur Instanzen
    aus den ausgewählten Regionen werden gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan eingeschlossen werden sollen.
    Wenn Sie bestimmte Regionen im Amazon Web Services-Connector (AWS) konfiguriert haben, müssen die hier ausgewählten Regionen mit denjenigen übereinstimmen, die Sie bei der Konfiguration der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.
    AWS-Tags Geben Sie Tags an, mit denen die Teilmenge der gescannten Instanzen identifiziert wird. Nur Instanzen mit diesen Tags werden gescannt. Geben Sie für jedes Tag das Schlüssel/Wert-Paar ein. Ungültige Tags werden ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen mit Tags versehen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen
    Nach Instanz-ID ausschließen Schließen Sie EC2-Instanzen von jedem Scan aus, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Ungültige Werte werden ignoriert. Definieren Sie mehrere Instanz-IDs, werden diese mit dem Operator AND kombiniert.
    • Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein, indem Sie auf Fügen Sie eine AWS EC2-Instanz hinzu und geben Sie dann den Wert ein.
    • Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, gehen Sie so vor:
      • Geben Sie ein Array von Instanz-IDs ein. Beispiel:
        [ "instance-id-1", "instance-id-2" ]
      • Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs, zum Beispiel:
        [ "instance-id-1", "instance-id-2" ]
    SC1-Instanz scannen Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen.
    Weitere Informationen zu SC1-Instanzen.
    ST1-Instanz scannen Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzuschließen. ST1-Instanzen sind standardmäßig ausgeschlossen.
    Weitere Informationen zu ST1-Instanzen.

    AWS CloudFormation-Vorlage bereitstellen

    1. Rufen Sie in der AWS-Managementkonsole die Seite AWS CloudFormation-Vorlage auf.
    2. Klicken Sie auf Stacks > Mit neuen Ressourcen (Standard).
    3. Wählen Sie auf der Seite Stack erstellen die Optionen Vorhandene Vorlage auswählen und Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
    4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stacknamen ein. Nicht ändern alle anderen Parameter in der Vorlage.
    5. Wählen Sie Stackdetails angeben aus. Die Seite Stackoptionen konfigurieren wird geöffnet.
    6. Wählen Sie unter Berechtigungen die IAM Vulnerability Assessment Role aus, die Sie zuvor erstellt haben.
    7. Klicken Sie auf Weiter.
    8. Klicken Sie das Kästchen zur Bestätigung an.
    9. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Der Stack dauert ein paar Minuten um mit dem Laufen zu beginnen.

    Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Hilfeartikel Fehlerbehebung.

    Wenn nach dem Start der Scans Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und im Security Command Center angezeigt. Ergebnisse in der Google Cloud Console.

    Ergebnisse in der Console prüfen

    Sie können die Ergebnisse der Sicherheitsrisikobewertung für AWS in der Google Cloud Console aufrufen. Die Mindestanforderung für die Rolle für den Zugriff auf Ergebnisse ist Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

    So prüfen Sie die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console: Schritte:

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen

    2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
    3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option EC2-Sicherheitsrisikobewertung aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
    4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
    5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
    6. Optional: Um die vollständige JSON-Definition des Ergebnisses anzusehen, klicken Sie auf den Tab JSON.

    Security Operations Console

    1. Rufen Sie in der Security Operations-Konsole die Seite Ergebnisse auf.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
      

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
    3. Wählen Sie EC2-Sicherheitslückenbewertung aus. Die Ergebnisse der Ergebnisabfrage werden so aktualisiert, dass nur die Ergebnisse aus dieser Quelle.
    4. Klicken Sie unter Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Die Der Detailbereich für das Ergebnis wird geöffnet und zeigt den Tab Zusammenfassung an.
    5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
    6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

    Fehlerbehebung

    Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

    • Prüfen Sie, ob der AWS-Connector ordnungsgemäß eingerichtet ist.
    • Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Das Status im AWS-Konto sollte CREATION_COMPLETE sein.