启用并使用 AWS 漏洞评估

本页面介绍了如何设置和使用 Amazon Web Services (AWS) 服务的漏洞评估。

准备工作

如需为 AWS 服务启用漏洞评估，您需要特定 IAM 权限，并且 Security Command Center 必须连接到 AWS。

角色与权限

如需完成 AWS 服务的漏洞评估设置，您需要获得在 Google Cloud 和 AWS 中拥有必要权限的角色。

Google Cloud 角色

确保您拥有组织的以下一个或多个角色： Security Center Admin Editor (roles/securitycenter.adminEditor)

检查角色

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM
2. 选择组织。

3. 在主账号列中，找到您的电子邮件地址所在的行。

   如果您的电子邮件地址不在此列，则表示您没有任何角色。

4. 在您的电子邮件地址所在的行对应的角色列中，检查角色列表是否包含所需的角色。

授予角色

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM
2. 选择组织。
3. 点击 person_add 授予访问权限。
4. 在新的主账号字段中，输入您的电子邮件地址。
5. 在选择角色列表中，选择一个角色。
6. 如需授予其他角色，请点击 add 添加其他角色，然后添加其他各个角色。
7. 点击 Save（保存）。

AWS 角色

在 AWS 中，AWS 管理员用户必须创建启用扫描所需的 AWS 帐号。

如需在 AWS 中创建漏洞评估角色，请按以下步骤操作：

1. 使用 AWS 管理员用户帐号，转到 AWS 管理控制台中的 IAM 角色页面。
2. 从 Service or Use Case 菜单中选择 lambda。

3. 添加以下权限政策：

   • AmazonSSMManagedInstanceCore
   • AWSLambdaBasicExecutionRole
   • AWSLambdaVPCAccessExecutionRole

4. 点击添加权限 > 创建内嵌政策以创建新的权限政策：

   1. 打开以下页面并复制政策：Role policy for Vulnerability Assessment for AWS。
   2. 在 JSON 编辑器中，粘贴政策。
   3. 指定政策的名称。
   4. 保存政策。

5. 打开 Trust Relationships（信任关系）标签页。

6. 粘贴以下 JSON 对象，将其添加到任何现有的语句数组：

   {
     "Version": "2012-10-17",
     "Statement": [
        {
              "Sid": "Statement1 or replace with a unique statementId",
              "Effect": "Allow",
              "Principal": {
                 "Service": "cloudformation.amazonaws.com"
              },
              "Action": "sts:AssumeRole"
        }
     ]
   }
   

7. 保存角色。

稍后在 AWS 上安装 CloudFormation 模板时需要分配此角色。

确认 Security Command Center 已连接到 AWS

AWS 服务的漏洞评估需要访问在 Security Command Center 连接到 AWS 以进行漏洞检测时 Cloud Asset Inventory 维护的 AWS 资源清单。

如果尚未建立连接，您需要在启用 AWS 服务的漏洞评估时设置连接。

如需设置连接，请参阅连接到 AWS 以进行漏洞检测和风险评估。

对 AWS 启用漏洞评估

如需为 AWS 启用漏洞评估，您需要在 AWS 平台上创建 AWS IAM 角色，在 Security Command Center 中为 AWS 服务启用漏洞评估，然后在 AWS 上部署 CloudFormation 模板。

在 Security Command Center 中为 AWS 启用漏洞评估

必须在 Google Cloud 的组织级层启用 AWS 漏洞评估。

1. 前往 Security Command Center 中的设置页面：

   转到“设置”

2. 选择需要为 AWS 启用漏洞评估的组织。系统会打开 Settings（设置）页面的 Services（服务）标签页。

3. 在漏洞评估服务卡片中，点击管理设置。此时将打开漏洞评估页面。

4. 选择 AWS 标签页。

5. 在服务启用下的状态字段中，选择启用。

6. 在 AWS 连接器下，检查连接状态。

   • 如果连接状态为已配置，请继续执行下一步。
   • 如果连接状态为 未配置，请在继续下一步之前点击添加 AWS 连接器来配置连接器。有关说明，请参阅连接到 AWS 以进行漏洞检测和风险评估。

7. 在扫描设置下，点击下载 CloudFormation 模板。 系统会将 JSON 模板下载到您的工作站。您需要在需要扫描漏洞的每个 AWS 帐号中部署模板。

部署 AWS CloudFormation 模板

1. 转到 AWS 管理控制台中的 AWS CloudFormation Template 页面。
2. 点击堆叠 > 包含新资源（标准）。
3. 在创建堆栈页面上，依次选择选择现有模板和上传模板文件，以上传 CloudFormation 模板。
4. 上传完成后，请输入唯一的堆叠名称。请勿修改模板中的任何其他参数。
5. 选择指定堆叠详情。系统随即会打开配置堆栈选项页面。
6. 在权限下，选择您之前创建的 IAM Vulnerability Assessment Role。
7. 点击下一步。
8. 勾选确认复选框。
9. 点击提交以部署模板。堆栈需要几分钟才能开始运行。

部署的状态会显示在 AWS 控制台中。如果 CloudFormation 模板部署失败，请参阅问题排查。

扫描开始运行后，如果检测到任何漏洞，系统会生成相应的发现结果，并将其显示在 Google Cloud 控制台的 Security Command Center 发现结果页面上。

在 Google Cloud 控制台中查看发现结果

您可以在 Google Cloud 控制台中查看 AWS 发现结果的漏洞评估。查看发现结果所需的最低 IAM 角色是 Security Center Findings Viewer (roles/securitycenter.findingsViewer)。

如需在 Google Cloud 控制台中查看 AWS 发现结果的漏洞评估，请按以下步骤操作：

1. 转到 Security Command Center 发现结果页面：

   转至“发现结果”

2. 如有必要，请选择您的 Google Cloud 项目或组织。

   

3. 在快速过滤条件部分的来源显示名称子部分中，选择 EC2 Vulnerability Assessment。

   Findings query results 面板已更新，以仅显示 AWS 发现结果的漏洞评估。

4. 如需查看特定发现结果的详细信息，请点击类别下的发现结果名称。发现结果详细信息面板会展开，以显示发现结果详情的摘要。

对 AWS 停用漏洞评估

如需停用 AWS 服务的漏洞评估，您需要在 Security Command Center 中将其停用，然后在 AWS 中删除包含 CloudFormation 模板的堆栈。如果不删除堆栈，它将继续在 AWS 中产生费用。

如需为 AWS 停用漏洞评估，请完成以下步骤：

1. 前往 Security Command Center 中的设置页面：

   转到“设置”

2. 选择需要为 AWS 启用漏洞评估的组织。系统会打开 Settings（设置）页面的 Services（服务）标签页。

3. 在漏洞评估服务卡片中，点击管理设置。

4. 在服务启用下的状态字段中，选择停用。

5. 转到 AWS 管理控制台中的 AWS CloudFormation Template 页面。

6. 删除包含适用于 AWS 漏洞评估的 CloudFormation 模板的堆栈。

   如果不删除，可能会产生不必要的费用。

问题排查

如果您为 AWS 服务启用了漏洞评估，但扫描未运行，请检查以下内容：

• 检查 AWS 连接器是否已正确设置。
• 确认 CloudFormation 模板堆栈已完全部署。它在 AWS 帐号中的状态应为 CREATION_COMPLETE。