本页面介绍了如何设置和使用 Amazon Web Services (AWS) 的漏洞评估 服务。
准备工作
要为 AWS 服务启用漏洞评估,您需要 IAM 权限和 Security Command Center 必须连接到 AWS.
角色与权限
如需完成 AWS 服务的漏洞评估设置, 您需要在 Google Cloud 控制台中 Google Cloud 和 AWS
Google Cloud 角色
确保您拥有组织的以下一个或多个角色:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
检查角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择组织。
-
在主账号列中,找到您的电子邮件地址所在的行。
如果您的电子邮件地址不在此列,则表示您没有任何角色。
- 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。
授予角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择组织。
- 点击 授予访问权限。
- 在新的主账号字段中,输入您的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
AWS 角色
在 AWS 中,必须由 AWS 管理员用户创建 需要启用扫描。
如需在 AWS 中创建漏洞评估角色,请按以下步骤操作:
- 使用 AWS 管理员用户账号,前往 IAM 角色页面 。
- 从
Service or Use Case
菜单中选择lambda
。 添加以下权限政策:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
点击添加权限 > 创建 内嵌政策,用于创建新的权限政策:
- 打开以下页面并复制政策: AWS 漏洞评估的角色政策。
- 在 JSON 编辑器中,粘贴政策。
- 指定政策的名称。
- 保存政策。
打开 Trust Relationships(信任关系)标签页。
粘贴以下 JSON 对象,将其添加到任何现有 语句数组:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
保存角色。
稍后在 AWS 上安装 CloudFormation 模板时需要分配此角色。
确认 Security Command Center 已连接到 AWS
AWS 服务的漏洞评估需要访问清单 使用 Security Command Center 时 Cloud Asset Inventory 维护的 AWS 资源 连接到 AWS 以进行漏洞检测。
如果尚未建立连接,则需要设置一个 对 AWS 服务启用漏洞评估时发送通知。
要设置连接,请参阅 连接到 AWS 以进行漏洞检测和风险评估。
对 AWS 启用漏洞评估
要为 AWS 启用漏洞评估,您需要在 Google Cloud 控制台上 AWS 平台,请在 Cloud Monitoring 中 Security Command Center,然后在 AWS 上部署 CloudFormation 模板。
在 Security Command Center 中为 AWS 启用漏洞评估
必须在 Google Cloud 上启用 AWS Vulnerability Assessment( 组织级别。
前往 Security Command Center 中的设置页面:
选择需要为 AWS 启用漏洞评估的组织。 系统会打开 Settings(设置)页面的 Services(服务)标签页。
在漏洞评估服务卡片中,点击管理设置。 此时将打开漏洞评估页面。
选择 AWS 标签页。
在服务启用下的状态字段中,选择启用。
在 AWS 连接器下,检查连接状态。
- 如果连接状态为已配置,请继续执行下一步。
- 如果连接状态为未配置,请先恢复 配置连接器时,请点击 添加 AWS 连接器。有关说明,请参阅 连接到 AWS 以进行漏洞检测和风险评估。
在扫描设置下,点击下载 CloudFormation 模板。 系统会将 JSON 模板下载到您的工作站。您需要部署 您需要扫描每个 AWS 账号中是否有漏洞的模板。
部署 AWS CloudFormation 模板
- 转到 AWS CloudFormation 模板 页面。
- 点击堆叠 > 包含新资源(标准)。
- 在创建模板页面上,选择选择现有模板。 再上传模板文件,上传 CloudFormation 模板。
- 上传完成后,请输入唯一的堆叠名称。不修改 模板中的任何其他参数。
- 选择指定堆叠详情。系统随即会打开配置堆栈选项页面。
- 在权限下,选择
IAM Vulnerability Assessment Role
之前创建的所有文件 - 点击下一步。
- 勾选确认复选框。
- 点击提交以部署模板。堆栈需要几分钟时间 让它开始运行
部署的状态会显示在 AWS 控制台中。如果 CloudFormation 模板部署失败,请参阅 问题排查。
扫描开始运行后,如果检测到任何漏洞, 并在 Security Command Center 上生成相应的发现结果 发现 页面。
在 Google Cloud 控制台中查看发现结果
您可以在 Google Cloud 控制台中查看 AWS 发现结果的漏洞评估。
查看发现结果所需的最低 IAM 角色为
Security Center Findings Viewer (roles/securitycenter.findingsViewer
)。
如需在 Google Cloud 控制台中查看 AWS 发现结果的漏洞评估,请按以下步骤操作 步骤:
转到 Security Command Center 发现结果页面:
如有必要,请选择您的 Google Cloud 项目或组织。
在快速过滤条件部分的来源显示名称子部分中, 选择 EC2 漏洞评估。
发现结果查询结果面板已更新为仅显示 AWS 发现结果的漏洞评估。
如需查看特定发现结果的详细信息,请点击类别下的发现结果名称。发现结果详细信息面板会展开,以显示摘要 发现结果详情
对 AWS 停用漏洞评估
要为 AWS 服务停用漏洞评估,您需要在以下位置将其停用: Security Command Center,然后删除包含 AWS 中的 CloudFormation 模板。如果不删除堆栈 AWS 将继续产生费用。
如需为 AWS 停用漏洞评估,请完成以下步骤:
前往 Security Command Center 中的设置页面:
选择需要为 AWS 启用漏洞评估的组织。 系统会打开 Settings(设置)页面的 Services(服务)标签页。
在漏洞评估服务卡片中,点击管理设置。
在服务启用下的状态字段中,选择停用。
转到 AWS CloudFormation 模板 页面。
删除包含 CloudFormation 模板的堆栈 AWS 漏洞评估。
如果不删除,可能会产生不必要的费用。
问题排查
如果您为 AWS 服务启用了漏洞评估,但扫描未运行, 请检查以下各项:
- 检查 AWS 连接器是否已正确设置。
- 确认 CloudFormation 模板堆栈已完全部署。其
AWS 账号中的状态应为
CREATION_COMPLETE
。