Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie den Dienst „Vulnerability Assessment for Amazon Web Services (AWS)“ einrichten und verwenden.

Wenn Sie die Sicherheitslückenbewertung für AWS aktivieren möchten, müssen Sie eine AWS-IAM-Rolle auf der AWS-Plattform erstellen, den Dienst „Sicherheitslückenbewertung für AWS“ in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Damit Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktivieren können, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Damit Sie die Einrichtung des Dienstes „Sicherheitslückenbewertung für AWS“ abschließen können, müssen Ihnen Rollen mit den erforderlichen Berechtigungen sowohl inGoogle Cloud als auch in AWS zugewiesen werden.

Google Cloud -Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriffsrechte erteilen.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
  7. Klicken Sie auf Speichern.

    8. AWS-Rollen

    In Amazon Web Services (AWS) muss ein AWS-Administratornutzer das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen. Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

    • Wenn Sie eine Rolle für die Sicherheitslückenbewertung in AWS erstellen möchten, folgen Sie der Anleitung unter Rolle für einen AWS-Service erstellen (Konsole).

      Wichtige Hinweise:

      • Wählen Sie für Dienst oder Anwendungsfall die Option Lambda aus.
      • Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
        • AmazonSSMManagedInstanceCore
        • AWSLambdaBasicExecutionRole
        • AWSLambdaVPCAccessExecutionRole
      • Erstellen Sie eine Berechtigungsrichtlinie für die AWS-Rolle:
        1. Folgen Sie der Anleitung zum Ändern und Kopieren der Berechtigungsrichtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS und die VM-Bedrohungserkennung.
        2. Geben Sie die Richtlinie im JSON-Editor in AWS ein.

      • Fügen Sie für Vertrauensbeziehungen dem vorhandenen Statement-Array den folgenden JSON-Eintrag hinzu:

        {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Informationen zu den zu scannenden AWS-Ressourcen erfassen

    Während der Schritte zum Aktivieren der Sicherheitslückenbewertung für AWS können Sie die Konfiguration anpassen, um bestimmte AWS-Regionen, bestimmte Tags, die AWS-Ressourcen identifizieren, und bestimmte Festplattenlaufwerk-Volumes (HDD) (SC1 und ST1) zu scannen.

    Es ist hilfreich, diese Informationen verfügbar zu haben, bevor Sie die Sicherheitslückenbewertung für AWS konfigurieren.

    Prüfen, ob Security Command Center mit AWS verbunden ist

    Für den Dienst „Sicherheitslückenbewertung für AWS“ ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Security Command Center mit AWS verbunden ist.

    Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktivieren.

    Informationen zum Einrichten einer Verbindung finden Sie unter Verbindung zu AWS für die Konfiguration und Erfassung von Ressourcendaten herstellen.

    Sicherheitslückenbewertung für AWS in Security Command Center aktivieren

    Die Sicherheitslückenbewertung für AWS muss auf Organisationsebene für Google Cloud aktiviert sein.

    1. Rufen Sie im Security Command Center die Seite Risikoübersicht auf:

      Zur Risikoübersicht

    2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren möchten.

    3. Klicken Sie auf Einstellungen.

    4. Klicken Sie auf der Karte Vulnerability Assessment (Schwachstellenanalyse) auf Manage Settings (Einstellungen verwalten). Die Seite Vulnerability Assessment (Schwachstellenanalyse) wird geöffnet.

    5. Wählen Sie den Tab Amazon Web Services aus.

    6. Ändern Sie im Bereich Dienstaktivierung das Feld Status in Aktivieren.

    7. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet. Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Verbindung zu AWS für Konfiguration und Erhebung von Ressourcendaten herstellen aus, bevor Sie mit dem nächsten Schritt fortfahren.

    8. Konfigurieren Sie die Scaneinstellungen für AWS-Computing und ‑Speicher. Wenn Sie die Standardkonfiguration ändern möchten, klicken Sie auf Scaneinstellungen bearbeiten. Informationen zu den einzelnen Optionen finden Sie unter Scaneinstellungen für AWS-Computing und ‑Speicher anpassen.

    9. Wenn Sie VM Threat Detection für AWS bereits aktiviert und die CloudFormation-Vorlage als Teil dieser Funktion bereitgestellt haben, überspringen Sie diesen Schritt. Klicken Sie im Bereich Scaneinstellungen auf CloudFormation-Vorlage herunterladen. Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie auf Sicherheitslücken scannen müssen.

    Scaneinstellungen für AWS-Computing und ‑Speicher anpassen

    In diesem Abschnitt werden die Optionen zum Anpassen des Scans von AWS-Ressourcen beschrieben. Diese benutzerdefinierten Optionen finden Sie beim Bearbeiten eines Scans für die Sicherheitslückenbewertung für AWS im Abschnitt Scaneinstellungen für AWS-Computing und ‑Speicher.

    Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen wirken sich nicht auf die AWS CloudFormation-Vorlage aus. Sie müssen die Vorlage nicht noch einmal bereitstellen. Wenn ein Tag- oder Instanz-ID-Wert nicht korrekt ist (z. B. wenn der Wert falsch geschrieben ist) und die angegebene Ressource nicht vorhanden ist, wird der Wert beim Scan ignoriert.
    Option Beschreibung
    Scanintervall Geben Sie die Anzahl der Stunden zwischen den einzelnen Scans ein. Gültige Werte reichen von 6 bis 24. Der Standardwert ist 6. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungsgebühren führen.
    AWS-Regionen

    Wählen Sie eine Teilmenge von Regionen aus, die in den Scan zur Sicherheitslückenbewertung einbezogen werden sollen.

    Es werden nur Instanzen aus den ausgewählten Regionen gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan eingeschlossen werden sollen.

    Wenn Sie im Amazon Web Services-Connector (AWS) bestimmte Regionen konfiguriert haben, müssen die hier ausgewählten Regionen mit den Regionen übereinstimmen, die Sie beim Konfigurieren der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.

    AWS-Tags Geben Sie Tags an, mit denen die Teilmenge der gescannten Instanzen identifiziert wird. Nur Instanzen mit diesen Tags werden gescannt. Geben Sie das Schlüssel/Wert-Paar für jedes Tag ein. Wenn ein ungültiges Tag angegeben wird, wird es ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen taggen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen.
    Nach Instanz-ID ausschließen

    Schließen Sie EC2-Instanzen aus den einzelnen Scans aus, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Wenn ungültige Werte angegeben werden, werden sie ignoriert. Wenn Sie mehrere Instanz-IDs definieren, werden sie mit dem Operator AND kombiniert.

    • Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein. Klicken Sie dazu auf AWS EC2-Instanz hinzufügen und geben Sie den Wert ein.

    • Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, haben Sie folgende Möglichkeiten:

      • Geben Sie ein Array von Instanz-IDs ein. Beispiel:

        [ "instance-id-1", "instance-id-2" ]

      • Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs sein, z. B.: 

        [ "instance-id-1", "instance-id-2" ]
    SC1-Instanz scannen Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu SC1-Instanzen
    ST1-Instanz scannen Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzubeziehen. ST1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu ST1-Instanzen
    Elastic Container Registry (ECR) scannen Wählen Sie Elastic Container Registry-Instanz scannen aus, um in ECR gespeicherte Container-Images und die darin installierten Pakete zu scannen. Weitere Informationen zu Elastic Container Registry

    AWS CloudFormation-Vorlage bereitstellen

    Stellen Sie die CloudFormation-Vorlage mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors bereit.

    Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

    Beachten Sie Folgendes: * Nachdem die CloudFormation-Vorlage hochgeladen wurde, geben Sie einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage. * Wählen Sie unter Permissions (Berechtigungen) in den Stack-Optionen die AWS-Rolle aus, die Sie zuvor erstellt haben. * Nachdem Sie die CloudFormation-Vorlage bereitgestellt haben, dauert es einige Minuten, bis der Stack ausgeführt wird.

    Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Abschnitt Fehlerbehebung.

    Wenn nach dem Starten der Scans Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und auf der Seite Ergebnisse des Security Command Center in derGoogle Cloud -Konsole angezeigt.

    Ergebnisse in der Console ansehen

    Sie können die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud -Konsole ansehen. Die IAM-Mindestrolle, die zum Aufrufen von Ergebnissen erforderlich ist, ist Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

    So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud Console:

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen

    2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
    3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option EC2 Vulnerability Assessment aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
    4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
    5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
    6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

    Fehlerbehebung

    Wenn Sie den Dienst „Vulnerability Assessment“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

    • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
    • Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.