Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie den Dienst „Vulnerability Assessment for Amazon Web Services (AWS)“ einrichten und verwenden.

Wenn Sie die Sicherheitslückenbewertung für AWS aktivieren möchten, müssen Sie eine AWS-IAM-Rolle auf der AWS-Plattform erstellen, den Dienst „Sicherheitslückenbewertung für AWS“ in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweise

Damit Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktivieren können, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Um die Einrichtung des Dienstes „Sicherheitslückenbewertung für AWS“ abzuschließen, müssen Ihnen Rollen mit den erforderlichen Berechtigungen sowohl inGoogle Cloud als auch in AWS zugewiesen werden.

Google Cloud -Rollen

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Zu IAM
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

  5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
  6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
  7. Klicken Sie auf Speichern.

    8. AWS-Rollen

    In AWS muss ein AWS-Administratornutzer das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen.

    So erstellen Sie eine Rolle für die Sicherheitslückenbewertung in AWS:

    1. Rufen Sie mit einem AWS-Administratorkonto in der AWS Management Console die Seite IAM Rollen auf.
    2. Wählen Sie im Menü Service oder Anwendungsfall die Option lambda aus.
    3. Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klicken Sie auf Berechtigung hinzufügen > Inline-Richtlinie erstellen, um eine neue Berechtigungsrichtlinie zu erstellen:
      1. Öffnen Sie die folgende Seite und kopieren Sie die Richtlinie: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS und VM Bedrohungserkennung.
      2. Fügen Sie die Richtlinie in den JSON-Editor ein.
      3. Geben Sie einen Namen für die Richtlinie an.
      4. Speichern Sie die Richtlinie.
    5. Öffnen Sie den Tab Vertrauensstellungen.

    6. Fügen Sie das folgende JSON-Objekt ein und fügen Sie es einem vorhandenen Statement-Array hinzu:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Speichern Sie die Rolle.

    Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

    Informationen zu den zu scannenden AWS-Ressourcen erfassen

    Während der Schritte zum Aktivieren der Sicherheitslückenbewertung für AWS können Sie die Konfiguration anpassen, um bestimmte AWS-Regionen, bestimmte Tags, die AWS-Ressourcen identifizieren, und bestimmte Festplattenlaufwerk-Volumes (HDD) (SC1 und ST1) zu scannen.

    Es ist hilfreich, diese Informationen verfügbar zu haben, bevor Sie die Sicherheitslückenbewertung für AWS konfigurieren.

    Prüfen, ob Security Command Center mit AWS verbunden ist

    Für den Dienst „Sicherheitslückenbewertung für AWS“ ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Security Command Center mit AWS verbunden ist.

    Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktivieren.

    Informationen zum Einrichten einer Verbindung finden Sie unter Verbindung zu AWS für die Konfiguration und Erfassung von Ressourcendaten herstellen.

    Sicherheitslückenbewertung für AWS in Security Command Center aktivieren

    Die Sicherheitslückenbewertung für AWS muss auf Organisationsebene für Google Cloud aktiviert sein.

    1. Rufen Sie im Security Command Center die Seite Risikoübersicht auf:

      Zur Risikoübersicht

    2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren möchten.

    3. Klicken Sie auf Einstellungen.

    4. Klicken Sie auf der Karte Vulnerability Assessment (Schwachstellenanalyse) auf Manage Settings (Einstellungen verwalten). Die Seite Vulnerability Assessment (Schwachstellenanalyse) wird geöffnet.

    5. Wählen Sie den Tab Amazon Web Services aus.

    6. Ändern Sie im Bereich Dienstaktivierung das Feld Status in Aktivieren.

    7. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet. Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Verbindung zu AWS für Konfiguration und Erhebung von Ressourcendaten herstellen aus, bevor Sie mit dem nächsten Schritt fortfahren.

    8. Konfigurieren Sie die Scaneinstellungen für AWS-Computing und ‑Speicher. Wenn Sie die Standardkonfiguration ändern möchten, klicken Sie auf Scaneinstellungen bearbeiten. Informationen zu den einzelnen Optionen finden Sie unter Scaneinstellungen für AWS-Computing und ‑Speicher anpassen.

    9. Wenn Sie VM Threat Detection für AWS bereits aktiviert und die CloudFormation-Vorlage als Teil dieser Funktion bereitgestellt haben, überspringen Sie diesen Schritt. Klicken Sie im Bereich Scaneinstellungen auf CloudFormation-Vorlage herunterladen. Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie auf Sicherheitslücken scannen müssen.

    Scaneinstellungen für AWS-Computing und ‑Speicher anpassen

    In diesem Abschnitt werden die Optionen zum Anpassen des Scans von AWS-Ressourcen beschrieben. Diese benutzerdefinierten Optionen finden Sie beim Bearbeiten eines Scans für die Sicherheitslückenbewertung für AWS im Abschnitt Scaneinstellungen für AWS-Computing und ‑Speicher.

    Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen wirken sich nicht auf die AWS CloudFormation-Vorlage aus. Sie müssen die Vorlage nicht noch einmal bereitstellen. Wenn ein Tag oder eine Instanz-ID nicht korrekt ist (z. B. wenn der Wert falsch geschrieben ist) und die angegebene Ressource nicht vorhanden ist, wird der Wert beim Scan ignoriert.
    Option Beschreibung
    Scanintervall Geben Sie die Anzahl der Stunden zwischen den einzelnen Scans ein. Gültige Werte reichen von 6 bis 24. Der Standardwert ist 6. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungsgebühren führen.
    AWS-Regionen

    Wählen Sie eine Teilmenge von Regionen aus, die in den Scan zur Sicherheitslückenbewertung einbezogen werden sollen.

    Es werden nur Instanzen aus den ausgewählten Regionen gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan eingeschlossen werden sollen.

    Wenn Sie im Amazon Web Services (AWS)-Connector bestimmte Regionen konfiguriert haben, müssen die hier ausgewählten Regionen mit den Regionen übereinstimmen, die Sie beim Konfigurieren der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.

    AWS-Tags Geben Sie Tags an, mit denen die Teilmenge der gescannten Instanzen identifiziert wird. Nur Instanzen mit diesen Tags werden gescannt. Geben Sie das Schlüssel/Wert-Paar für jedes Tag ein. Wenn ein ungültiges Tag angegeben wird, wird es ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen taggen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen.
    Nach Instanz-ID ausschließen

    Schließen Sie EC2-Instanzen aus jedem Scan aus, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Wenn ungültige Werte angegeben werden, werden sie ignoriert. Wenn Sie mehrere Instanz-IDs definieren, werden sie mit dem Operator AND kombiniert.

    • Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein. Klicken Sie dazu auf AWS EC2-Instanz hinzufügen und geben Sie den Wert ein.

    • Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, haben Sie folgende Möglichkeiten:

      • Geben Sie ein Array von Instanz-IDs ein. Beispiel:

        [ "instance-id-1", "instance-id-2" ]

      • Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs sein, z. B.: 

        [ "instance-id-1", "instance-id-2" ]
    SC1-Instanz scannen Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu SC1-Instanzen
    ST1-Instanz scannen Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzubeziehen. ST1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu ST1-Instanzen
    Elastic Container Registry (ECR) scannen Wählen Sie Elastic Container Registry-Instanz scannen aus, um in ECR gespeicherte Container-Images und die darin installierten Pakete zu scannen. Weitere Informationen zu Elastic Container Registry

    AWS CloudFormation-Vorlage bereitstellen

    Führen Sie diese Schritte mindestens sechs Stunden nach dem Erstellen eines AWS-Connectors aus.

    Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation-Konsole erstellen.

    1. Rufen Sie in der AWS Management Console die Seite AWS CloudFormation Template (AWS CloudFormation-Vorlage) auf.
    2. Klicken Sie auf Stacks> Mit neuen Ressourcen (Standard).
    3. Wählen Sie auf der Seite Stack erstellen die Option Vorhandene Vorlage auswählen und Vorlagendatei hochladen aus, um die CloudFormation-Vorlage hochzuladen.
    4. Geben Sie nach Abschluss des Uploads einen eindeutigen Stack-Namen ein. Ändern Sie keine anderen Parameter in der Vorlage.
    5. Wählen Sie Stack-Details angeben aus. Die Seite Stapeloptionen konfigurieren wird geöffnet.
    6. Wählen Sie unter Berechtigungen die AWS-Rolle aus, die Sie zuvor erstellt haben.
    7. Klicken Sie das Kästchen an, wenn Sie dazu aufgefordert werden.
    8. Klicken Sie auf Senden, um die Vorlage bereitzustellen. Es dauert einige Minuten, bis der Stack ausgeführt wird.

    Der Status der Bereitstellung wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, lesen Sie den Abschnitt Fehlerbehebung.

    Wenn nach dem Starten der Scans Sicherheitslücken erkannt werden, werden die entsprechenden Ergebnisse generiert und auf der Seite Ergebnisse des Security Command Center in derGoogle Cloud -Konsole angezeigt.

    Ergebnisse in der Console ansehen

    Sie können die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud -Konsole ansehen. Die IAM-Mindestrolle, die zum Aufrufen von Ergebnissen erforderlich ist, ist Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

    So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud Console:

    Standard oder Premium

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen

    2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
    3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option EC2 Vulnerability Assessment aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
    4. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
    5. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
    6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

    Unternehmen

    1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

      Zu Ergebnissen in der Enterprise-Version

    2. Wählen Sie Ihre Google Cloud Organisation aus.
    3. Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
    4. Wählen Sie EC2 Vulnerability Assessment (EC2-Sicherheitslückenbewertung) aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
    5. Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
    6. Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
    7. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

    Fehlerbehebung

    Wenn Sie den Dienst „Vulnerability Assessment“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

    • Prüfen Sie, ob der AWS-Connector richtig eingerichtet ist.
    • Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.