Abilita e utilizza Valutazione delle vulnerabilità per AWS

Questa pagina descrive come configurare e utilizzare Valutazione delle vulnerabilità per Amazon Web Services (AWS) completamente gestito di Google Cloud.

Prima di iniziare

Per abilitare il servizio Valutazione delle vulnerabilità per AWS, sono necessarie alcune Le autorizzazioni IAM e Security Command Center devono essere connessi a AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio Valutazione delle vulnerabilità per AWS: devi disporre dei ruoli con le autorizzazioni necessarie Google Cloud e AWS.

Ruoli Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci l'identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni altro ruolo.
  7. Fai clic su Salva.

    8. Ruoli AWS

    In AWS, un utente amministrativo AWS deve creare l'account AWS che si l'abilitazione delle scansioni.

    Per creare un ruolo Valutazione delle vulnerabilità in AWS, segui questi passaggi:

    1. Utilizzando un account utente amministrativo AWS, vai a Pagina Ruoli IAM nella console di gestione AWS.
    2. Seleziona lambda dal menu Service or Use Case.

    3. Aggiungi i seguenti criteri di autorizzazione:

      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole

    4. Fai clic su Aggiungi autorizzazione > Crea Criterio in linea per creare un nuovo criterio di autorizzazione:

      1. Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per AWS.
      2. Incolla il criterio nell'Editor JSON.
      3. Specifica un nome per il criterio.
      4. Salva il criterio.

    5. Apri la scheda Relazioni di attendibilità.

    6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi oggetto esistente array di istruzioni:

      {
  "Version": "2012-10-17",
  "Statement": [
     {
           "Sid": "Statement1 or replace with a unique statementId",
           "Effect": "Allow",
           "Principal": {
              "Service": "cloudformation.amazonaws.com"
           },
           "Action": "sts:AssumeRole"
     }
  ]
}

    7. Salva il ruolo.

    Assegnerai questo ruolo in un secondo momento, quando installi il modello CloudFormation su AWS.

    Verifica che Security Command Center sia connesso ad AWS

    Il servizio Valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS conservate da Cloud Asset Inventory quando Security Command Center è connesso ad AWS per il rilevamento delle vulnerabilità.

    Se non è ancora stata stabilita una connessione, devi configurarne una quando abiliti il servizio Valutazione delle vulnerabilità per AWS.

    Per configurare una connessione, consulta: Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.

    Abilita la valutazione delle vulnerabilità per AWS

    Per abilitare la valutazione delle vulnerabilità per AWS, devi creare un ruolo AWS IAM in sulla piattaforma AWS, abilitare il servizio Vulnerability Assessment per AWS in Security Command Center, quindi esegui il deployment di un modello CloudFormation su AWS.

    Abilita la valutazione delle vulnerabilità per AWS in Security Command Center

    La valutazione delle vulnerabilità per AWS deve essere abilitata su Google Cloud a livello di organizzazione.

    1. Vai alla pagina Impostazioni in Security Command Center:

      Vai alle impostazioni

    2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

    3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni. Si apre la pagina Valutazione della vulnerabilità.

    4. Seleziona la scheda AWS.

    5. Nel campo Stato in Attivazione del servizio, seleziona Abilita.

    6. In Connettore AWS, controlla lo Stato della connessione.

    7. In Impostazioni scansione, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla workstation. Devi eseguire il deployment il modello in ogni account AWS di cui occorre analizzare le vulnerabilità.

    Esegui il deployment del modello AWS CloudFormation

    1. Vai al modello CloudFormation AWS nella console di gestione AWS.
    2. Fai clic su Impilati > Con nuove risorse (standard).
    3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
    4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare qualsiasi altro parametro nel modello.
    5. Seleziona Specifica i dettagli dello stack. Viene visualizzata la pagina Configura le opzioni dello stack.
    6. In Autorizzazioni, seleziona la IAM Vulnerability Assessment Role che hai creato in precedenza.
    7. Fai clic su Avanti.
    8. Seleziona la casella per l'accettazione.
    9. Fai clic su Invia per eseguire il deployment del modello. Lo stack richiede alcuni minuti per iniziare a correre.

    Lo stato del deployment viene visualizzato nella console AWS. Se Il deployment del modello CloudFormation non riesce, consulta Risoluzione dei problemi.

    Una volta avviata l'esecuzione delle scansioni, se vengono rilevate delle vulnerabilità, i risultati corrispondenti vengono generati e visualizzati in Security Command Center Risultati nella console Google Cloud.

    Esamina i risultati nella console Google Cloud

    Puoi visualizzare la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud. Il ruolo IAM minimo necessario per visualizzare i risultati è Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

    Per rivedere la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud, segui questi passaggi passaggi:

    1. Vai alla pagina Risultati di Security Command Center:

      Vai a Risultati

    2. Se necessario, seleziona il progetto o l'organizzazione Google Cloud.

      Selettore progetti

    3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, Seleziona Valutazione delle vulnerabilità EC2.

      Il riquadro Risultati della query dei risultati viene aggiornato in modo da mostrare solo Valutazione delle vulnerabilità per risultati AWS.

    4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Categoria. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.

    Disabilita la valutazione delle vulnerabilità per AWS

    Per disabilitare il servizio Valutazione delle vulnerabilità per AWS, devi disabilitarlo in Security Command Center ed eliminare lo stack che contiene CloudFormation in AWS. Se lo stack non viene eliminato, continuano a comportare costi in AWS.

    Completa i seguenti passaggi per disabilitare la valutazione delle vulnerabilità per AWS:

    1. Vai alla pagina Impostazioni in Security Command Center:

      Vai alle impostazioni

    2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

    3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni.

    4. Nel campo Stato in Attivazione del servizio, seleziona Disattiva.

    5. Vai al modello CloudFormation AWS nella console di gestione AWS.

    6. Elimina lo stack che contiene il modello CloudFormation per Valutazione delle vulnerabilità per AWS

      Se non vengono eliminate, potrebbero essere addebitati costi inutili.

    Risoluzione dei problemi

    Se hai abilitato il servizio Valutazione delle vulnerabilità per AWS, ma le scansioni non vengono eseguite, controlla quanto segue:

    • Verifica che il connettore AWS sia configurato correttamente.
    • Verifica che il deployment dello stack di modelli CloudFormation sia completo. È nell'account AWS deve essere CREATION_COMPLETE.