Nesta página, descrevemos como configurar e usar o serviço de avaliação de vulnerabilidades da Amazon Web Services (AWS).
Antes de começar
Para ativar a avaliação de vulnerabilidades do serviço da AWS, você precisa de determinadas permissões do IAM, e o Security Command Center precisa estar conectado à AWS.
Papéis e permissões
Para concluir a configuração da avaliação de vulnerabilidades para o serviço da AWS, você precisa receber papéis com as permissões necessárias no Google Cloud e na AWS.
Papéis do Google Cloud
Verifique se você tem os seguintes papéis na organização:
Security Center
Admin Editor (roles/securitycenter.adminEditor
)
Verificar os papéis
-
No console do Google Cloud, abra a página IAM.
Acessar IAM - Selecionar uma organização.
-
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.
Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
- Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.
Conceder os papéis
-
No console do Google Cloud, abra a página IAM.
Acesse o IAM - Selecionar uma organização.
- Clique em CONCEDER ACESSO.
- No campo Novos participantes, digite seu endereço de e-mail.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Save.
Papéis da AWS
Na AWS, um usuário administrativo da AWS precisa criar a conta da AWS necessária para ativar as verificações.
Para criar um papel de avaliação de vulnerabilidades na AWS, siga estas etapas:
- Usando uma conta de usuário administrativo da AWS, acesse a página Papéis do IAM no Console de Gerenciamento da AWS.
- Selecione
lambda
no menuService or Use Case
. Adicione as seguintes políticas de permissão:
AmazonSSMManagedInstanceCore
AWSLambdaBasicExecutionRole
AWSLambdaVPCAccessExecutionRole
Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissões:
- Abra a página a seguir e copie a política: Política de papéis para avaliação de vulnerabilidades da AWS.
- No Editor do JSON, cole a política.
- Especifique um nome para a política.
- Salve a política.
Abra a guia Relacionamentos de confiança.
Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instrução atual:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Salve o papel.
Você atribui esse papel mais tarde ao instalar o modelo CloudFormation na AWS.
Confirme se o Security Command Center está conectado à AWS
A avaliação de vulnerabilidades do serviço da AWS requer acesso ao inventário de recursos da AWS que o Inventário de recursos do Cloud mantém quando o Security Command Center está conectado à AWS para detecção de vulnerabilidades.
Se uma conexão ainda não tiver sido estabelecida, você precisará configurar uma ao ativar a avaliação de vulnerabilidades para o serviço da AWS.
Para configurar uma conexão, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Ativar a avaliação de vulnerabilidades da AWS
Para ativar a avaliação de vulnerabilidades para a AWS, você precisa criar um papel do IAM da AWS na plataforma da AWS, ativar a avaliação de vulnerabilidades para o serviço da AWS no Security Command Center e implantar um modelo CloudFormation na AWS.
Ativar a avaliação de vulnerabilidades para a AWS no Security Command Center
A avaliação de vulnerabilidades para a AWS precisa ser ativada no Google Cloud no nível da organização.
Acesse a página Configurações no Security Command Center:
Selecione a organização em que você precisa ativar a avaliação de vulnerabilidades para a AWS. A guia Serviços da página Configurações é aberta.
No card do serviço Avaliação de vulnerabilidades, clique em Gerenciar configurações. A página Avaliação de vulnerabilidades será aberta.
Selecione a guia AWS.
No campo Status em Ativação do serviço, selecione Ativar.
Em Conector da AWS, verifique o Status da conexão.
- Se o status da conexão for Configurada, prossiga para a próxima etapa.
- Se o status da conexão for Não configurada, antes de prosseguir para a próxima etapa, configure o conector clicando em Adicionar conector AWS. Para instruções, consulte Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco.
Em Configurações de verificação, clique em Fazer o download do modelo do CloudFormation. Será feito o download de um modelo JSON na estação de trabalho. É necessário implantar o modelo em cada conta da AWS em que você precisa verificar vulnerabilidades.
Implantar o modelo do AWS CloudFormation
- Acesse a página Modelo do AWS CloudFormation no AWS Management Console.
- Clique em Pilhas > Com novos recursos (padrão).
- Na página Criar pilha, selecione Escolher um modelo existente e Fazer upload de um arquivo de modelo para fazer o upload do modelo do CloudFormation.
- Depois que o upload for concluído, insira um nome de pilha exclusivo. Não modifique outros parâmetros no modelo.
- Selecione Especificar detalhes da pilha. A página Configurar opções da pilha é aberta.
- Em Permissões, selecione a
IAM Vulnerability Assessment Role
que você criou anteriormente. - Clique em Seguinte.
- Marque a caixa de confirmação.
- Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.
O status da implantação é exibido no console da AWS. Se ocorrer uma falha na implantação do modelo do CloudFormation, consulte Solução de problemas.
Depois que as verificações começarem a ser executadas, se alguma vulnerabilidade for detectada, as descobertas correspondentes serão geradas e exibidas na página Descobertas do Security Command Center no console do Google Cloud.
Analisar descobertas no console do Google Cloud
É possível conferir a avaliação de vulnerabilidades das descobertas da AWS no console do Google Cloud.
O papel mínimo do IAM necessário para visualizar as descobertas é
Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer
).
Para analisar a avaliação de vulnerabilidades das descobertas da AWS no console do Google Cloud, siga estas etapas:
Acesse a página Descobertas do Security Command Center:
Se necessário, selecione o projeto ou a organização do Google Cloud.
Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidade do EC2.
O painel Resultados da consulta de descobertas é atualizado para mostrar apenas a avaliação de vulnerabilidades das descobertas da AWS.
Para ver detalhes sobre uma descoberta específica, clique no nome da descoberta em Categoria. O painel de detalhes da descoberta é expandido para exibir um resumo dos detalhes da descoberta.
Desativar a avaliação de vulnerabilidades da AWS
Para desativar a avaliação de vulnerabilidades do serviço da AWS, você precisa desativá-la no Security Command Center e excluir a pilha que contém o modelo CloudFormation na AWS. Se a pilha não for excluída, ela continuará gerando custos no AWS.
Conclua as etapas a seguir para desativar a avaliação de vulnerabilidades para a AWS:
Acesse a página Configurações no Security Command Center:
Selecione a organização em que você precisa ativar a avaliação de vulnerabilidades para a AWS. A guia Serviços da página Configurações é aberta.
No card do serviço Avaliação de vulnerabilidades, clique em Gerenciar configurações.
No campo Status, em Ativação do serviço, selecione Desativar.
Acesse a página Modelo do AWS CloudFormation no AWS Management Console.
Exclua a pilha que contém o modelo CloudFormation para avaliação de vulnerabilidades da AWS.
Se não for excluído, você poderá ter custos desnecessários.
Solução de problemas
Se você ativou a avaliação de vulnerabilidades para o serviço da AWS, mas as verificações não estão em execução, verifique o seguinte:
- Verifique se o conector da AWS está configurado corretamente.
- Confirme se a pilha de modelos do CloudFormation foi totalmente implantada. O status na conta da AWS precisa ser
CREATION_COMPLETE
.