Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie die Sicherheitsrisikobewertung für Amazon Web Services (AWS) einrichten und verwenden.

Wenn Sie die Sicherheitslückenbewertung für AWS aktivieren möchten, müssen Sie auf der AWS-Plattform eine AWS-IAM-Rolle erstellen, den Dienst „Sicherheitslückenbewertung für AWS“ in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Um die Sicherheitslückenbewertung für den AWS-Dienst zu aktivieren, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Damit Sie die Sicherheitslückenbewertung für AWS einrichten können, müssen Sie sowohl in Google Cloud als auch in AWS Rollen mit den erforderlichen Berechtigungen erhalten.

Google Cloud-Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. AWS-Rollen

    In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen.

    So erstellen Sie eine Rolle für die Sicherheitslückenbewertung in AWS:

    1. Rufen Sie mit einem AWS-Administratorkonto die Seite IAM-Rollen in der AWS-Managementkonsole auf.
    2. Wählen Sie im Menü Service or Use Case die Option lambda aus.
    3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:
      1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS.
      2. Fügen Sie die Richtlinie in den JSON-Editor ein.
      3. Geben Sie einen Namen für die Richtlinie an.
      4. Speichern Sie die Richtlinie.
    5. Öffnen Sie den Tab Vertrauensstellungen.

    6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Statement-Array hinzu:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Speichern Sie die Rolle.

    Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

    Informationen zu den zu scannenden AWS-Ressourcen erfassen

    Während der Schritte zum Aktivieren der Sicherheitslückenbewertung für AWS können Sie die Konfiguration anpassen, um bestimmte AWS-Regionen, bestimmte Tags, die AWS-Ressourcen identifizieren, und bestimmte Festplattenvolumes (SC1 und ST1) zu scannen.

    Es ist hilfreich, diese Informationen zur Verfügung zu haben, bevor Sie die Sicherheitslückenbewertung für AWS konfigurieren.

    Prüfen, ob Security Command Center mit AWS verbunden ist

    Für die Sicherheitslückenbewertung für AWS-Dienste ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Security Command Center zur Erkennung von Sicherheitslücken mit AWS verbunden ist.

    Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktivieren.

    Informationen zum Einrichten einer Verbindung finden Sie unter Verbindung zu AWS für die Erkennung von Sicherheitslücken und die Risikobewertung herstellen.

    Sicherheitslückenbewertung für AWS im Security Command Center aktivieren

    Die Sicherheitslückenbewertung für AWS muss in Google Cloud auf Organisationsebene aktiviert sein.

    1. Rufen Sie im Security Command Center die Seite Risikoübersicht auf:

      Zur Risikoübersicht

    2. Wählen Sie die Organisation aus, für die Sie die Sicherheitslückenbewertung für AWS aktivieren möchten.

    3. Klicken Sie auf Einstellungen.

    4. Klicken Sie auf der Karte Sicherheitsrisikobewertung auf Einstellungen verwalten. Die Seite Sicherheitsrisikobewertung wird geöffnet.

    5. Wählen Sie den Tab Amazon Web Services aus.

    6. Ändern Sie im Bereich Dienstaktivierung das Feld Status in Aktivieren.

    7. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet. Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Mit AWS verbinden, um Sicherheitslücken zu erkennen und Risiken zu bewerten aus, bevor Sie mit dem nächsten Schritt fortfahren.

    8. Konfigurieren Sie die Scaneinstellungen für AWS-Computing und ‑Speicher. Wenn Sie die Standardkonfiguration ändern möchten, klicken Sie auf Scaneinstellungen bearbeiten. Informationen zu den einzelnen Optionen finden Sie unter Scaneinstellungen für AWS-Computing und ‑Speicher anpassen.

    9. Klicken Sie im Bereich Scan-Einstellungen auf CloudFormation-Vorlage herunterladen. Auf Ihre Workstation wird eine JSON-Vorlage heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie auf Sicherheitslücken prüfen möchten.

    Scaneinstellungen für AWS-Computing und ‑Speicher anpassen

    In diesem Abschnitt werden die Optionen beschrieben, mit denen Sie den Scan von AWS-Ressourcen anpassen können. Diese benutzerdefinierten Optionen finden Sie im Abschnitt Scaneinstellungen für AWS-Computing und ‑Speicher, wenn Sie einen Scan für die Sicherheitslückenbewertung für AWS bearbeiten.

    Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen wirken sich nicht auf die AWS CloudFormation-Vorlage aus. Sie müssen die Vorlage nicht neu bereitstellen. Wenn ein Tag- oder Instanz-ID-Wert nicht korrekt ist (z. B. falsch geschrieben) und die angegebene Ressource nicht existiert, wird der Wert beim Scannen ignoriert.
    Option Beschreibung
    Scanintervall Geben Sie die Anzahl der Stunden zwischen den einzelnen Scans ein. Gültige Werte reichen von 6 bis 24. Der Standardwert ist 6. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungskosten führen.
    AWS-Regionen

    Wählen Sie eine Teilmenge der Regionen aus, die in die Sicherheitslückenbewertung einbezogen werden sollen.

    Es werden nur Instanzen aus den ausgewählten Regionen gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan eingeschlossen werden sollen.

    Wenn Sie bestimmte Regionen im Amazon Web Services-Connector (AWS) konfiguriert haben, müssen die hier ausgewählten Regionen mit denjenigen übereinstimmen, die Sie bei der Konfiguration der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.

    AWS-Tags Geben Sie Tags an, mit denen die Teilmenge der Instanzen angegeben wird, die gescannt werden sollen. Nur Instanzen mit diesen Tags werden gescannt. Geben Sie für jedes Tag das Schlüssel/Wert-Paar ein. Wenn ein ungültiges Tag angegeben wird, wird es ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen taggen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen.
    Nach Instanz-ID ausschließen

    Sie können EC2-Instanzen aus jedem Scan ausschließen, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Ungültige Werte werden ignoriert. Wenn Sie mehrere Instanz-IDs definieren, werden sie mit dem Operator AND kombiniert.

    • Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein. Klicken Sie dazu auf AWS EC2-Instanz hinzufügen und geben Sie den Wert ein.

    • Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, gehen Sie so vor:

      • Geben Sie ein Array von Instanz-IDs ein. Beispiel:

        [ "instance-id-1", "instance-id-2" ]

      • Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs sein, z. B.: 

        [ "instance-id-1", "instance-id-2" ]
    SC1-Instanz scannen Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu SC1-Instanzen
    ST1-Instanz scannen Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzubeziehen. ST1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu ST1-Instanzen

    AWS CloudFormation-Vorlage bereitstellen

    1. Rufen Sie in der AWS-Managementkonsole die Seite AWS CloudFormation-Vorlage auf.
    2. Klicken Sie auf Stacks > Mit neuen Ressourcen (Standard).
    3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen und dann Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
    4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stacknamen ein. Ändern Sie keine anderen Parameter in der Vorlage.
    5. Wählen Sie Stapeldetails angeben aus. Die Seite Stapeloptionen konfigurieren wird geöffnet.
    6. Wählen Sie unter Berechtigungen die IAM Vulnerability Assessment Role aus, die Sie zuvor erstellt haben.
    7. Klicken Sie auf Weiter.
    8. Setzen Sie ein Häkchen in das Kästchen für die Bestätigung.
    9. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Die Ausführung des Stacks dauert einige Minuten.

    Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Hilfeartikel Fehlerbehebung.

    Wenn nach Beginn der Scans Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und in der Google Cloud Console auf der Seite Ergebnisse des Security Command Center angezeigt.

    Ergebnisse in der Console ansehen

    Sie können die Ergebnisse der Sicherheitsrisikobewertung für AWS in der Google Cloud Console einsehen. Die Mindestanforderung für die Rolle für den Zugriff auf Ergebnisse ist Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

    So rufen Sie die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud Console auf:

    Google Cloud Console

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen

    2. Wählen Sie Ihr Google Cloud-Projekt oder Ihre Organisation aus.
    3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option EC2-Sicherheitsrisikobewertung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
    4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
    5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
    6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

    Security Operations Console

    1. Rufen Sie in der Security Operations Console die Seite Ergebnisse auf. 
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings

      Ersetzen Sie CUSTOMER_SUBDOMAIN durch Ihre kundenspezifische Kennung.

    2. Maximieren Sie im Bereich Aggregationen den Unterabschnitt Anzeigename der Quelle.
    3. Wählen Sie EC2-Sicherheitslückenbewertung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
    4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um Details zu einem bestimmten Ergebnis aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
    5. Auf dem Tab Zusammenfassung finden Sie Details zum Ergebnis, einschließlich Informationen dazu, was erkannt wurde, zur betroffenen Ressource und – falls verfügbar – zu den Schritten, die Sie unternehmen können, um das Problem zu beheben.
    6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

    Fehlerbehebung

    Wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

    • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
    • Prüfen Sie, ob der CloudFormation-Vorlagenstapel vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.