En esta página, se describe cómo configurar y usar el servicio de evaluación de vulnerabilidades para Amazon Web Services (AWS).
Antes de comenzar
Para habilitar la Evaluación de vulnerabilidades para el servicio de AWS, necesitas ciertos permisos de IAM y Security Command Center debe estar conectado a AWS.
Funciones y permisos
Para completar la configuración de la Evaluación de vulnerabilidades para el servicio de AWS, debes que se te otorguen funciones con los permisos necesarios en Google Cloud y AWS.
Roles de Google Cloud
Asegúrate de tener los siguientes roles en la organización:
Security Center
Admin Editor (roles/securitycenter.adminEditor)
Verifica los roles
-
En la consola de Google Cloud, ve a la página IAM.
Ir a IAM - Selecciona la organización.
-
En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.
Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.
- En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.
Otorga los roles
-
En la consola de Google Cloud, ve a la página IAM.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
- En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
Funciones de AWS
En AWS, un usuario administrador de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis.
Para crear un rol de evaluación de vulnerabilidades en AWS, sigue estos pasos:
- Con una cuenta de usuario administrativo de AWS, ve a la página Funciones de IAM en la consola de administración de AWS.
- Selecciona
lambdaen el menúService or Use Case. Agrega las siguientes políticas de permisos:
AmazonSSMManagedInstanceCoreAWSLambdaBasicExecutionRoleAWSLambdaVPCAccessExecutionRole
Haz clic en Add Permission > Crear política intercalada para crear una nueva política de permisos:
- Abre la siguiente página y copia la política: Política de función para la evaluación de vulnerabilidades para AWS.
- En el Editor de JSON, pega la política.
- Especifica un nombre para la política.
- Guarda la política.
Abre la pestaña Trust Relationships.
Pega el siguiente objeto JSON y agrégalo a cualquier array de declaraciones existente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Guarda el rol.
Deberás asignar este rol más adelante cuando instales la plantilla CloudFormation en AWS.
Confirma que Security Command Center esté conectado a AWS
La evaluación de vulnerabilidades para el servicio de AWS requiere acceso al inventario de recursos de AWS que Cloud Asset Inventory mantiene cuando Security Command Center está conectado a AWS para la detección de vulnerabilidades.
Si aún no se estableció una conexión, debes configurarla cuando habilites la evaluación de vulnerabilidades para el servicio de AWS.
Si quieres configurar una conexión, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Habilitar la evaluación de vulnerabilidades para AWS
Para habilitar la Evaluación de vulnerabilidades para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar la Evaluación de vulnerabilidades para el servicio de AWS en Security Command Center y, luego, implementar una plantilla CloudFormation en AWS.
Habilita la evaluación de vulnerabilidades para AWS en Security Command Center
La evaluación de vulnerabilidades para AWS debe estar habilitada en Google Cloud a nivel de la organización.
Ve a la página Configuración en Security Command Center:
Selecciona la organización en la que necesitas habilitar la Evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.
En la tarjeta de servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración. Se abrirá la página Evaluación de vulnerabilidades.
Selecciona la pestaña AWS.
En el campo Estado en Habilitación de servicios, selecciona Habilitar.
En Conector de AWS, verifica el Estado de conexión.
- Si el estado de la conexión es Configured, continúa con el paso siguiente.
- Si el estado de la conexión es Sin configurar, antes de continuar con el siguiente paso, haz clic en Agregar conector de AWS para configurar el conector. Si deseas obtener instrucciones, consulta Conéctate a AWS para la detección de vulnerabilidades y la evaluación de riesgos.
En Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar para detectar vulnerabilidades.
Implementa la plantilla de AWS CloudFormation
- Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.
- Haz clic en Pilas > Con recursos nuevos (estándar).
- En la página Crear pila, selecciona Elegir una plantilla existente y Subir un archivo de plantilla para subir la plantilla CloudFormation.
- Cuando se complete la carga, ingresa un nombre de pila único. No modifiques ningún otro parámetro de la plantilla.
- Selecciona Especificar los detalles de la pila. Se abrirá la página Configure stack options.
- En Permisos, selecciona el
IAM Vulnerability Assessment Roleque creaste antes. - Haz clic en Siguiente.
- Marca la casilla de confirmación.
- Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en comenzar a ejecutarse.
El estado de la implementación se muestra en la consola de AWS. Si no se puede implementar la plantilla de CloudFormation, consulta la sección de solución de problemas.
Después de que los análisis comienzan a ejecutarse, si se detectan vulnerabilidades, los resultados correspondientes se generan y se muestran en la página Hallazgos de Security Command Center en la consola de Google Cloud.
Revisa los resultados en la consola de Google Cloud
Puedes ver la Evaluación de vulnerabilidades para los hallazgos de AWS en la consola de Google Cloud.
El rol mínimo de IAM que se requiere para ver los resultados es Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).
Para revisar la Evaluación de vulnerabilidades para los hallazgos de AWS en la consola de Google Cloud, sigue estos pasos:
Ve a la página Hallazgos de Security Command Center:
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de origen, selecciona Evaluación de vulnerabilidades de EC2.
El panel Resultados de la búsqueda se actualiza para mostrar solo la Evaluación de vulnerabilidades para los resultados de AWS.
Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en Categoría. El panel de detalles se expande para mostrar un resumen de los detalles de los resultados.
Inhabilitar la evaluación de vulnerabilidades para AWS
Para inhabilitar la evaluación de vulnerabilidades para el servicio de AWS, debes hacerlo en Security Command Center y, luego, borrar la pila que contiene la plantilla de CloudFormation en AWS. Si no se borra la pila, se seguirán generando costos en AWS.
Completa los siguientes pasos para inhabilitar la Evaluación de vulnerabilidades para AWS:
Ve a la página Configuración en Security Command Center:
Selecciona la organización en la que necesitas habilitar la Evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.
En la tarjeta de servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración.
En el campo Estado en Habilitación de servicios, selecciona Inhabilitar.
Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.
Borra la pila que contiene la plantilla CloudFormation de la Evaluación de vulnerabilidades para AWS.
Si no se borra, es posible que se generen costos innecesarios.
Soluciona problemas
Si habilitaste la Evaluación de vulnerabilidades para el servicio de AWS, pero los análisis no se están ejecutando, verifica lo siguiente:
- Verifica que el conector de AWS esté configurado de forma correcta.
- Confirma que la pila de plantillas de CloudFormation se haya implementado por completo. Su estado en la cuenta de AWS debe ser
CREATION_COMPLETE.