Halaman ini menjelaskan cara menyiapkan dan menggunakan layanan Penilaian Kerentanan untuk Amazon Web Services (AWS).
Untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, aktifkan Penilaian Kerentanan untuk layanan AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.
Sebelum memulai
Agar dapat mengaktifkan Layanan Penilaian Kerentanan untuk layanan AWS, Anda memerlukan Izin IAM dan Security Command Center harus terhubung di AWS.
Peran dan izin
Untuk menyelesaikan penyiapan layanan Penilaian Kerentanan untuk AWS, Anda harus diberi peran dengan izin yang diperlukan dalam kedua yakni Google Cloud dan AWS.
Peran Google Cloud
Make sure that you have the following role or roles on the organization:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
- Dengan menggunakan akun pengguna administratif AWS, buka Halaman Roles IAM di Konsol Pengelolaan AWS.
- Pilih
lambda
dari menuService or Use Case
. Tambahkan kebijakan izin berikut:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
Klik Tambahkan Izin > Buat Kebijakan inline untuk membuat kebijakan izin baru:
- Buka halaman berikut dan salin kebijakannya: Kebijakan peran untuk Penilaian Kerentanan untuk AWS.
- Di Editor JSON, tempel kebijakan.
- Tentukan nama untuk kebijakan tersebut.
- Simpan kebijakan.
Buka tab Trust Relationships.
Tempelkan objek JSON berikut, tambahkan ke array pernyataan yang ada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Simpan peran.
Buka halaman Settings di Security Command Center:
Pilih organisasi tempat Anda perlu mengaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.
Di kartu layanan Penilaian Kerentanan, klik Kelola Setelan. Halaman Penilaian Kerentanan akan terbuka.
Pilih tab Amazon Web Services.
Di kolom Status pada bagian Service enablement, pilih Enable.
Di bagian konektor AWS, pastikan statusnya menampilkan Konektor AWS ditambahkan. Jika status menampilkan Tidak ada konektor AWS yang ditambahkan, klik Tambahkan konektor AWS. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko sebelum Anda melanjutkan ke langkah berikutnya.
Konfigurasikan Setelan pemindaian untuk komputasi dan penyimpanan AWS. Untuk mengubah konfigurasi default, klik Edit setelan pemindaian. Untuk informasi tentang setiap opsi, lihat Sesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS.
Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy {i>template<i} di setiap akun AWS yang perlu Anda pindai kerentanannya.
-
Jika Anda memilih Kecualikan instance menurut ID, masukkan setiap ID instance secara manual dengan mengklik
Tambahkan instance AWS EC2, lalu ketik nilainya.
- Jika Anda memilih Salin dan tempel daftar ID instance yang akan dikecualikan dalam format JSON,
lakukan salah satu tindakan berikut:
- Masukkan array ID instance. Contoh:
[ "instance-id-1", "instance-id-2" ]
- Upload file yang berisi daftar ID instance. Isi file harus berupa array
ID instance, misalnya:
[ "instance-id-1", "instance-id-2" ]
- Masukkan array ID instance. Contoh:
- Buka AWS CloudFormation Template di AWS Management Console.
- Klik Tumpukan > Dengan resource baru (standar).
- Di halaman Buat stack, pilih Pilih template yang sudah ada dan Upload a template file untuk mengupload template CloudFormation.
- Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
- Pilih Tentukan detail stack. Halaman Konfigurasi opsi tumpukan akan terbuka.
- Di bagian Izin, pilih
IAM Vulnerability Assessment Role
yang Anda buat sebelumnya. - Klik Berikutnya.
- Centang kotak untuk mengonfirmasi.
- Klik Kirim untuk men-deploy template. Stack memerlukan waktu beberapa menit untuk mulai berjalan.
Buka halaman Temuan Security Command Center:
Jika perlu, pilih project atau organisasi Google Cloud Anda.
Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih EC2 Vulnerability Assessment.
Panel Hasil kueri temuan diperbarui untuk hanya menampilkan Penilaian Kerentanan untuk temuan AWS.
Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.
- Periksa apakah konektor AWS disiapkan dengan benar.
- Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus
CREATION_COMPLETE
.
Peran AWS
Di AWS, pengguna administratif AWS harus membuat akun AWS yang yang diperlukan untuk mengaktifkan pemindaian.
Untuk membuat peran Penilaian Kerentanan di AWS, ikuti langkah-langkah berikut:
Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.
Mengumpulkan informasi tentang resource AWS yang akan dipindai
Selama langkah-langkah untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda dapat menyesuaikan konfigurasi untuk memindai region AWS tertentu, tag spesifik yang mengidentifikasi resource AWS dan volume Hard disk drive (HDD) spesifik (baik SC1 maupun ST1).
Informasi ini akan sangat membantu sebelum mengonfigurasi Penilaian Kerentanan untuk AWS.
Pastikan Security Command Center terhubung ke AWS
Penilaian Kerentanan untuk layanan AWS memerlukan akses ke inventaris resource AWS yang dikelola Inventaris Aset Cloud saat Security Command Center terhubung ke AWS untuk deteksi kerentanan.
Jika koneksi belum dibuat, Anda diminta untuk menyiapkannya saat Anda mengaktifkan layanan Penilaian Kerentanan untuk AWS.
Untuk menyiapkan koneksi, lihat Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.
Mengaktifkan Penilaian Kerentanan untuk AWS di Security Command Center
Penilaian Kerentanan untuk AWS harus diaktifkan di Google Cloud dengan tingkat organisasi.
Sesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS
Bagian ini menjelaskan opsi yang tersedia untuk menyesuaikan pemindaian resource AWS. Opsi kustom ini ada di bagian Setelan pemindaian untuk komputasi dan penyimpanan AWS saat mengedit pemindaian Penilaian Kerentanan untuk AWS.
Anda dapat menentukan maksimum 50 tag AWS dan ID instance Amazon EC2. Perubahan pada setelan pemindaian tidak memengaruhi template AWS CloudFormation. Anda tidak perlu men-deploy ulang template. Jika nilai tag atau ID instance tidak benar (misalnya, nilai salah eja) dan resource yang ditentukan tidak ada, nilai akan diabaikan selama pemindaian.Opsi | Deskripsi |
---|---|
Interval pemindaian | Tentukan jumlah jam di antara setiap pemindaian. Masukkan nilai dari 6 hingga 24. Nilai defaultnya adalah 6. Nilai maksimumnya adalah 24. Pemindaian yang lebih sering dapat menyebabkan peningkatan penggunaan resource dan kemungkinan peningkatan dalam biaya penagihan. |
Region AWS | Pilih subset region untuk disertakan dalam pemindaian penilaian kerentanan. Hanya instance dari wilayah yang dipilih akan dipindai. Pilih satu atau beberapa Region AWS untuk disertakan dalam pemindaian. Jika Anda mengonfigurasi region tertentu di konektor Amazon Web Services (AWS), pastikan region yang dipilih sama, atau sebagian dari, yang ditentukan ketika Anda mengonfigurasi koneksi ke AWS. |
Tag AWS | Tentukan tag yang mengidentifikasi subset instance yang dipindai. Hanya instance dengan tag dipindai. Masukkan pasangan nilai kunci untuk setiap tag. Jika ditentukan, tag yang tidak valid akan diabaikan. Anda dapat menentukan maksimum 50 tag. Untuk mengetahui informasi selengkapnya tentang tag, lihat Memberi tag pada resource Amazon EC2 dan Menambahkan dan menghapus tag untuk resource Amazon EC2. |
Mengecualikan menurut ID Instance | Kecualikan instance EC2 dari setiap pemindaian dengan menentukan
ID instance EC2.
Anda dapat menentukan maksimum 50 ID instance. Jika ditentukan, nilai yang tidak valid akan diabaikan.
Jika Anda menentukan beberapa ID instance, ID tersebut akan digabungkan menggunakan operator AND .
|
Pindai instance SC1 | Pilih Pindai instance SC1 untuk menyertakan instance ini.
Instance SC1 dikecualikan secara default. Pelajari instance SC1 lebih lanjut. |
Memindai instance ST1 | Pilih Pindai instance ST1 untuk menyertakan instance ini.
Instance ST1 dikecualikan secara default. Pelajari instance ST1 lebih lanjut. |
Men-deploy template AWS CloudFormation
Status deployment ditampilkan di konsol AWS. Jika Template CloudFormation gagal di-deploy, lihat Pemecahan masalah.
Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai dibuat dan ditampilkan di Security Command Center Temuan di Konsol Google Cloud.
Meninjau temuan di konsol Google Cloud
Anda dapat melihat Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud.
Peran IAM minimum yang diperlukan untuk melihat temuan adalah
Security Center Findings Viewer (roles/securitycenter.findingsViewer
).
Guna meninjau Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud, ikuti langkah:
Pemecahan masalah
Jika Anda mengaktifkan Penilaian Kerentanan untuk layanan AWS, tetapi pemindaian tidak berjalan, periksa hal berikut: