Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio

Puoi collegare il livello Security Command Center Enterprise al tuo ambiente Amazon Web Services (AWS) per eseguire le seguenti operazioni:

  • Rileva ed elimina le vulnerabilità e le configurazioni errate del software nel tuo ambiente AWS
  • Crea e gestisci una security posture per AWS
  • Identifica i potenziali percorsi di attacco dalla rete internet pubblica alle tue risorse AWS di alto valore
  • Mappa la conformità delle risorse AWS a vari standard e benchmark

La connessione di Security Command Center ad AWS consente al tuo team di operazioni di sicurezza di gestire e correggere minacce e vulnerabilità su Google Cloud e AWS in un unico posto.

Per consentire a Security Command Center di monitorare la tua organizzazione AWS, devi configurare una connessione utilizzando un agente di servizio Google Cloud e un account AWS che abbia accesso alle risorse che vuoi monitorare. Security Command Center utilizza questa connessione per raccogliere periodicamente i dati di tutti gli account e le regioni AWS che definisci.

Puoi creare una connessione AWS per ogni organizzazione Google Cloud. Il connettore utilizza le chiamate API per raccogliere i dati delle risorse AWS. Per queste chiamate API potrebbero essere applicati costi AWS.

Questo documento descrive come configurare la connessione con AWS. Quando configuri una connessione, devi configurare quanto segue:

  • Una serie di account in AWS che hanno accesso diretto alle risorse AWS da monitorare. Nella console Google Cloud, questi account sono chiamati account collector.
  • Un account AWS con i policy e i ruoli appropriati per consentire l'autenticazione agli account raccoglitore. Nella console Google Cloud, questo account è chiamato account delegato. Sia l'account delegato sia gli account collector devono trovarsi nella stessa organizzazione AWS.
  • Un agente di servizio in Google Cloud che si connette all'account delegato per l'autenticazione.
  • Una pipeline per raccogliere i dati delle risorse dalle risorse AWS.
  • (Facoltativo) Autorizzazioni per consentire a Sensitive Data Protection di profilare i tuoi contenuti AWS.

Questa connessione non si applica alle funzionalità SIEM di Security Command Center che ti consentono di importare i log AWS per il rilevamento delle minacce.

Il seguente diagramma mostra questa configurazione. Il progetto tenant è un progetto che viene creato automaticamente e contiene l'istanza della pipeline di raccolta dei dati degli asset.

Configurazione di AWS e Security Command Center.

Prima di iniziare

Completa queste attività prima di completare le restanti attività in questa pagina.

Attiva il livello Security Command Center Enterprise

Completa il passaggio 1 e il passaggio 2 della guida alla configurazione per attivare il livello Security Command Center Enterprise.

Configurare le autorizzazioni

Per ottenere le autorizzazioni necessarie per utilizzare il connettore AWS, chiedi all'amministratore di concederti il ruolo IAM Proprietario asset cloud (roles/cloudasset.owner). Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare account AWS

Assicurati di aver creato le seguenti risorse AWS:

Configura il connettore AWS

  1. Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.

    Vai alla Guida alla configurazione

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida alla configurazione.

  3. Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.

  4. Seleziona Aggiungi connettore > Amazon Web Services. Si apre la pagina Configura connettore.

  5. In ID account delegato, inserisci l'ID account AWS per l'account AWS che puoi utilizzare come account delegato.

  6. Per consentire a Sensitive Data Protection di profilare i tuoi dati AWS, mantieni selezionata l'opzione Concedi le autorizzazioni per il rilevamento Sensitive Data Protection. Questa opzione aggiunge le autorizzazioni AWS IAM nel modello CloudFormation per il ruolo del raccoltore.

    Autorizzazioni AWS IAM concesse da questa opzione

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet
  7. Se vuoi, controlla e modifica le Opzioni avanzate. Per informazioni su opzioni aggiuntive, consulta Personalizzare la configurazione del connettore AWS.

  8. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  9. Completa una delle seguenti operazioni:

    • Scarica ed esamina i modelli CloudFormation per il ruolo delegato e per il ruolo del raccoglitore.
    • Se hai configurato le opzioni avanzate o devi modificare i nomi dei ruoli AWS predefiniti (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), seleziona Configura manualmente gli account AWS. Copia l'ID agente di servizio, il nome del ruolo delegato, il nome del ruolo del raccoglitore e il nome del ruolo del raccoglitore Sensitive Data Protection.

    Non puoi modificare i nomi dei ruoli dopo aver creato la connessione.

Non fare clic su Crea. Al contrario, configura il tuo ambiente AWS.

Configurare l'ambiente AWS

Puoi configurare il tuo ambiente AWS utilizzando uno dei seguenti metodi:

Utilizzare i modelli CloudFormation per configurare l'ambiente AWS

Se hai scaricato i modelli CloudFormation, segui questi passaggi per configurare il tuo ambiente AWS.

  1. Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS collector (ovvero un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato).
  2. Vai alla console Modello AWS CloudFormation.
  3. Crea uno stack che esegue il provisioning del ruolo del delegato:

    1. Nella pagina Serie, fai clic su Crea serie > Con nuove risorse (standard).
    2. Quando specifichi un modello, carica il file del modello del ruolo delegato.
    3. Quando specifichi i dettagli dello stack, inserisci un nome dello stack.
    4. Se hai modificato il nome del ruolo delegato, del ruolo del raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri inseriti devono corrispondere a quelli elencati nella pagina Connetti a AWS della console Google Cloud.

    5. Aggiorna le opzioni dello stack in base alle esigenze della tua organizzazione.

    6. Nella pagina Esamina e crea, seleziona Sono consapevole che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati.

    7. Fai clic su Invia per creare la serie.

    Attendi la creazione dello stack. Se si verifica un problema, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta Creare uno stack nella console AWS CloudFormation nella documentazione di AWS.

  4. Crea un set di stack che esegue il provisioning dei ruoli di raccoglitore.

    1. Nella pagina StackSet, fai clic su Crea StackSet.
    2. Fai clic su Autorizzazioni gestite dal servizio.

    3. Quando specifichi un modello, carica il file del modello del ruolo del raccoglitore.

    4. Quando specifichi i dettagli di StackSet, inserisci un nome e una descrizione per lo stack set.

    5. Inserisci l'ID account delegato.

    6. Se hai modificato il nome del ruolo delegato, del ruolo del raccoglitore o del ruolo Sensitive Data Protection, aggiorna i parametri di conseguenza. I parametri inseriti devono corrispondere a quelli elencati nella pagina Connetti a AWS della console Google Cloud.

    7. In base alle esigenze della tua organizzazione, configura le opzioni del set di stack.

    8. Quando specifichi le opzioni di deployment, scegli le destinazioni di deployment. Puoi eseguire il deployment nell'intera organizzazione AWS o in un'unità organizzativa (UO) che includa tutti gli account AWS da cui vuoi raccogliere i dati.

    9. Specifica le regioni AWS in cui creare i ruoli e i criteri. Poiché i ruoli sono risorse globali, non è necessario specificare più regioni.

    10. Se necessario, modifica altre impostazioni.

    11. Rivedi le modifiche e fai clic su Invia per creare l'insieme di stack. Se ricevi un messaggio di errore, consulta la sezione Risoluzione dei problemi. Per saperne di più, consulta Creare un set di stack con autorizzazioni gestite dal servizio nella documentazione di AWS.

  5. Se devi raccogliere i dati dall'account di gestione, accedi all'account di gestione e esegui il deployment di uno stack separato per eseguire il provisioning dei ruoli del raccoglitore. Quando specifichi il modello, carica il file del modello del ruolo del raccoglitore.

    Questo passaggio è necessario perché gli insiemi di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per ulteriori informazioni, consulta DeploymentTargets nella documentazione di AWS.

Per completare la procedura di integrazione, consulta Completare la procedura di integrazione.

Configura manualmente gli account AWS

Se non puoi utilizzare i modelli CloudFormation (ad esempio, utilizzi nomi di ruolo diversi o personalizzi l'integrazione), puoi creare manualmente i criteri e i ruoli IAM AWS richiesti.

Devi creare criteri e ruoli IAM AWS per l'account delegato e per gli account raccoglitore.

Crea il criterio AWS IAM per il ruolo delegato

Per creare un criterio AWS IAM per il ruolo delegato (un criterio delegato), segui questi passaggi:

  1. Accedi alla console dell'account delegato AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla una delle seguenti stringhe, a seconda che tu abbia selezionato o meno la casella di controllo Concede autorizzazioni per il rilevamento di Sensitive Data Protection in Configura Security Command Center.

    Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: selezionata

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List*",
                  "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
          }
      ]
    }
    

    Sostituisci COLLECTOR_ROLE_NAME con il nome del ruolo del raccoltore che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-collector-role).

    Concedi le autorizzazioni per il rilevamento di Sensitive Data Protection: selezionato

        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Resource": [
                "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
                "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
              ],
              "Effect": "Allow"
            },
            {
              "Action": [
                "organizations:List*",
                "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        }
        

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del ruolo del raccoglie dati di configurazione che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo del raccoglitore Sensitive Data Protection che hai copiato durante la configurazione di Security Command Center (il valore predefinito è aws-sensitive-data-protection-role).
  4. Fai clic su Avanti.

  5. Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.

  6. Fai clic su Crea criterio.

Crea un ruolo IAM AWS per la relazione di attendibilità tra AWS e Google Cloud

Crea un ruolo delegato che configuri una relazione attendibile tra AWS e Google Cloud. Questo ruolo utilizza il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato.

  1. Accedi alla console dell'account delegato AWS come utente AWS che può creare criteri e ruoli IAM.

  2. Fai clic su Ruoli > Crea ruolo.

  3. In Tipo di entità attendibile, fai clic su Identità web.

  4. In Provider di identità, fai clic su Google.

  5. In Pubblico, inserisci l'ID agente di servizio che hai copiato quando hai configurato Security Command Center. Fai clic su Avanti.

  6. Per concedere al ruolo delegato l'accesso ai ruoli del raccoglitore, allega al ruolo le policy di autorizzazione. Cerca il criterio delegato creato in Creare il criterio AWS IAM per il ruolo delegato e selezionalo.

  7. Nella sezione Dettagli ruolo, inserisci il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center (il nome predefinito è aws-delegated-role).

  8. Fai clic su Crea ruolo.

Crea il criterio AWS IAM per la raccolta dei dati di configurazione degli asset

Per creare un criterio AWS IAM per la raccolta dei dati di configurazione delle risorse (un criterio di raccolta), svolgi i seguenti passaggi:

  1. Accedi alla console dell'account del raccoglitore AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla quanto segue:

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "ce:GetCostAndUsage",
                  "dynamodb:DescribeTableReplicaAutoScaling",
                  "identitystore:ListGroupMemberships",
                  "identitystore:ListGroups",
                  "identitystore:ListUsers",
                  "lambda:GetFunction",
                  "lambda:GetFunctionConcurrency",
                  "logs:ListTagsForResource",
                  "s3express:GetBucketPolicy",
                  "s3express:ListAllMyDirectoryBuckets",
                  "wafv2:GetIPSet"
              ],
              "Resource": [
                  "*"
              ]
          },
          {
              "Effect": "Allow",
              "Action": [
                  "apigateway:GET"
              ],
              "Resource": [
                  "arn:aws:apigateway:*::/usageplans",
                  "arn:aws:apigateway:*::/usageplans/*/keys",
                  "arn:aws:apigateway:*::/vpclinks/*"
              ]
          }
      ]
    
    }
    
  4. Fai clic su Avanti.

  5. Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.

  6. Fai clic su Crea criterio.

  7. Ripeti questi passaggi per ogni account del raccoglitore.

Crea il ruolo AWS IAM per la raccolta dei dati di configurazione degli asset in ogni account

Crea il ruolo del raccoglitore che consente a Security Command Center di recuperare i dati di configurazione degli asset da AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Creare il criterio AWS IAM per la raccolta dei dati di configurazione delle risorse.

  1. Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Norma di attendibilità personalizzata.

  4. Nella sezione Norme di attendibilità personalizzate, incolla quanto segue:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    

    Sostituisci quanto segue:

    • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato
    • DELEGATE_ACCOUNT_ROLE: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center.
  5. Per concedere a questo ruolo di raccoglitore l'accesso ai dati di configurazione delle risorse AWS, collega i criteri di autorizzazione al ruolo. Cerca il criterio del collector personalizzato creato in Creare il criterio IAM AWS per la raccolta dei dati di configurazione degli asset e selezionalo.

  6. Cerca e seleziona i seguenti criteri gestiti:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit
  7. Nella sezione Dettagli del ruolo, inserisci il nome del ruolo del raccoglitore dei dati di configurazione che hai copiato quando hai configurato Security Command Center.

  8. Fai clic su Crea ruolo.

  9. Ripeti questi passaggi per ogni account del raccoglitore.

Se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center, vai alla sezione successiva.

Se non hai attivato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection, completa la procedura di integrazione.

Crea il criterio AWS IAM per Sensitive Data Protection

Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center.

Per creare un criterio AWS IAM per la protezione dei dati sensibili (un criterio di raccolta), svolgi i seguenti passaggi:

  1. Accedi alla console dell'account del raccoglitore AWS.

  2. Fai clic su Criteri > Crea criterio.

  3. Fai clic su JSON e incolla quanto segue:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:GetBucketPolicyStatus",
            "s3:ListBucket",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetBucketOwnershipControls",
            "s3:GetBucketTagging"
          ],
          "Resource": ["arn:aws:s3:::*"]
        },
        {
          "Effect": "Allow",
          "Action": [
            "iam:ListAttachedRolePolicies",
            "iam:GetPolicy",
            "iam:GetPolicyVersion",
            "iam:ListRolePolicies",
            "iam:GetRolePolicy",
            "ce:GetCostAndUsage",
            "dynamodb:DescribeTableReplicaAutoScaling",
            "identitystore:ListGroupMemberships",
            "identitystore:ListGroups",
            "identitystore:ListUsers",
            "lambda:GetFunction",
            "lambda:GetFunctionConcurrency",
            "logs:ListTagsForResource",
            "s3express:GetBucketPolicy",
            "s3express:ListAllMyDirectoryBuckets",
            "wafv2:GetIPSet"
          ],
          "Resource": ["*"]
        },
        {
          "Effect": "Allow",
          "Action": [
              "s3express:CreateSession"
          ],
          "Resource": ["arn:aws:s3express:*:*:bucket/*"]
        }
      ]
    }
    
  4. Fai clic su Avanti.

  5. Nella sezione Dettagli criterio, inserisci un nome e una descrizione per il criterio.

  6. Fai clic su Crea criterio.

  7. Ripeti questi passaggi per ogni account del raccoglitore.

Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account

Completa questi passaggi se hai selezionato la casella di controllo Concedi le autorizzazioni per il rilevamento Sensitive Data Protection in Configura Security Command Center.

Crea il ruolo del raccoglitore che consente a Sensitive Data Protection di profilare i contenuti delle tue risorse AWS. Questo ruolo utilizza il criterio del raccoglitore creato in Creare il criterio AWS IAM per Sensitive Data Protection.

  1. Accedi alla console dell'account collector AWS come utente che può creare ruoli IAM per gli account collector.

  2. Fai clic su Ruoli > Crea ruolo.

  3. Per Tipo di entità attendibile, fai clic su Norma di attendibilità personalizzata.

  4. Nella sezione Norme di attendibilità personalizzate, incolla quanto segue:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
          },
          "Action": "sts:AssumeRole"
        }
      ]
    }
    

    Sostituisci quanto segue:

    • DELEGATE_ACCOUNT_ID: l'ID account AWS per l'account delegato
    • DELEGATE_ACCOUNT_ROLE: il nome del ruolo delegato che hai copiato quando hai configurato Security Command Center
  5. Per concedere a questo ruolo di raccoglitore l'accesso ai contenuti delle tue risorse AWS, collega i criteri di autorizzazione al ruolo. Cerca il criterio del raccoltore personalizzato creato in Creare il criterio IAM AWS per la protezione dei dati sensibili e selezionalo.

  6. Nella sezione Dettagli ruolo, inserisci il nome del ruolo per Sensitive Data Protection che hai copiato quando hai configurato Security Command Center.

  7. Fai clic su Crea ruolo.

  8. Ripeti questi passaggi per ogni account del raccoglitore.

Per completare la procedura di integrazione, consulta Completare la procedura di integrazione.

Completa la procedura di integrazione

  1. Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore per verificare che Security Command Center possa connettersi al tuo ambiente AWS. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli del raccoglitore. Se la connessione non va a buon fine, consulta la sezione Risolvere i problemi relativi ai test di connessione.

  2. Fai clic su Crea.

Personalizzare la configurazione del connettore AWS

Questa sezione descrive alcuni dei modi in cui puoi personalizzare la connessione tra Security Command Center e AWS. Queste opzioni sono disponibili nella sezione Opzioni avanzate (facoltative) della pagina Aggiungi connettore Amazon Web Services nella console Google Cloud.

Per impostazione predefinita, Security Command Center rileva automaticamente i tuoi account AWS in tutte le regioni AWS. La connessione utilizza l'endpoint globale predefinito per il servizio token di sicurezza AWS e il numero di query al secondo (QPS) predefinito per il servizio AWS che stai monitorando. Queste opzioni avanzate ti consentono di personalizzare le impostazioni predefinite.

Opzione Descrizione
Aggiungi account connettore AWS Seleziona il campo Aggiungi account automaticamente (opzione consigliata) per consentire a Security Command Center di rilevare automaticamente gli account AWS oppure seleziona Aggiungi account singolarmente e fornisci un elenco di account AWS che Security Command Center può utilizzare per trovare le risorse.
Escludi account connettore AWS Se hai selezionato il campo Aggiungi account singolarmente nella sezione Aggiungi account connettore AWS, fornisci un elenco di account AWS che Security Command Center non deve utilizzare per trovare le risorse.
Seleziona le regioni in cui raccogliere i dati Seleziona una o più regioni AWS da cui Security Command Center deve raccogliere i dati. Lascia vuoto il campo Regioni AWS per raccogliere i dati da tutte le regioni.
Numero massimo di query al secondo (QPS) per i servizi AWS Puoi modificare la QPS per controllare il limite di quota per Security Command Center. Imposta l'override su un valore inferiore al valore predefinito per il servizio e maggiore o uguale a 1. Il valore predefinito è il valore massimo. Se modifichi la QPS, Security Command Center potrebbe riscontrare problemi di recupero dei dati. Pertanto, sconsigliamo di modificare questo valore.
Endpoint per il servizio token di sicurezza AWS Puoi specificare un endpoint specifico per il servizio token di sicurezza AWS (ad esempio https://sts.us-east-2.amazonaws.com). Lascia vuoto il campo Servizio token di sicurezza AWS per utilizzare l'endpoint globale predefinito (https://sts.amazonaws.com).

Concedi le autorizzazioni per il rilevamento dei dati sensibili a un connettore AWS esistente

Per eseguire il rilevamento dei dati sensibili nei tuoi contenuti AWS, devi disporre di un connettore AWS con le autorizzazioni IAM AWS obbligatorie.

Questa sezione descrive come concedere queste autorizzazioni a un connettore AWS esistente. I passaggi da seguire dipendono dal fatto che tu abbia configurato il tuo ambiente AWS utilizzando i modelli CloudFormation o manualmente.

Aggiornare un connettore esistente utilizzando i modelli CloudFormation

Se configuri il tuo ambiente AWS utilizzando i modelli CloudFormation, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il tuo connettore AWS esistente.

  1. Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.

    Vai alla Guida alla configurazione

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida alla configurazione.

  3. Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.

  4. Per il connettore AWS, fai clic su Altro > Modifica.

  5. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  6. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  7. Fai clic su Scarica modello del ruolo delegato. Il modello viene scaricato sul computer.

  8. Fai clic su Scarica modello del ruolo raccoglitore. Il modello viene scaricato sul computer.

  9. Fai clic su Continua. Si apre la pagina Testa connettore. Non testare ancora il connettore.

  10. Nella console CloudFormation, aggiorna il modello di stack per il ruolo delegato:

    1. Accedi alla console dell'account delegato AWS. Assicurati di aver eseguito l'accesso all'account delegato utilizzato per assumere altri account AWS collector.
    2. Vai alla console AWS CloudFormation.
    3. Sostituisci il modello di stack per il ruolo delegato con il modello di ruolo delegato aggiornato che hai scaricato.

      Per ulteriori informazioni, consulta Aggiornare il modello di uno stack (console) nella documentazione di AWS.

  11. Aggiorna l'insieme di stack per il ruolo del raccoglitore:

    1. Utilizzando un account di gestione AWS o qualsiasi account membro registrato come amministratore delegato, vai alla console AWS CloudFormation.
    2. Sostituisci il modello di set di stack per il ruolo del raccoglitore con il modello di ruolo del raccoglitore aggiornato che hai scaricato.

      Per ulteriori informazioni, consulta Aggiornare l'insieme di stack utilizzando la console AWS CloudFormation nella documentazione di AWS.

  12. Se devi raccogliere i dati dall'account di gestione, accedi all'account di gestione e sostituisci il modello nello schema del raccoglitore con il modello di ruolo del raccoglitore aggiornato che hai scaricato.

    Questo passaggio è necessario perché gli insiemi di stack AWS CloudFormation non creano istanze di stack negli account di gestione. Per ulteriori informazioni, consulta DeploymentTargets nella documentazione di AWS.

  13. Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di gatherer. Se la connessione non va a buon fine, consulta Risolvere i problemi di connessione durante il test.

  14. Fai clic su Salva.

Aggiornare manualmente un connettore esistente

Se hai configurato manualmente i tuoi account AWS quando hai creato il connettore AWS, segui questi passaggi per concedere le autorizzazioni di rilevamento dei dati sensibili per il connettore AWS esistente.

  1. Nella console Google Cloud, vai alla pagina Guida alla configurazione di Security Command Center.

    Vai alla Guida alla configurazione

  2. Seleziona l'organizzazione in cui hai attivato il livello Security Command Center Enterprise. Si apre la pagina Guida alla configurazione.

  3. Fai clic su Passaggio 3: configura l'integrazione con Amazon Web Services (AWS). Viene visualizzata la pagina Connettori.

  4. Per il connettore AWS, fai clic su Altro > Modifica.

  5. Nella sezione Esamina i tipi di dati, seleziona Concedi le autorizzazioni per il rilevamento Sensitive Data Protection.

  6. Fai clic su Continua. Si apre la pagina Connettiti ad AWS.

  7. Fai clic su Configura manualmente gli account AWS (consigliato se utilizzi impostazioni avanzate o nomi ruolo personalizzati).

  8. Copia i valori dei seguenti campi:

    • Nome del ruolo delegato
    • Nome del ruolo del raccoglitore
    • Nome del ruolo del raccoglitore Sensitive Data Protection
  9. Fai clic su Continua. Si apre la pagina Testa connettore. Non testare ancora il connettore.

  10. Nella console dell'account delegato AWS, aggiorna il criterio AWS IAM per il ruolo delegato in modo da utilizzare il seguente JSON:

        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Resource": [
                "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
                "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
              ],
              "Effect": "Allow"
            },
            {
              "Action": [
                "organizations:List*",
                "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        }
        

    Sostituisci quanto segue:

    • COLLECTOR_ROLE_NAME: il nome del ruolo del raccoglie dati di configurazione che hai copiato (il valore predefinito è aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: il nome del ruolo del raccoglitore Sensitive Data Protection che hai copiato (il valore predefinito è aws-sensitive-data-protection-role)

    Per ulteriori informazioni, consulta Modificare i criteri gestiti dal cliente (console) nella documentazione di AWS.

  11. Per ogni account del raccoglitore, svolgi le seguenti procedure:

    1. Crea il criterio AWS IAM per la protezione dei dati sensibili.

    2. Crea il ruolo AWS IAM per Sensitive Data Protection in ogni account.

  12. Nella console Google Cloud, nella pagina Test connettore, fai clic su Test connettore. Se la connessione viene stabilita, il test ha stabilito che il ruolo delegato dispone di tutte le autorizzazioni necessarie per assumere i ruoli di gatherer. Se la connessione non va a buon fine, consulta Risolvere i problemi di connessione durante il test.

  13. Fai clic su Salva.

Risoluzione dei problemi

Questa sezione include alcuni problemi comuni che potresti riscontrare durante l'integrazione di Security Command Center con AWS.

Le risorse esistono già

Questo errore si verifica nell'ambiente AWS quando provi a creare i criteri IAM AWS e i ruoli IAM AWS. Questo problema si verifica quando il ruolo esiste già nel tuo account AWS e stai tentando di crearlo di nuovo.

Per risolvere il problema:

  • Verifica se il ruolo o il criterio che stai creando esiste già e soddisfa i requisiti elencati in questa guida.
  • Se necessario, modifica il nome del ruolo per evitare conflitti.

Principale non valido nel criterio

Questo errore può verificarsi nell'ambiente AWS quando crei i ruoli del collector, ma il ruolo del delegato non esiste ancora.

Per risolvere il problema, completa i passaggi descritti in Creare il criterio AWS IAM per il ruolo delegato e attendi che il ruolo delegato sia creato prima di continuare.

Limitazioni del throttling in AWS

AWS limita le richieste API per ogni account AWS su base account o regione. Per garantire che questi limiti non vengano superati quando Security Command Center raccoglie i dati di configurazione delle risorse da AWS, li raccoglie a una QPS massima fissa per ogni servizio AWS, come descritto nella documentazione dell'API per il servizio AWS.

Se si verifica il throttling delle richieste nel tuo ambiente AWS a causa del QPS consumato, puoi attenuare il problema completando quanto segue:

  • Nella pagina Impostazioni del connettore AWS, imposta un QPS personalizzato per il servizio AWS che presenta problemi di throttling delle richieste.

  • Limita le autorizzazioni del ruolo del raccoglitore AWS in modo che i dati di quel servizio specifico non vengano più raccolti. Questa tecnica di mitigazione impedisce il corretto funzionamento delle simulazioni dei percorsi di attacco per AWS.

La revoca di tutte le autorizzazioni in AWS interrompe immediatamente il processo del raccoglitore dei dati. L'eliminazione del connettore AWS non interrompe immediatamente il processo del raccoltore dei dati, ma non verrà riavviato al termine.

Risolvere gli errori durante il test della connessione

Questi errori possono verificarsi quando testi la connessione tra Security Command Center e AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

La connessione non è valida perché l'agente di servizio Google Cloud non può assumere il ruolo delegato.

Per risolvere il problema, tieni presente quanto segue:

AWS_FAILED_TO_LIST_ACCOUNTS

La connessione non è valida perché il rilevamento automatico è abilitato e il ruolo delegato non può recuperare tutti gli account AWS nelle organizzazioni.

Questo problema indica che il criterio per consentire l'azione organizations:ListAccounts sul ruolo delegato non è presente in determinate risorse. Per risolvere il problema, verifica quali risorse mancano. Per verificare le impostazioni per il criterio delegato, consulta Creare il criterio AWS IAM per il ruolo delegato.

AWS_INVALID_COLLECTOR_ACCOUNTS

La connessione non è valida perché esistono account del raccoglitore non validi. Il messaggio di errore include ulteriori informazioni sulle possibili cause, tra cui:

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

L'account del raccoglitore non è valido perché il ruolo delegato non può assumere il ruolo del raccoglitore nell'account del raccoglitore.

Per risolvere il problema, tieni presente quanto segue:

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

La connessione non è valida perché le norme del raccoglitore non contengono alcune delle impostazioni di autorizzazione richieste.

Per risolvere il problema, tieni presente le seguenti cause:

Passaggi successivi