Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie den AWS-Dienst (Sicherheitslückenbewertung für Amazon Web Services) einrichten und verwenden.

Hinweise

Zum Aktivieren der Sicherheitslückenbewertung für den AWS-Dienst benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Damit Sie die Einrichtung des AWS-Dienstes mit Sicherheitslücken abschließen können, müssen Ihnen sowohl in Google Cloud als auch in AWS Rollen mit den erforderlichen Berechtigungen gewährt werden.

Google Cloud-Rollen

Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben: Security Center Admin Editor (roles/securitycenter.adminEditor)

Auf Rollen prüfen

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen
2. Wählen Sie die Organisation aus.

3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

   Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

1. Öffnen Sie in der Google Cloud Console die Seite IAM.

   IAM aufrufen
2. Wählen Sie die Organisation aus.
3. Klicken Sie auf person_add Zugriff erlauben.
4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf add Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
7. Klicken Sie auf Speichern.

AWS-Rollen

In AWS muss ein AWS-Administrator das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen.

So erstellen Sie eine Rolle für die Sicherheitslückenbewertung in AWS:

1. Rufen Sie mit einem administrativen AWS-Nutzerkonto die IAM-Seite Rollen in der AWS Management Console auf.
2. Wählen Sie im Menü Service or Use Case die Option „lambda“ aus.

3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:

   • AmazonSSMManagedInstanceCore
   • AWSLambdaBasicExecutionRole
   • AWSLambdaVPCAccessExecutionRole

4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:

   1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie Role policy for Vulnerability Assessment for AWS.
   2. Fügen Sie die Richtlinie im JSON Editor ein.
   3. Geben Sie einen Namen für die Richtlinie an.
   4. Speichern Sie die Richtlinie.

5. Öffnen Sie den Tab Vertrauensbeziehungen.

6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Anweisungsarray hinzu:

   {
     "Version": "2012-10-17",
     "Statement": [
        {
              "Sid": "Statement1 or replace with a unique statementId",
              "Effect": "Allow",
              "Principal": {
                 "Service": "cloudformation.amazonaws.com"
              },
              "Action": "sts:AssumeRole"
        }
     ]
   }
   

7. Speichern Sie die Rolle.

Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

Verbindung von Security Command Center mit AWS bestätigen

Die Sicherheitslückenbewertung für den AWS-Dienst erfordert Zugriff auf das Inventar von AWS-Ressourcen, die von Cloud Asset Inventory verwaltet werden, wenn Security Command Center zur Erkennung von Sicherheitslücken mit AWS verbunden ist.

Wenn noch keine Verbindung hergestellt wurde, müssen Sie eine einrichten, wenn Sie die Sicherheitslückenbewertung für den AWS-Dienst aktivieren.

Informationen zum Einrichten einer Verbindung finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen.

Sicherheitslückenbewertung für AWS aktivieren

Zum Aktivieren der Sicherheitslückenbewertung für AWS müssen Sie eine AWS-IAM-Rolle auf der AWS-Plattform erstellen, in Security Command Center die Sicherheitslückenbewertung für den AWS-Dienst aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Sicherheitslückenbewertung für AWS in Security Command Center aktivieren

Die Sicherheitslückenbewertung für AWS muss in Google Cloud auf Organisationsebene aktiviert sein.

1. Öffnen Sie in Security Command Center die Seite Einstellungen:

   Einstellungen aufrufen

2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren müssen. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

3. Klicken Sie auf der Dienstkarte Vulnerability Assessment auf Einstellungen verwalten. Die Seite Vulnerability Assessment (Sicherheitslückenbewertung) wird geöffnet.

4. Wählen Sie den Tab AWS aus.

5. Wählen Sie im Feld Status unter Dienstaktivierung die Option Aktivieren aus.

6. Prüfen Sie unter AWS-Connector den Verbindungsstatus.

   • Wenn der Verbindungsstatus Konfiguriert ist, fahren Sie mit dem nächsten Schritt fort.
   • Wenn der Verbindungsstatus Nicht konfiguriert ist, konfigurieren Sie den Connector, bevor Sie mit dem nächsten Schritt fortfahren. Klicken Sie dazu auf AWS-Connector hinzufügen. Eine Anleitung finden Sie unter Verbindung zu AWS zur Erkennung von Sicherheitslücken und zur Risikobewertung herstellen.

7. Klicken Sie unter Scan settings (Scaneinstellungen) auf Download CloudFormation template (CloudFormation-Vorlage herunterladen). Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie auf Sicherheitslücken scannen möchten.

AWS CloudFormation-Vorlage bereitstellen

1. Rufen Sie in der AWS Management Console die Seite AWS CloudFormation Template (AWS-CloudFormation-Vorlage) auf.
2. Klicken Sie auf Stapel > Mit neuen Ressourcen (Standard).
3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen und Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stacknamen ein. Ändern Sie keine anderen Parameter in der Vorlage.
5. Wählen Sie Stackdetails angeben aus. Die Seite Stackoptionen konfigurieren wird geöffnet.
6. Wählen Sie unter Berechtigungen die IAM Vulnerability Assessment Role aus, die Sie zuvor erstellt haben.
7. Klicken Sie auf Weiter.
8. Klicken Sie das Kästchen zur Bestätigung an.
9. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Es dauert einige Minuten, bis der Stack gestartet wird.

Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die CloudFormation-Vorlage nicht bereitgestellt werden kann, lesen Sie die Informationen unter Fehlerbehebung.

Wenn Scans ausgeführt werden und Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und auf der Security Command Center-Seite Ergebnisse in der Google Cloud Console angezeigt.

Ergebnisse in der Google Cloud Console prüfen

Sie können sich die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console ansehen. Zum Ansehen von Ergebnissen ist mindestens die IAM-Rolle Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer) erforderlich.

So prüfen Sie die Sicherheitslückenbewertung für AWS-Ergebnisse in der Google Cloud Console:

1. Rufen Sie in Security Command Center die Seite Ergebnisse auf:

   Zu Ergebnissen

2. Wählen Sie gegebenenfalls Ihr Google Cloud-Projekt oder Ihre Organisation aus.

   

3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option EC2-Sicherheitslückenbewertung aus.

   Der Bereich Ergebnisse der Ergebnisabfrage wurde aktualisiert und zeigt jetzt nur die Sicherheitslückenbewertung für AWS-Ergebnisse an.

4. Klicken Sie auf den Namen des Ergebnisses unter Kategorie, um Details zu einem bestimmten Ergebnis aufzurufen. Der Bereich mit den Ergebnisdetails wird maximiert und Sie sehen eine Zusammenfassung der Ergebnisdetails.

Sicherheitslückenbewertung für AWS deaktivieren

Zum Deaktivieren der Sicherheitslückenbewertung für den AWS-Dienst müssen Sie sie in Security Command Center deaktivieren und dann den Stack löschen, der die CloudFormation-Vorlage in AWS enthält. Wenn der Stack nicht gelöscht wird, fallen in AWS weiterhin Kosten an.

Führen Sie die folgenden Schritte aus, um die Sicherheitslückenbewertung für AWS zu deaktivieren:

1. Öffnen Sie in Security Command Center die Seite Einstellungen:

   Einstellungen aufrufen

2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren müssen. Der Tab Dienste auf der Seite Einstellungen wird geöffnet.

3. Klicken Sie auf der Dienstkarte Vulnerability Assessment auf Einstellungen verwalten.

4. Wählen Sie im Feld Status unter Dienstaktivierung die Option Deaktivieren aus.

5. Rufen Sie in der AWS Management Console die Seite AWS CloudFormation Template (AWS-CloudFormation-Vorlage) auf.

6. Löschen Sie den Stapel, der die CloudFormation-Vorlage für die Sicherheitslückenbewertung für AWS enthält.

   Andernfalls können unnötige Kosten entstehen.

Fehlerbehebung

Wenn Sie die Sicherheitslückenbewertung für den AWS-Dienst aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

• Prüfen Sie, ob der AWS-Connector ordnungsgemäß eingerichtet ist.
• Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE lauten.