Activer et utiliser l'évaluation des failles pour AWS

Cette page explique comment configurer et utiliser le service d'évaluation des failles pour Amazon Web Services (AWS).

Avant de commencer

Pour activer le service d'évaluation des failles pour AWS, vous devez disposer de certaines autorisations IAM, et Security Command Center doit être connecté à AWS.

Rôles et autorisations

Pour terminer la configuration du service d'évaluation des failles pour AWS, vous devez disposer de rôles avec les autorisations nécessaires dans Google Cloud et AWS.

Rôles Google Cloud

Assurez-vous que vous disposez du ou des rôles suivants au niveau de l'organisation : Security Center Admin Editor (roles/securitycenter.adminEditor)

Vérifier les rôles

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM
2. Sélectionnez l'organisation.

3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

   Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

Attribuer les rôles

1. Dans la console Google Cloud, accédez à la page IAM.

   Accéder à IAM
2. Sélectionnez l'organisation.
3. Cliquez sur person_add Accorder l'accès.
4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
6. Pour attribuer des rôles supplémentaires, cliquez sur add Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
7. Cliquez sur Enregistrer.

Rôles AWS

Dans AWS, un utilisateur administrateur AWS doit créer le compte AWS dont vous avez besoin pour activer les analyses.

Pour créer un rôle d'évaluation des failles dans AWS, procédez comme suit:

1. À l'aide d'un compte utilisateur administrateur AWS, accédez à la page Rôles IAM dans AWS Management Console.
2. Sélectionnez lambda dans le menu Service or Use Case.

3. Ajoutez les règles d'autorisation suivantes:

   • AmazonSSMManagedInstanceCore
   • AWSLambdaBasicExecutionRole
   • AWSLambdaVPCAccessExecutionRole

4. Cliquez sur Ajouter une autorisation > Créer une règle intégrée pour créer une règle d'autorisation:

   1. Ouvrez la page suivante et copiez la stratégie : Role policy for Vulnerability Assessment for AWS (Stratégie de rôle pour l'évaluation des failles pour AWS).
   2. Dans l'éditeur JSON, collez la stratégie.
   3. Attribuez un nom à la règle.
   4. Enregistrez la règle.

5. Ouvrez l'onglet Relations de confiance.

6. Collez l'objet JSON suivant en l'ajoutant à un tableau d'instructions existant:

   {
     "Version": "2012-10-17",
     "Statement": [
        {
              "Sid": "Statement1 or replace with a unique statementId",
              "Effect": "Allow",
              "Principal": {
                 "Service": "cloudformation.amazonaws.com"
              },
              "Action": "sts:AssumeRole"
        }
     ]
   }
   

7. Enregistrez le rôle.

Vous attribuerez ce rôle ultérieurement lorsque vous installerez le modèle CloudFormation sur AWS.

Vérifier que Security Command Center est connecté à AWS

Le service d'évaluation des failles pour AWS nécessite un accès à l'inventaire des ressources AWS géré par l'inventaire des éléments cloud lorsque Security Command Center est connecté à AWS pour détecter les failles.

Si aucune connexion n'est déjà établie, vous devez en configurer une lors de l'activation du service Évaluation des failles pour AWS.

Pour configurer une connexion, consultez Se connecter à AWS pour détecter les failles et évaluer les risques.

Activer l'évaluation des failles pour AWS

Pour activer l'évaluation des failles pour AWS, vous devez créer un rôle AWS IAM sur la plate-forme AWS, activer le service d'évaluation des failles pour AWS dans Security Command Center, puis déployer un modèle CloudFormation sur AWS.

Activer l'évaluation des failles pour AWS dans Security Command Center

L'évaluation des failles pour AWS doit être activée sur Google Cloud au niveau de l'organisation.

1. Accédez à la page Paramètres de Security Command Center:

   Accéder aux paramètres

2. Sélectionnez l'organisation dans laquelle vous devez activer l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

3. Dans la fiche du service Évaluation des failles, cliquez sur Gérer les paramètres. La page Évaluation des failles s'ouvre.

4. Sélectionnez l'onglet AWS.

5. Dans le champ État, sous Activation du service, sélectionnez Activer.

6. Sous Connecteur AWS, vérifiez l'état de la connexion.

   • Si l'état de la connexion est configurée, passez à l'étape suivante.
   • Si l'état de la connexion est Non configuré, configurez le connecteur en cliquant sur Ajouter un connecteur AWS avant de passer à l'étape suivante. Pour obtenir des instructions, consultez Se connecter à AWS pour détecter les failles et évaluer les risques.

7. Sous Paramètres d'analyse, cliquez sur Télécharger le modèle CloudFormation. Un modèle JSON est téléchargé sur votre station de travail. Vous devez déployer le modèle dans chaque compte AWS pour lequel vous devez rechercher des failles.

Déployer le modèle AWS CloudFormation

1. Accédez à la page Modèle AWS CloudFormation dans la console de gestion AWS.
2. Cliquez sur Piles > Avec les nouvelles ressources (standard).
3. Sur la page Créer une pile, sélectionnez Choisir un modèle existant et Importer un fichier de modèle pour importer le modèle CloudFormation.
4. Une fois l'importation terminée, saisissez un nom de pile unique. Ne modifiez aucun autre paramètre du modèle.
5. Sélectionnez Spécifier les détails de la pile. La page Configurer les options de la pile s'ouvre.
6. Sous Autorisations, sélectionnez le IAM Vulnerability Assessment Role que vous avez créé précédemment.
7. Cliquez sur Suivant.
8. Cochez la case pour confirmer.
9. Cliquez sur Envoyer pour déployer le modèle. L'exécution de la pile prend quelques minutes.

L'état du déploiement s'affiche dans la console AWS. Si le déploiement du modèle CloudFormation échoue, consultez la section Dépannage.

Une fois les analyses lancées, si des failles sont détectées, les résultats correspondants sont générés et affichés sur la page Résultats de Security Command Center dans la console Google Cloud.

Examiner les résultats dans la console Google Cloud

Vous pouvez afficher l'évaluation des failles pour les résultats AWS dans la console Google Cloud. Le rôle IAM minimal requis pour afficher les résultats est Lecteur de résultats du centre de sécurité (roles/securitycenter.findingsViewer).

Pour examiner l'évaluation des failles pour les résultats AWS dans la console Google Cloud, procédez comme suit:

1. Accédez à la page Résultats de Security Command Center:

   Accéder

2. Si nécessaire, sélectionnez votre projet ou votre organisation GooglenCloud.

   

3. Dans la section Quick filters (Filtres rapides), dans la sous-section Source display name (Nom à afficher de la source), sélectionnez EC2 Vulnerability Assessment (Évaluation des failles EC2).

   Le panneau Résultats de la requête de résultat est mis à jour pour n'afficher que les résultats de l'évaluation des failles pour AWS.

4. Pour afficher les détails d'un résultat spécifique, cliquez sur le nom du résultat sous Catégorie. Le panneau des détails du résultat se développe pour afficher un résumé des détails du résultat.

Désactiver l'évaluation des failles pour AWS

Pour désactiver le service d'évaluation des failles pour AWS, vous devez le désactiver dans Security Command Center, puis supprimer la pile contenant le modèle CloudFormation dans AWS. Si la pile n'est pas supprimée, elle continuera à entraîner des coûts dans AWS.

Procédez comme suit pour désactiver l'évaluation des failles pour AWS:

1. Accédez à la page Paramètres de Security Command Center:

   Accéder aux paramètres

2. Sélectionnez l'organisation dans laquelle vous devez activer l'évaluation des failles pour AWS. L'onglet Services de la page Paramètres s'ouvre.

3. Dans la fiche du service Évaluation des failles, cliquez sur Gérer les paramètres.

4. Dans le champ État, sous Activation du service, sélectionnez Désactiver.

5. Accédez à la page Modèle AWS CloudFormation dans la console de gestion AWS.

6. Supprimez la pile contenant le modèle CloudFormation pour l'évaluation des failles pour AWS.

   S'il n'est pas supprimé, des frais inutiles peuvent vous être facturés.

Dépannage

Si vous avez activé l'évaluation des failles pour AWS, mais que les analyses ne sont pas en cours d'exécution, vérifiez les points suivants:

• Vérifiez que le connecteur AWS est correctement configuré.
• Vérifiez que la pile de modèles CloudFormation a été entièrement déployée. Son état dans le compte AWS doit être CREATION_COMPLETE.