En esta página, se describe cómo configurar y usar la Evaluación de vulnerabilidades para Amazon Web Services (AWS) servicio.
Antes de comenzar
Para habilitar la Evaluación de vulnerabilidades para el servicio de AWS, necesitas ciertos Los permisos de IAM y Security Command Center deben conectarse AWS.
Funciones y permisos
Para completar la configuración del servicio de Evaluación de vulnerabilidades para AWS, sigue estos pasos: necesitas que se te otorguen roles con los permisos necesarios Google Cloud y AWS.
Roles de Google Cloud
Asegúrate de tener los siguientes roles en la organización:
Security Center
Admin Editor (roles/securitycenter.adminEditor)
Verifica los roles
-
En la consola de Google Cloud, ve a la página IAM.
Ir a IAM - Selecciona la organización.
-
En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.
Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.
- En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.
Otorga los roles
-
En la consola de Google Cloud, ve a la página IAM.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
- En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
Funciones de AWS
En AWS, un usuario administrador de AWS debe crear la cuenta de AWS que necesario para habilitar los análisis.
Para crear un rol de evaluación de vulnerabilidades en AWS, sigue estos pasos:
- Con una cuenta de usuario administrativo de AWS, ve a la Página Roles de IAM en la consola de administración de AWS.
- Selecciona
lambdaen el menúService or Use Case. Agrega las siguientes políticas de permisos:
AmazonSSMManagedInstanceCoreAWSLambdaBasicExecutionRoleAWSLambdaVPCAccessExecutionRole
Haz clic en Agregar permiso > Crear. Política intercalada para crear una nueva política de permisos:
- Abre la siguiente página y copia la política: Política de rol para la Evaluación de vulnerabilidades para AWS.
- En el Editor de JSON, pega la política.
- Especifica un nombre para la política.
- Guarda la política.
Abre la pestaña Trust Relationships.
Pega el siguiente objeto JSON y agrégalo a cualquier existente array de instrucciones:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Guarda el rol.
Deberás asignar este rol más adelante cuando instales la plantilla CloudFormation en AWS.
Confirma que Security Command Center esté conectado a AWS
La evaluación de vulnerabilidades para el servicio de AWS requiere acceso al inventario de recursos de AWS que Cloud Asset Inventory mantiene cuando Security Command Center se conecta a AWS para la detección de vulnerabilidades.
Si aún no se estableció una conexión, debes configurarla cuando habilitas la Evaluación de vulnerabilidades para el servicio de AWS.
Para configurar una conexión, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
Habilitar la evaluación de vulnerabilidades para AWS
Para habilitar la Evaluación de vulnerabilidades para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilita la Evaluación de vulnerabilidades para el servicio de AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.
Habilita la evaluación de vulnerabilidades para AWS en Security Command Center
La evaluación de vulnerabilidades para AWS debe habilitarse en Google Cloud en la a nivel de la organización.
Ve a la página Configuración en Security Command Center:
Selecciona la organización en la que necesitas habilitar la Evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.
En la tarjeta de servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración. Se abrirá la página Evaluación de vulnerabilidades.
Selecciona la pestaña AWS.
En el campo Estado en Habilitación de servicios, selecciona Habilitar.
En Conector de AWS, verifica el Estado de conexión.
- Si el estado de la conexión es Configured, continúa con el paso siguiente.
- Si el estado de la conexión es No configurada, antes de continuar para ir al siguiente paso, configura el conector haciendo clic Agrega un conector de AWS. Para obtener instrucciones, consulta Conéctate a AWS para detectar vulnerabilidades y evaluar riesgos.
En Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar en busca de vulnerabilidades.
Implementa la plantilla de AWS CloudFormation
- Ve a la plantilla de AWS CloudFormation. en la Consola de administración de AWS.
- Haz clic en Pilas > Con recursos nuevos (estándar).
- En la página Crear pila, selecciona Elegir una plantilla existente. y Sube un archivo de plantilla para subir la plantilla CloudFormation.
- Cuando se complete la carga, ingresa un nombre de pila único. No modificar cualquier otro parámetro de la plantilla.
- Selecciona Especificar los detalles de la pila. Se abrirá la página Configure stack options.
- En Permisos, selecciona el
IAM Vulnerability Assessment Role. que creaste anteriormente. - Haz clic en Siguiente.
- Marca la casilla de confirmación.
- Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos. para comenzar a correr.
El estado de la implementación se muestra en la consola de AWS. Si el botón La plantilla de CloudFormation no se puede implementar, consulta Solución de problemas
Una vez que los análisis comienzan a ejecutarse, si se detecta alguna vulnerabilidad, se generan los resultados correspondientes y se muestran en Security Command Center Hallazgos en la consola de Google Cloud.
Revisa los resultados en la consola de Google Cloud
Puedes ver la Evaluación de vulnerabilidades para los hallazgos de AWS en la consola de Google Cloud.
El rol de IAM mínimo que se requiere para ver los resultados es
Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).
Si deseas revisar la Evaluación de vulnerabilidades para los hallazgos de AWS en la consola de Google Cloud, sigue estos pasos: pasos:
Ve a la página Hallazgos de Security Command Center:
Si es necesario, selecciona tu organización o proyecto de Google Cloud.
En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, Selecciona Evaluación de vulnerabilidades de EC2.
El panel Resultados de la búsqueda está actualizado para mostrar solo Evaluación de vulnerabilidades para los hallazgos de AWS.
Para ver los detalles de un resultado específico, haz clic en el nombre Category (Categoría). El panel de detalles de los resultados se expande para mostrar un resumen de los detalles del hallazgo.
Inhabilitar la evaluación de vulnerabilidades para AWS
Para inhabilitar la Evaluación de vulnerabilidades para el servicio de AWS, debes hacerlo en Security Command Center y, luego, borrar la pila que contiene Plantilla CloudFormation en AWS. Si no se borra la pila, se seguirán generando costos en AWS.
Completa los siguientes pasos para inhabilitar la Evaluación de vulnerabilidades para AWS:
Ve a la página Configuración en Security Command Center:
Selecciona la organización en la que necesitas habilitar la Evaluación de vulnerabilidades para AWS. Se abrirá la pestaña Servicios de la página Configuración.
En la tarjeta de servicio Evaluación de vulnerabilidades, haz clic en Administrar configuración.
En el campo Estado en Habilitación de servicios, selecciona Inhabilitar.
Ve a la plantilla de AWS CloudFormation. en la Consola de administración de AWS.
Borra la pila que contiene la plantilla de CloudFormation para Evaluación de vulnerabilidades para AWS.
Si no se borra, es posible que se generen costos innecesarios.
Soluciona problemas
Si habilitaste la Evaluación de vulnerabilidades para el servicio de AWS, pero los análisis no se están ejecutando, comprueba lo siguiente:
- Verifica que el conector de AWS esté configurado de forma correcta.
- Confirma que la pila de plantillas de CloudFormation se haya implementado por completo. Es
el estado de la cuenta de AWS debe ser
CREATION_COMPLETE.