Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS

Halaman ini menjelaskan cara menyiapkan dan menggunakan layanan Penilaian Kerentanan untuk Amazon Web Services (AWS).

Untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda perlu membuat peran IAM AWS di platform AWS, mengaktifkan layanan Penilaian Kerentanan untuk AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.

Sebelum memulai

Untuk mengaktifkan layanan Penilaian Kerentanan untuk AWS, Anda memerlukan izin IAM tertentu dan Security Command Center harus terhubung ke AWS.

Peran dan izin

Untuk menyelesaikan penyiapan layanan Penilaian Kerentanan untuk AWS, Anda harus diberi peran dengan izin yang diperlukan diGoogle Cloud dan AWS.

Google Cloud peran

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Berikan akses.

  4. Di kolom Akun utama baru, masukkan ID pengguna Anda. Biasanya berupa alamat email untuk Akun Google.

  5. Di daftar Pilih peran, pilih peran.
  6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
  7. Klik Simpan.

    8. Peran AWS

    Di AWS, pengguna administratif AWS harus membuat akun AWS yang Anda perlukan untuk mengaktifkan pemindaian.

    Untuk membuat peran Penilaian Kerentanan di AWS, ikuti langkah-langkah berikut:

    1. Dengan menggunakan akun pengguna administratif AWS, buka halaman IAM Roles di AWS Management Console.
    2. Dari menu Service or Use Case, pilih lambda.
    3. Tambahkan kebijakan izin berikut:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Klik Tambahkan Izin > Buat kebijakan inline untuk membuat kebijakan izin baru:
      1. Buka halaman berikut dan salin kebijakannya: Kebijakan peran untuk Penilaian Kerentanan untuk AWS dan Deteksi Ancaman VM.
      2. Di JSON Editor, tempelkan kebijakan.
      3. Tentukan nama untuk kebijakan.
      4. Simpan kebijakan.
    5. Buka tab Trust Relationships.

    6. Tempelkan objek JSON berikut, dan tambahkan ke array pernyataan yang ada:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Simpan peran.

    Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.

    Kumpulkan informasi tentang resource AWS yang akan dipindai

    Selama langkah-langkah untuk mengaktifkan Penilaian Kerentanan untuk AWS, Anda dapat menyesuaikan konfigurasi untuk memindai region AWS tertentu, tag tertentu yang mengidentifikasi resource AWS, dan volume Hard disk drive (HDD) tertentu (SC1 dan ST1).

    Sebaiknya siapkan informasi ini sebelum mengonfigurasi Penilaian Kerentanan untuk AWS.

    Konfirmasi bahwa Security Command Center terhubung ke AWS

    Layanan Penilaian Kerentanan untuk AWS memerlukan akses ke inventaris resource AWS yang dikelola oleh Inventaris Aset Cloud saat Security Command Center terhubung ke AWS.

    Jika koneksi belum dibuat, Anda harus menyiapkannya saat mengaktifkan layanan Penilaian Kerentanan untuk AWS.

    Untuk menyiapkan koneksi, lihat Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource.

    Mengaktifkan Penilaian Kerentanan untuk AWS di Security Command Center

    Vulnerability Assessment untuk AWS harus diaktifkan di Google Cloud tingkat organisasi.

    1. Buka halaman Ringkasan risiko di Security Command Center:

      Buka Ringkasan risiko

    2. Pilih organisasi tempat Anda ingin mengaktifkan Penilaian Kerentanan untuk AWS.

    3. Klik Setelan.

    4. Di kartu Vulnerability Assessment, klik Manage Settings. Halaman Vulnerability Assessment akan terbuka.

    5. Pilih tab Amazon Web Services.

    6. Di bagian Pengaktifan layanan, ubah kolom Status menjadi Aktifkan.

    7. Di bagian AWS connector, verifikasi bahwa statusnya menampilkan AWS Connector added. Jika status menampilkan Tidak ada konektor AWS yang ditambahkan, klik Tambahkan konektor AWS. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource sebelum Anda melanjutkan ke langkah berikutnya.

    8. Konfigurasi Setelan pemindaian untuk komputasi dan penyimpanan AWS. Untuk mengubah konfigurasi default, klik Edit setelan pemindaian. Untuk mengetahui informasi tentang setiap opsi, lihat Menyesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS.

    9. Jika Anda telah mengaktifkan Deteksi Ancaman VM untuk AWS dan telah men-deploy template CloudFormation sebagai bagian dari fitur tersebut, lewati langkah ini. Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda perlu men-deploy template di setiap akun AWS yang perlu dipindai untuk menemukan kerentanan.

    Menyesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS

    Bagian ini menjelaskan opsi yang tersedia untuk menyesuaikan pemindaian resource AWS. Opsi kustom ini berada di bagian Setelan pemindaian untuk komputasi dan penyimpanan AWS saat mengedit pemindaian Penilaian Kerentanan untuk AWS.

    Anda dapat menentukan maksimum 50 tag AWS dan ID instance Amazon EC2. Perubahan pada setelan pemindaian tidak memengaruhi template AWS CloudFormation. Anda tidak perlu men-deploy ulang template. Jika nilai tag atau ID instance tidak benar (misalnya, nilai salah eja) dan resource yang ditentukan tidak ada, nilai tersebut akan diabaikan selama pemindaian.
    Opsi Deskripsi
    Interval pemindaian Masukkan jumlah jam di antara setiap pemindaian. Nilai yang valid berkisar dari 6 hingga 24. Nilai defaultnya adalah 6. Pemindaian yang lebih sering dapat menyebabkan peningkatan penggunaan resource dan kemungkinan peningkatan biaya penagihan.
    Region AWS

    Pilih subset wilayah yang akan disertakan dalam pemindaian penilaian kerentanan.

    Hanya instance dari wilayah yang dipilih yang dipindai. Pilih satu atau beberapa wilayah AWS yang akan disertakan dalam pemindaian.

    Jika Anda mengonfigurasi region tertentu di konektor Amazon Web Services (AWS), pastikan region yang dipilih di sini sama, atau merupakan subset dari, region yang ditentukan saat Anda mengonfigurasi koneksi ke AWS.

    Tag AWS Tentukan tag yang mengidentifikasi subset instance yang dipindai. Hanya instance dengan tag ini yang dipindai. Masukkan pasangan nilai kunci untuk setiap tag. Jika tag yang tidak valid ditentukan, tag tersebut akan diabaikan. Anda dapat menentukan maksimum 50 tag. Untuk mengetahui informasi selengkapnya tentang tag, lihat Memberi tag pada resource Amazon EC2 dan Menambahkan dan menghapus tag untuk resource Amazon EC2.
    Mengecualikan menurut ID Instance

    Mengecualikan instance EC2 dari setiap pemindaian dengan menentukan ID instance EC2. Anda dapat menentukan maksimum 50 ID instance. Jika nilai yang tidak valid ditentukan, nilai tersebut akan diabaikan. Jika Anda menentukan beberapa ID instance, ID tersebut akan digabungkan menggunakan operator AND.

    • Jika Anda memilih Kecualikan instance menurut ID, masukkan setiap ID instance secara manual dengan mengklik Tambahkan instance AWS EC2, lalu mengetik nilai.

    • Jika Anda memilih Salin dan tempel daftar ID instance yang akan dikecualikan dalam format JSON, lakukan salah satu tindakan berikut:

      • Masukkan array ID instance. Contoh:

        [ "instance-id-1", "instance-id-2" ]

      • Upload file dengan daftar ID instance. Konten file harus berupa array ID instance, misalnya: 

        [ "instance-id-1", "instance-id-2" ]
    Memindai instance SC1 Pilih Pindai instance SC1 untuk menyertakan instance ini. Instance SC1 dikecualikan secara default. Pelajari instance SC1 lebih lanjut.
    Pindai instance ST1 Pilih Scan ST1 instance untuk menyertakan instance ini. Instance ST1 dikecualikan secara default. Pelajari instance ST1 lebih lanjut.
    Memindai Elastic Container Registry (ECR) Pilih Scan Elastic Container Registry instance untuk memindai image container yang disimpan di ECR dan paket yang diinstal. Pelajari Elastic Container Registry lebih lanjut.

    Deploy template AWS CloudFormation

    Lakukan langkah-langkah ini setidaknya enam jam setelah membuat konektor AWS.

    Untuk mengetahui informasi mendetail tentang cara men-deploy template CloudFormation, lihat Membuat stack dari konsol CloudFormation dalam dokumentasi AWS.

    1. Buka halaman AWS CloudFormation Template di AWS Management Console.
    2. Klik Stacks > With new resources (standard).
    3. Di halaman Create stack, pilih Choose an existing template dan Upload a template file untuk mengupload template CloudFormation.
    4. Setelah upload selesai, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template.
    5. Pilih Tentukan detail stack. Halaman Konfigurasi opsi stack akan terbuka.
    6. Di bagian Permissions, pilih peran AWS yang sebelumnya Anda buat.
    7. Jika diminta, centang kotak untuk mengonfirmasi.
    8. Klik Kirim untuk men-deploy template. Stack memerlukan waktu beberapa menit untuk mulai berjalan.

    Status deployment ditampilkan di konsol AWS. Jika template CloudFormation gagal di-deploy, lihat bagian Pemecahan masalah.

    Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai akan dibuat dan ditampilkan di halaman Temuan Security Command Center di konsolGoogle Cloud .

    Meninjau temuan di konsol

    Anda dapat melihat temuan Penilaian Kerentanan untuk AWS di konsol Google Cloud . Peran IAM minimum yang diperlukan untuk melihat temuan adalah Security Center Findings Viewer (roles/securitycenter.findingsViewer).

    Untuk meninjau temuan Penilaian Kerentanan untuk AWS di konsol Google Cloud , ikuti langkah-langkah berikut:

    Standar atau Premium

    1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

      Buka Temuan

    2. Pilih project atau organisasi Google Cloud Anda.
    3. Di bagian Quick filters, di subbagian Source display name, pilih EC2 Vulnerability Assessment. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
    4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
    5. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
    6. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

    Enterprise

    1. Di konsol Google Cloud , buka halaman Temuan di Security Command Center.

      Buka Temuan di tingkat Enterprise

    2. Pilih Google Cloud organisasi Anda.
    3. Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
    4. Pilih EC2 Vulnerability Assessment. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
    5. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
    6. Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
    7. Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.

    Pemecahan masalah

    Jika Anda mengaktifkan layanan Penilaian Kerentanan, tetapi pemindaian tidak berjalan, periksa hal berikut:

    • Pastikan konektor AWS disiapkan dengan benar.
    • Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus CREATION_COMPLETE.