Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie die Sicherheitslückenbewertung für Amazon Web Services (AWS) einrichten und verwenden. .

Hinweise

Um die Sicherheitslückenbewertung für AWS zu aktivieren, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center müssen verbunden sein mit AWS.

Rollen und Berechtigungen

So schließen Sie die Einrichtung der Sicherheitslückenbewertung für den AWS-Dienst ab: benötigen Sie Rollen mit den erforderlichen Berechtigungen in beiden Google Cloud und AWS.

Google Cloud-Rollen

Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben: Security Center Admin Editor (roles/securitycenter.adminEditor)

Auf Rollen prüfen

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen
2. Wählen Sie die Organisation aus.

3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

   Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen
2. Wählen Sie die Organisation aus.
3. Klicken Sie auf person_add Zugriff erlauben.
4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf add Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
7. Klicken Sie auf Speichern.

AWS-Rollen

In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie Scans müssen aktiviert werden.

So erstellen Sie eine Rolle für die Sicherheitslückenbewertung in AWS:

1. Rufen Sie mit einem administrativen AWS-Nutzerkonto die IAM-Seite Rollen in der AWS Management Console.
2. Wählen Sie im Menü Service or Use Case die Option „lambda“ aus.

3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:

   • AmazonSSMManagedInstanceCore
   • AWSLambdaBasicExecutionRole
   • AWSLambdaVPCAccessExecutionRole

4. Klicken Sie auf Berechtigung hinzufügen > Erstellen. Inline-Richtlinie zum Erstellen einer neuen Berechtigungsrichtlinie:

   1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS
   2. Fügen Sie die Richtlinie im JSON Editor ein.
   3. Geben Sie einen Namen für die Richtlinie an.
   4. Speichern Sie die Richtlinie.

5. Öffnen Sie den Tab Vertrauensbeziehungen.

6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Anweisungsarray:

   {
     "Version": "2012-10-17",
     "Statement": [
        {
              "Sid": "Statement1 or replace with a unique statementId",
              "Effect": "Allow",
              "Principal": {
                 "Service": "cloudformation.amazonaws.com"
              },
              "Action": "sts:AssumeRole"
        }
     ]
   }
   

7. Speichern Sie die Rolle.

Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

Verbindung von Security Command Center mit AWS bestätigen

Die Sicherheitslückenbewertung für AWS benötigt Zugriff auf das Inventar der AWS-Ressourcen, die von Cloud Asset Inventory verwaltet werden, wenn Security Command Center ist zur Erkennung von Sicherheitslücken mit AWS verbunden.

Wenn noch keine Verbindung hergestellt wurde, müssen Sie eine einrichten. wenn Sie die Sicherheitslückenbewertung für AWS aktivieren.

Informationen zum Einrichten einer Verbindung findest du unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

Sicherheitslückenbewertung für AWS aktivieren

Zum Aktivieren der Sicherheitslückenbewertung für AWS müssen Sie eine AWS-IAM-Rolle erstellen auf die AWS-Plattform, aktivieren Sie die Sicherheitslückenbewertung für den AWS-Dienst in Security Command Center und stellen Sie dann eine CloudFormation-Vorlage in AWS bereit.

Sicherheitslückenbewertung für AWS in Security Command Center aktivieren

Die Sicherheitslückenbewertung für AWS muss am folgenden Tag in Google Cloud aktiviert sein: Organisationsebene.

1. Öffnen Sie in Security Command Center die Seite Einstellungen:

   Einstellungen aufrufen

2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren müssen. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

3. Klicken Sie auf der Dienstkarte Vulnerability Assessment auf Einstellungen verwalten. Die Seite Vulnerability Assessment (Sicherheitslückenbewertung) wird geöffnet.

4. Wählen Sie den Tab AWS aus.

5. Wählen Sie im Feld Status unter Dienstaktivierung die Option Aktivieren aus.

6. Prüfen Sie unter AWS-Connector den Verbindungsstatus.

   • Wenn der Verbindungsstatus Konfiguriert ist, fahren Sie mit dem nächsten Schritt fort.
   • Wenn der Verbindungsstatus Nicht konfiguriert lautet, bevor Sie fortfahren konfigurieren Sie den Connector, indem Sie auf AWS-Connector hinzufügen Anweisungen finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen

7. Klicken Sie unter Scan settings (Scaneinstellungen) auf Download CloudFormation template (CloudFormation-Vorlage herunterladen). Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen bereitstellen die Vorlage in jedem AWS-Konto, das Sie auf Sicherheitslücken scannen müssen.

AWS CloudFormation-Vorlage bereitstellen

1. Rufen Sie die AWS CloudFormation-Vorlage auf. in der AWS Management Console.
2. Klicken Sie auf Stapel > Mit neuen Ressourcen (Standard).
3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen aus. und dann auf Vorlagendatei hochladen, um die CloudFormation-Vorlage hochzuladen.
4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stacknamen ein. Nicht ändern alle anderen Parameter in der Vorlage.
5. Wählen Sie Stackdetails angeben aus. Die Seite Stackoptionen konfigurieren wird geöffnet.
6. Wählen Sie unter Berechtigungen die Option IAM Vulnerability Assessment Role aus. die Sie zuvor erstellt haben.
7. Klicken Sie auf Weiter.
8. Klicken Sie das Kästchen zur Bestätigung an.
9. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Der Stack dauert ein paar Minuten um mit dem Laufen zu beginnen.

Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die CloudFormation-Vorlage konnte nicht bereitgestellt werden, siehe Fehlerbehebung

Wenn nach dem Start der Scans Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und im Security Command Center angezeigt. Ergebnisse in der Google Cloud Console.

Ergebnisse in der Google Cloud Console prüfen

Sie können sich die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console ansehen. Die IAM-Mindestrolle, die zum Ansehen von Ergebnissen erforderlich ist, ist Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer):

So prüfen Sie die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console: Schritte:

1. Rufen Sie in Security Command Center die Seite Ergebnisse auf:

   Zu Ergebnissen

2. Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.

   

3. Gehen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle wie folgt vor: Wählen Sie EC2 Vulnerability Assessment aus.

   Der Bereich Ergebnisse der Ergebnisabfrage wurde aktualisiert und zeigt jetzt nur noch Sicherheitslückenbewertung für AWS-Ergebnisse

4. Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und Sie sehen eine Zusammenfassung der Ergebnisdetails.

Sicherheitslückenbewertung für AWS deaktivieren

Um die Sicherheitslückenbewertung für den AWS-Dienst zu deaktivieren, müssen Sie sie in Security Command Center und löschen Sie dann den Stack, der die CloudFormation-Vorlage in AWS. Wenn der Stapel nicht gelöscht wird, weiterhin Kosten in AWS anfallen.

Führen Sie die folgenden Schritte aus, um die Sicherheitslückenbewertung für AWS zu deaktivieren:

1. Öffnen Sie in Security Command Center die Seite Einstellungen:

   Einstellungen aufrufen

2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren müssen. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

3. Klicken Sie auf der Dienstkarte Vulnerability Assessment auf Einstellungen verwalten.

4. Wählen Sie im Feld Status unter Dienstaktivierung die Option Deaktivieren aus.

5. Rufen Sie die AWS CloudFormation-Vorlage auf. in der AWS Management Console.

6. Löschen Sie den Stapel, der die CloudFormation-Vorlage für Sicherheitslückenbewertung für AWS

   Andernfalls können unnötige Kosten entstehen.

Fehlerbehebung

Wenn Sie die Sicherheitslückenbewertung für den AWS-Dienst aktiviert haben, aber keine Scans ausgeführt werden: überprüfen Sie Folgendes:

• Prüfen Sie, ob der AWS-Connector ordnungsgemäß eingerichtet ist.
• Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Das Status im AWS-Konto sollte CREATION_COMPLETE sein.