Habilita y usa la evaluación de vulnerabilidades para AWS

En esta página, se describe cómo configurar y usar el servicio de Vulnerability Assessment para Amazon Web Services (AWS).

Para habilitar la Evaluación de vulnerabilidades para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar el servicio de Evaluación de vulnerabilidades para AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.

Antes de comenzar

Para habilitar el servicio de Evaluación de vulnerabilidades para AWS, necesitas ciertos permisos de IAM y Security Command Center debe estar conectado a AWS.

Funciones y permisos

Para completar la configuración del servicio de Evaluación de vulnerabilidades para AWS, debes obtener roles con los permisos necesarios enGoogle Cloud y AWS.

Roles deGoogle Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Ir a IAM
  2. Selecciona la organización.
  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

  5. En la lista Seleccionar un rol, elige un rol.
  6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
  7. Haz clic en Guardar.

    8. Roles de AWS

    En AWS, un usuario administrativo de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis.

    Para crear un rol para la evaluación de vulnerabilidades en AWS, sigue estos pasos:

    1. Con una cuenta de usuario administrativo de AWS, ve a la página Roles de IAM en la consola de administración de AWS.
    2. En el menú Servicio o caso de uso, selecciona lambda.
    3. Agrega las siguientes políticas de permisos:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Haz clic en Agregar permiso > Crear política intercalada para crear una nueva política de permisos:
      1. Abre la siguiente página y copia la política: Política de roles para la evaluación de vulnerabilidades de AWS y la detección de amenazas de VM.
      2. En el Editor de JSON, pega la política.
      3. Especifica un nombre para la política.
      4. Guarda la política.
    5. Abre la pestaña Relaciones de confianza.

    6. Pega el siguiente objeto JSON y agrégalo a cualquier array de instrucciones existente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Guarda el rol.

    Asignarás este rol más adelante cuando instales la plantilla de CloudFormation en AWS.

    Recopila información sobre los recursos de AWS que se analizarán

    Durante los pasos para habilitar la Evaluación de vulnerabilidades para AWS, puedes personalizar la configuración para analizar regiones de AWS específicas, etiquetas específicas que identifican recursos de AWS y volúmenes de unidades de disco duro (HDD) específicos (SC1 y ST1).

    Es útil tener esta información disponible antes de configurar la Evaluación de vulnerabilidades para AWS.

    Confirma que Security Command Center esté conectado a AWS

    El servicio de Evaluación de vulnerabilidades para AWS requiere acceso al inventario de recursos de AWS que mantiene Cloud Asset Inventory cuando Security Command Center está conectado a AWS.

    Si aún no se estableció una conexión, deberás configurar una cuando habilites el servicio de Evaluación de vulnerabilidades para AWS.

    Para configurar una conexión, consulta Conéctate a AWS para la recopilación de datos de configuración y recursos.

    Habilita la Evaluación de vulnerabilidades para AWS en Security Command Center

    La evaluación de vulnerabilidades para AWS debe habilitarse en Google Cloud a nivel de la organización.

    1. Ve a la página Descripción general del riesgo en Security Command Center:

      Ir a Descripción general de riesgos

    2. Selecciona la organización en la que deseas habilitar la Evaluación de vulnerabilidades para AWS.

    3. Haz clic en Configuración.

    4. En la tarjeta Vulnerability Assessment, haz clic en Administrar configuración. Se abrirá la página Vulnerability Assessment.

    5. Selecciona la pestaña Amazon Web Services.

    6. En la sección Habilitación del servicio, cambia el campo Estado a Habilitar.

    7. En la sección Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS. Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Conéctate a AWS para la configuración y la recopilación de datos de recursos antes de continuar con el siguiente paso.

    8. Configura los parámetros de configuración de análisis para procesamiento y almacenamiento de AWS. Para cambiar la configuración predeterminada, haz clic en Editar la configuración del análisis. Para obtener información sobre cada opción, consulta Cómo personalizar la configuración del análisis para el procesamiento y el almacenamiento de AWS.

    9. Si ya habilitaste VM Threat Detection para AWS y ya implementaste la plantilla de CloudFormation como parte de esa función, omite este paso. En la sección Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar en busca de vulnerabilidades.

    Personaliza la configuración de análisis para procesamiento y almacenamiento de AWS

    En esta sección, se describen las opciones disponibles para personalizar el análisis de los recursos de AWS. Estas opciones personalizadas se encuentran en la sección Configuración de análisis para procesamiento y almacenamiento de AWS cuando editas un análisis de la Evaluación de vulnerabilidades para AWS.

    Puedes definir un máximo de 50 etiquetas de AWS y IDs de instancias de Amazon EC2. Los cambios en la configuración del análisis no afectan la plantilla de AWS CloudFormation. No es necesario que vuelvas a implementar la plantilla. Si un valor de ID de instancia o etiqueta no es correcto (por ejemplo, si tiene un error ortográfico) y el recurso especificado no existe, el valor se ignora durante el análisis.
    Opción Descripción
    Intervalo de análisis Ingresa la cantidad de horas entre cada análisis. Los valores válidos varían de 6 a 24. El valor predeterminado es 6. Los análisis más frecuentes pueden provocar un aumento en el uso de recursos y, posiblemente, un aumento en los cargos de facturación.
    Regiones de AWS

    Elige un subconjunto de regiones para incluir en el análisis de evaluación de vulnerabilidades.

    Solo se analizan las instancias de las regiones seleccionadas. Selecciona una o más regiones de AWS para incluir en el análisis.

    Si configuraste regiones específicas en el conector de Amazon Web Services (AWS), asegúrate de que las regiones seleccionadas aquí sean las mismas que las definidas cuando configuraste la conexión a AWS, o un subconjunto de ellas.

    Etiquetas de AWS Especifica etiquetas que identifiquen el subconjunto de instancias que se analizan. Solo se analizan las instancias con estas etiquetas. Ingresa el par clave-valor para cada etiqueta. Si se especifica una etiqueta no válida, se ignorará. Puedes especificar un máximo de 50 etiquetas. Para obtener más información sobre las etiquetas, consulta Etiqueta tus recursos de Amazon EC2 y Cómo agregar y quitar etiquetas para los recursos de Amazon EC2.
    Excluir según el ID de instancia

    Excluye instancias de EC2 de cada análisis especificando el ID de instancia de EC2. Puedes especificar un máximo de 50 IDs de instancias. Si se especifican valores no válidos, se ignorarán. Si defines varios IDs de instancia, se combinan con el operador AND.

    • Si seleccionas Excluir instancia por ID, ingresa cada ID de instancia de forma manual haciendo clic en Agregar instancia de EC2 de AWS y, luego, escribiendo el valor.

    • Si seleccionas Copiar y pegar una lista de IDs de instancias que deben excluirse en formato JSON, realiza una de las siguientes acciones:

      • Ingresa un array de IDs de instancias. Por ejemplo:

        [ "instance-id-1", "instance-id-2" ]

      • Sube un archivo con la lista de IDs de instancia. El contenido del archivo debe ser un array de IDs de instancias, por ejemplo: 

        [ "instance-id-1", "instance-id-2" ]
    Analizar la instancia SC1 Selecciona Analizar instancia SC1 para incluir estas instancias. Las instancias SC1 se excluyen de forma predeterminada. Obtén más información sobre las instancias SC1.
    Analizar instancia ST1 Selecciona Analizar instancia ST1 para incluir estas instancias. Las instancias ST1 se excluyen de forma predeterminada. Obtén más información sobre las instancias ST1.
    Analizar Elastic Container Registry (ECR) Selecciona Analizar la instancia de Elastic Container Registry para analizar las imágenes de contenedor almacenadas en ECR y sus paquetes instalados. Obtén más información sobre Elastic Container Registry.

    Implementa la plantilla de AWS CloudFormation

    Realiza estos pasos al menos seis horas después de crear un conector de AWS.

    Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta Crea una pila desde la consola de CloudFormation en la documentación de AWS.

    1. Ve a la página Plantilla de AWS CloudFormation en la consola de administración de AWS.
    2. Haz clic en Pilas > Con recursos nuevos (estándar).
    3. En la página Crear pila, selecciona Elegir una plantilla existente y Subir un archivo de plantilla para subir la plantilla de CloudFormation.
    4. Una vez que se complete la carga, ingresa un nombre de pila único. No modifiques ningún otro parámetro de la plantilla.
    5. Selecciona Especificar detalles de la pila. Se abrirá la página Configure stack options.
    6. En Permisos, selecciona el rol de AWS que creaste anteriormente.
    7. Si se te solicita, marca la casilla de confirmación.
    8. Haz clic en Enviar para implementar la plantilla. La pila tarda unos minutos en comenzar a ejecutarse.

    El estado de la implementación se muestra en la consola de AWS. Si la plantilla de CloudFormation no se implementa, consulta Solución de problemas.

    Después de que se ejecutan los análisis, si se detectan vulnerabilidades, se generan los resultados correspondientes y se muestran en la página Resultados de Security Command Center en la consola deGoogle Cloud .

    Revisa los hallazgos en la consola

    Puedes ver los resultados de la Evaluación de vulnerabilidades para AWS en la consola de Google Cloud . El rol de IAM mínimo que se requiere para ver los hallazgos es el de Visualizador de hallazgos del Centro de seguridad (roles/securitycenter.findingsViewer).

    Para revisar los resultados de la Evaluación de vulnerabilidades para AWS en la consola de Google Cloud , sigue estos pasos:

    Estándar o Premium

    1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

      Ir a hallazgos

    2. Selecciona tu Google Cloud organización o proyecto.
    3. En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona EC2 Vulnerability Assessment. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
    4. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
    5. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
    6. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

    Enterprise

    1. En la consola de Google Cloud , ve a la página Resultados de Security Command Center.

      Ir a Hallazgos en el nivel Enterprise

    2. Selecciona tu Google Cloud organización.
    3. En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
    4. Selecciona EC2 Vulnerability Assessment. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
    5. Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
    6. En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
    7. Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.

    Soluciona problemas

    Si habilitaste el servicio de Evaluación de vulnerabilidades, pero no se ejecutan los análisis, verifica lo siguiente:

    • Verifica que el conector de AWS esté configurado correctamente.
    • Confirma que la pila de la plantilla de CloudFormation se haya implementado por completo. Su estado en la cuenta de AWS debe ser CREATION_COMPLETE.