Abilita e utilizza Valutazione delle vulnerabilità per AWS

Questa pagina descrive come configurare e utilizzare il servizio Valutazione delle vulnerabilità per Amazon Web Services (AWS).

Prima di iniziare

Per abilitare la valutazione delle vulnerabilità per il servizio AWS, sono necessarie determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio Valutazione delle vulnerabilità per AWS, devi disporre dei ruoli con le autorizzazioni necessarie sia in Google Cloud che in AWS.

Ruoli Google Cloud

Assicurati di disporre dei seguenti ruoli nell'organizzazione: Security Center Admin Editor (roles/securitycenter.adminEditor)

Verifica i ruoli

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

    Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

  4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

Concedi i ruoli

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.
  4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
  5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
  7. Fai clic su Salva.

Ruoli AWS

In AWS, un utente amministrativo AWS deve creare l'account AWS necessario per abilitare le scansioni.

Per creare un ruolo Valutazione delle vulnerabilità in AWS, segui questi passaggi:

  1. Utilizzando un account utente amministrativo AWS, vai alla pagina Ruoli IAM nella console di gestione AWS.
  2. Seleziona lambda dal menu Service or Use Case.
  3. Aggiungi i seguenti criteri di autorizzazione:

    • AmazonSSMManagedInstanceCore
    • AWSLambdaBasicExecutionRole
    • AWSLambdaVPCAccessExecutionRole
  4. Fai clic su Aggiungi autorizzazione > Crea criterio incorporato per creare un nuovo criterio di autorizzazione:

    1. Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per AWS.
    2. Incolla il criterio nell'Editor JSON.
    3. Specifica un nome per il criterio.
    4. Salva il criterio.
  5. Apri la scheda Relazioni di attendibilità.

  6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi array di istruzioni esistente:

    {
      "Version": "2012-10-17",
      "Statement": [
         {
               "Sid": "Statement1 or replace with a unique statementId",
               "Effect": "Allow",
               "Principal": {
                  "Service": "cloudformation.amazonaws.com"
               },
               "Action": "sts:AssumeRole"
         }
      ]
    }
    
  7. Salva il ruolo.

Assegnerai questo ruolo in un secondo momento, quando installi il modello CloudFormation su AWS.

Verifica che Security Command Center sia connesso ad AWS

Il servizio Valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS gestite da Cloud Asset Inventory quando Security Command Center viene connesso ad AWS per il rilevamento delle vulnerabilità.

Se non è ancora stata stabilita una connessione, devi configurarne una quando abiliti il servizio Valutazione delle vulnerabilità per AWS.

Per configurare una connessione, consulta Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione dei rischi.

Abilita la valutazione delle vulnerabilità per AWS

Per abilitare la valutazione delle vulnerabilità per AWS, devi creare un ruolo AWS IAM sulla piattaforma AWS, abilitare il servizio Valutazione delle vulnerabilità per AWS in Security Command Center, quindi eseguire il deployment di un modello CloudFormation su AWS.

Abilita la valutazione delle vulnerabilità per AWS in Security Command Center

La valutazione delle vulnerabilità per AWS deve essere abilitata su Google Cloud a livello di organizzazione.

  1. Vai alla pagina Impostazioni in Security Command Center:

    Vai alle impostazioni

  2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

  3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni. Si apre la pagina Valutazione della vulnerabilità.

  4. Seleziona la scheda AWS.

  5. Nel campo Stato in Attivazione del servizio, seleziona Abilita.

  6. In Connettore AWS, controlla lo Stato della connessione.

  7. In Impostazioni scansione, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla workstation. Devi eseguire il deployment del modello in ogni account AWS di cui eseguire la scansione per rilevare le vulnerabilità.

Esegui il deployment del modello AWS CloudFormation

  1. Vai alla pagina Modello CloudFormation AWS nella console di gestione AWS.
  2. Fai clic su Impilati > Con nuove risorse (standard).
  3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
  4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare gli altri parametri nel modello.
  5. Seleziona Specifica i dettagli dello stack. Viene visualizzata la pagina Configura le opzioni dello stack.
  6. In Autorizzazioni, seleziona la IAM Vulnerability Assessment Role che hai creato in precedenza.
  7. Fai clic su Avanti.
  8. Seleziona la casella per l'accettazione.
  9. Fai clic su Invia per eseguire il deployment del modello. L'esecuzione dello stack richiede alcuni minuti.

Lo stato del deployment viene visualizzato nella console AWS. Se il deployment del modello CloudFormation non riesce, consulta Risoluzione dei problemi.

Dopo l'avvio delle scansioni, se vengono rilevate delle vulnerabilità, i risultati corrispondenti vengono generati e visualizzati nella pagina Risultati di Security Command Center nella console Google Cloud.

Esamina i risultati nella console Google Cloud

Puoi visualizzare la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud. Il ruolo IAM minimo necessario per visualizzare i risultati è Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

Per esaminare la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud, segui questi passaggi:

  1. Vai alla pagina Risultati di Security Command Center:

    Vai a Risultati

  2. Se necessario, seleziona il progetto o l'organizzazione Google Cloud.

    Selettore progetti

  3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità EC2.

    Il riquadro Risultati query dei risultati viene aggiornato per mostrare solo la valutazione delle vulnerabilità per i risultati di AWS.

  4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in Categoria. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.

Disabilita la valutazione delle vulnerabilità per AWS

Per disabilitare il servizio Valutazione delle vulnerabilità per AWS, devi disabilitarlo in Security Command Center, quindi eliminare lo stack che contiene il modello CloudFormation in AWS. Se lo stack non viene eliminato, continuerà a comportare costi in AWS.

Completa i seguenti passaggi per disabilitare la valutazione delle vulnerabilità per AWS:

  1. Vai alla pagina Impostazioni in Security Command Center:

    Vai alle impostazioni

  2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

  3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni.

  4. Nel campo Stato in Attivazione del servizio, seleziona Disattiva.

  5. Vai alla pagina Modello CloudFormation AWS nella console di gestione AWS.

  6. Elimina lo stack che contiene il modello CloudFormation per la valutazione delle vulnerabilità per AWS.

    Se non vengono eliminate, potrebbero essere addebitati costi inutili.

Risoluzione dei problemi

Se hai abilitato il servizio Valutazione delle vulnerabilità per AWS, ma le analisi non vengono eseguite, verifica quanto segue:

  • Verifica che il connettore AWS sia configurato correttamente.
  • Verifica che il deployment dello stack di modelli CloudFormation sia completo. Il suo stato nell'account AWS dovrebbe essere CREATION_COMPLETE.