Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS

Halaman ini menjelaskan cara menyiapkan dan menggunakan layanan Penilaian Kerentanan untuk Amazon Web Services (AWS).

Untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, aktifkan Penilaian Kerentanan untuk layanan AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.

Sebelum memulai

Agar dapat mengaktifkan Layanan Penilaian Kerentanan untuk layanan AWS, Anda memerlukan Izin IAM dan Security Command Center harus terhubung di AWS.

Peran dan izin

Untuk menyelesaikan penyiapan layanan Penilaian Kerentanan untuk AWS, Anda harus diberi peran dengan izin yang diperlukan dalam kedua yakni Google Cloud dan AWS.

Peran Google Cloud

Pastikan Anda memiliki peran berikut di organisasi: Security Center Admin Editor (roles/securitycenter.adminEditor)

Memeriksa peran

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.

  3. Di kolom Akun utama, cari baris yang berisi alamat email Anda.

    Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.

  4. Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di konsol Google Cloud, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.
  4. Di kolom Akun utama baru, masukkan alamat email Anda.
  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

Peran AWS

Di AWS, pengguna administratif AWS harus membuat akun AWS yang yang diperlukan untuk mengaktifkan pemindaian.

Untuk membuat peran Penilaian Kerentanan di AWS, ikuti langkah-langkah berikut:

  1. Dengan menggunakan akun pengguna administratif AWS, buka Halaman Roles IAM di Konsol Pengelolaan AWS.
  2. Pilih lambda dari menu Service or Use Case.

  3. Tambahkan kebijakan izin berikut:

    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole

  4. Klik Tambahkan Izin > Buat Kebijakan inline untuk membuat kebijakan izin baru:

    1. Buka halaman berikut dan salin kebijakannya: Kebijakan peran untuk Penilaian Kerentanan untuk AWS.
    2. Di Editor JSON, tempel kebijakan.
    3. Tentukan nama untuk kebijakan tersebut.
    4. Simpan kebijakan.

  5. Buka tab Trust Relationships.

  6. Tempelkan objek JSON berikut, tambahkan ke array pernyataan yang ada:

    {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

  7. Simpan peran.

Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.

Mengumpulkan informasi tentang resource AWS yang akan dipindai

Selama langkah-langkah untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda dapat menyesuaikan konfigurasi untuk memindai region AWS tertentu, tag spesifik yang mengidentifikasi resource AWS dan volume Hard disk drive (HDD) spesifik (baik SC1 maupun ST1).

Informasi ini akan sangat membantu sebelum mengonfigurasi Penilaian Kerentanan untuk AWS.

Pastikan Security Command Center terhubung ke AWS

Penilaian Kerentanan untuk layanan AWS memerlukan akses ke inventaris resource AWS yang dikelola Inventaris Aset Cloud saat Security Command Center terhubung ke AWS untuk deteksi kerentanan.

Jika koneksi belum dibuat, Anda diminta untuk menyiapkannya saat Anda mengaktifkan layanan Penilaian Kerentanan untuk AWS.

Untuk menyiapkan koneksi, lihat Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko.

Mengaktifkan Penilaian Kerentanan untuk AWS di Security Command Center

Penilaian Kerentanan untuk AWS harus diaktifkan di Google Cloud dengan tingkat organisasi.

  1. Buka halaman Settings di Security Command Center:

    Buka Setelan

  2. Pilih organisasi tempat Anda perlu mengaktifkan Penilaian Kerentanan untuk AWS. Tab Layanan di halaman Setelan akan terbuka.

  3. Di kartu layanan Penilaian Kerentanan, klik Kelola Setelan. Halaman Penilaian Kerentanan akan terbuka.

  4. Pilih tab Amazon Web Services.

  5. Di kolom Status pada bagian Service enablement, pilih Enable.

  6. Di bagian konektor AWS, pastikan statusnya menampilkan Konektor AWS ditambahkan. Jika status menampilkan Tidak ada konektor AWS yang ditambahkan, klik Tambahkan konektor AWS. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk deteksi kerentanan dan penilaian risiko sebelum Anda melanjutkan ke langkah berikutnya.

  7. Konfigurasikan Setelan pemindaian untuk komputasi dan penyimpanan AWS. Untuk mengubah konfigurasi default, klik Edit setelan pemindaian. Untuk informasi tentang setiap opsi, lihat Sesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS.

  8. Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy {i>template<i} di setiap akun AWS yang perlu Anda pindai kerentanannya.

Sesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS

Bagian ini menjelaskan opsi yang tersedia untuk menyesuaikan pemindaian resource AWS. Opsi kustom ini ada di bagian Setelan pemindaian untuk komputasi dan penyimpanan AWS saat mengedit pemindaian Penilaian Kerentanan untuk AWS.

Anda dapat menentukan maksimum 50 tag AWS dan ID instance Amazon EC2. Perubahan pada setelan pemindaian tidak memengaruhi template AWS CloudFormation. Anda tidak perlu men-deploy ulang template. Jika nilai tag atau ID instance tidak benar (misalnya, nilai salah eja) dan resource yang ditentukan tidak ada, nilai akan diabaikan selama pemindaian.
Opsi Deskripsi
Interval pemindaian Tentukan jumlah jam di antara setiap pemindaian. Masukkan nilai dari 6 hingga 24. Nilai defaultnya adalah 6. Nilai maksimumnya adalah 24. Pemindaian yang lebih sering dapat menyebabkan peningkatan penggunaan resource dan kemungkinan peningkatan dalam biaya penagihan.
Region AWS Pilih subset region untuk disertakan dalam pemindaian penilaian kerentanan. Hanya instance
dari wilayah yang dipilih akan dipindai. Pilih satu atau beberapa Region AWS untuk disertakan dalam pemindaian.
Jika Anda mengonfigurasi region tertentu di konektor Amazon Web Services (AWS), pastikan region yang dipilih sama, atau sebagian dari, yang ditentukan ketika Anda mengonfigurasi koneksi ke AWS.
Tag AWS Tentukan tag yang mengidentifikasi subset instance yang dipindai. Hanya instance dengan tag dipindai. Masukkan pasangan nilai kunci untuk setiap tag. Jika ditentukan, tag yang tidak valid akan diabaikan. Anda dapat menentukan maksimum 50 tag. Untuk mengetahui informasi selengkapnya tentang tag, lihat Memberi tag pada resource Amazon EC2 dan Menambahkan dan menghapus tag untuk resource Amazon EC2.
Mengecualikan menurut ID Instance Kecualikan instance EC2 dari setiap pemindaian dengan menentukan ID instance EC2. Anda dapat menentukan maksimum 50 ID instance. Jika ditentukan, nilai yang tidak valid akan diabaikan. Jika Anda menentukan beberapa ID instance, ID tersebut akan digabungkan menggunakan operator AND.
  • Jika Anda memilih Kecualikan instance menurut ID, masukkan setiap ID instance secara manual dengan mengklik Tambahkan instance AWS EC2, lalu ketik nilainya.
  • Jika Anda memilih Salin dan tempel daftar ID instance yang akan dikecualikan dalam format JSON, lakukan salah satu tindakan berikut:
    • Masukkan array ID instance. Contoh:
      [ "instance-id-1", "instance-id-2" ]
    • Upload file yang berisi daftar ID instance. Isi file harus berupa array ID instance, misalnya:
      [ "instance-id-1", "instance-id-2" ]
Pindai instance SC1 Pilih Pindai instance SC1 untuk menyertakan instance ini. Instance SC1 dikecualikan secara default.
Pelajari instance SC1 lebih lanjut.
Memindai instance ST1 Pilih Pindai instance ST1 untuk menyertakan instance ini. Instance ST1 dikecualikan secara default.
Pelajari instance ST1 lebih lanjut.

Men-deploy template AWS CloudFormation

  1. Buka AWS CloudFormation Template di AWS Management Console.
  2. Klik Tumpukan &gt; Dengan resource baru (standar).
  3. Di halaman Buat stack, pilih Pilih template yang sudah ada dan Upload a template file untuk mengupload template CloudFormation.
  4. Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
  5. Pilih Tentukan detail stack. Halaman Konfigurasi opsi tumpukan akan terbuka.
  6. Di bagian Izin, pilih IAM Vulnerability Assessment Role yang Anda buat sebelumnya.
  7. Klik Berikutnya.
  8. Centang kotak untuk mengonfirmasi.
  9. Klik Kirim untuk men-deploy template. Stack memerlukan waktu beberapa menit untuk mulai berjalan.

Status deployment ditampilkan di konsol AWS. Jika Template CloudFormation gagal di-deploy, lihat Pemecahan masalah.

Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai dibuat dan ditampilkan di Security Command Center Temuan di Konsol Google Cloud.

Meninjau temuan di konsol Google Cloud

Anda dapat melihat Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud. Peran IAM minimum yang diperlukan untuk melihat temuan adalah Security Center Findings Viewer (roles/securitycenter.findingsViewer).

Guna meninjau Penilaian Kerentanan untuk temuan AWS di Konsol Google Cloud, ikuti langkah:

  1. Buka halaman Temuan Security Command Center:

    Buka Temuan

  2. Jika perlu, pilih project atau organisasi Google Cloud Anda.

    Pemilih project

  3. Di bagian Filter cepat, di subbagian Nama tampilan sumber, pilih EC2 Vulnerability Assessment.

    Panel Hasil kueri temuan diperbarui untuk hanya menampilkan Penilaian Kerentanan untuk temuan AWS.

  4. Untuk melihat detail temuan tertentu, klik nama temuan di bagian Kategori. Panel detail temuan diperluas untuk menampilkan ringkasan detail temuan.

Pemecahan masalah

Jika Anda mengaktifkan Penilaian Kerentanan untuk layanan AWS, tetapi pemindaian tidak berjalan, periksa hal berikut:

  • Periksa apakah konektor AWS disiapkan dengan benar.
  • Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus CREATION_COMPLETE.