Attivare e utilizzare Vulnerability Assessment per AWS

Questa pagina descrive come configurare e utilizzare il servizio Vulnerability Assessment per Amazon Web Services (AWS).

Per abilitare la valutazione delle vulnerabilità per AWS, devi creare un ruolo IAM AWS sulla piattaforma AWS, abilitare il servizio di valutazione delle vulnerabilità per AWS in Security Command Center e poi eseguire il deployment di un modello CloudFormation su AWS.

Prima di iniziare

Per attivare il servizio Vulnerability Assessment for AWS, sono necessarie determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio di valutazione delle vulnerabilità per AWS, devi disporre di ruoli con le autorizzazioni necessarie sia inGoogle Cloud che in AWS.

Google Cloud ruoli

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi l'accesso.

  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.

    8. Ruoli AWS

    In AWS, un utente amministrativo AWS deve creare l'account AWS necessario per attivare le scansioni.

    Per creare un ruolo per la valutazione delle vulnerabilità in AWS:

    1. Utilizzando un account utente amministrativo AWS, vai alla pagina Ruoli di IAM nella Console di gestione AWS.
    2. Nel menu Servizio o caso d'uso, seleziona lambda.
    3. Aggiungi le seguenti norme relative alle autorizzazioni:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Fai clic su Aggiungi autorizzazione > Crea criterio inline per creare un nuovo criterio di autorizzazione:
      1. Apri la pagina seguente e copia il criterio: Role policy for Vulnerability Assessment for AWS and VM Threat Detection.
      2. Nell'editor JSON, incolla la policy.
      3. Specifica un nome per la policy.
      4. Salva la policy.
    5. Apri la scheda Relazioni di trust.

    6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi array di istruzioni esistente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Salva il ruolo.

    Assegnerai questo ruolo in un secondo momento, quando installerai il modello CloudFormation su AWS.

    Raccogli informazioni sulle risorse AWS da analizzare

    Durante i passaggi per abilitare la valutazione delle vulnerabilità per AWS, puoi personalizzare la configurazione per eseguire la scansione di regioni AWS specifiche, tag specifici che identificano le risorse AWS e volumi di unità disco rigido (HDD) specifici (SC1 e ST1).

    È utile avere queste informazioni a disposizione prima di configurare la valutazione delle vulnerabilità per AWS.

    Conferma che Security Command Center sia connesso ad AWS

    Il servizio di valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS gestito da Cloud Asset Inventory quando Security Command Center è connesso ad AWS.

    Se una connessione non è già stabilita, devi configurarne una quando abiliti il servizio di valutazione delle vulnerabilità per AWS.

    Per configurare una connessione, consulta Connettersi ad AWS per la raccolta di dati di configurazione e risorse.

    Abilita la valutazione delle vulnerabilità per AWS in Security Command Center

    La valutazione delle vulnerabilità per AWS deve essere abilitata su Google Cloud a livello di organizzazione.

    1. Vai alla pagina Panoramica dei rischi in Security Command Center:

      Vai alla panoramica dei rischi

    2. Seleziona l'organizzazione in cui vuoi attivare la valutazione delle vulnerabilità per AWS.

    3. Fai clic su Impostazioni.

    4. Nella scheda Valutazione delle vulnerabilità, fai clic su Gestisci impostazioni. Si apre la pagina Valutazione delle vulnerabilità.

    5. Seleziona la scheda Amazon Web Services.

    6. Nella sezione Abilitazione del servizio, cambia il campo Stato in Abilita.

    7. Nella sezione Connettore AWS, verifica che lo stato visualizzi Connettore AWS aggiunto. Se lo stato è Nessun connettore AWS aggiunto, fai clic su Aggiungi connettore AWS. Completa i passaggi descritti in Connettersi ad AWS per la configurazione e la raccolta dei dati delle risorse prima di passare al passaggio successivo.

    8. Configura le Impostazioni di analisi per calcolo e archiviazione AWS. Per modificare la configurazione predefinita, fai clic su Modifica impostazioni di scansione. Per informazioni su ogni opzione, vedi Personalizzare le impostazioni di analisi per calcolo e archiviazione AWS.

    9. Se hai già abilitato VM Threat Detection per AWS e hai eseguito il deployment del modello CloudFormation nell'ambito di questa funzionalità, salta questo passaggio. Nella sezione Impostazioni scansione, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla tua workstation. Devi eseguire il deployment del modello in ogni account AWS che devi analizzare per rilevare vulnerabilità.

    Personalizza le impostazioni di analisi per calcolo e archiviazione AWS

    Questa sezione descrive le opzioni disponibili per personalizzare la scansione delle risorse AWS. Queste opzioni personalizzate si trovano nella sezione Impostazioni di analisi per calcolo e archiviazione AWS quando modifichi un'analisi della valutazione delle vulnerabilità per AWS.

    Puoi definire un massimo di 50 tag AWS e ID istanza Amazon EC2. Le modifiche alle impostazioni di analisi non influenzano il modello AWS CloudFormation. Non è necessario eseguire nuovamente il deployment del modello. Se un valore di tag o ID istanza non è corretto (ad esempio, il valore è scritto in modo errato) e la risorsa specificata non esiste, il valore viene ignorato durante la scansione.
    Opzione Descrizione
    Intervallo di analisi Inserisci il numero di ore tra un'analisi e l'altra. I valori validi sono compresi tra 6 e 24. Il valore predefinito è 6. Scansioni più frequenti possono causare un aumento dell'utilizzo delle risorse e possibilmente un aumento degli addebiti di fatturazione.
    Regioni AWS

    Scegli un sottoinsieme di regioni da includere nella scansione di valutazione delle vulnerabilità.

    Vengono scansionate solo le istanze delle regioni selezionate. Seleziona una o più regioni AWS da includere nell'analisi.

    Se hai configurato regioni specifiche nel connettore Amazon Web Services (AWS), assicurati che le regioni selezionate qui siano le stesse o un sottoinsieme di quelle definite quando hai configurato la connessione ad AWS.

    Tag AWS Specifica i tag che identificano il sottoinsieme di istanze sottoposte a scansione. Vengono scansionate solo le istanze con questi tag. Inserisci la coppia chiave-valore per ogni tag. Se viene specificato un tag non valido, questo verrà ignorato. Puoi specificare un massimo di 50 tag. Per saperne di più sui tag, consulta Tagga le risorse Amazon EC2 e Aggiungere e rimuovere tag per le risorse Amazon EC2.
    Escludi per ID istanza

    Escludi le istanze EC2 da ogni scansione specificando l' ID istanza EC2. Puoi specificare un massimo di 50 ID istanza. Se vengono specificati valori non validi, questi verranno ignorati. Se definisci più ID istanza, questi vengono combinati utilizzando l'operatore AND.

    • Se selezioni Escludi istanza per ID, inserisci manualmente ogni ID istanza facendo clic su Aggiungi istanza AWS EC2 e poi digitando il valore.

    • Se selezioni Copia e incolla un elenco di ID istanze da escludere nel formato JSON, esegui una delle seguenti operazioni:

      • Inserisci un array di ID istanza. Ad esempio:

        [ "instance-id-1", "instance-id-2" ]

      • Carica un file con l'elenco degli ID istanza. Il contenuto del file deve essere un array di ID istanza, ad esempio: 

        [ "instance-id-1", "instance-id-2" ]
    Analizza l'istanza SC1 Seleziona Analizza istanza SC1 per includere queste istanze. Le istanze SC1 sono escluse per impostazione predefinita. Scopri di più sulle istanze SC1.
    Analizza l'istanza ST1 Seleziona Analizza istanza ST1 per includere queste istanze. Le istanze ST1 sono escluse per impostazione predefinita. Scopri di più sulle istanze ST1.
    Analizza Elastic Container Registry (ECR) Seleziona Analizza l'istanza Elastic Container Registry per analizzare le immagini container archiviate in ECR e i relativi pacchetti installati. Scopri di più su Elastic Container Registry.

    Esegui il deployment del modello AWS CloudFormation

    Esegui questi passaggi almeno sei ore dopo aver creato un connettore AWS.

    Per informazioni dettagliate su come eseguire il deployment di un modello CloudFormation, consulta Creare uno stack dalla console CloudFormation nella documentazione di AWS.

    1. Vai alla pagina Modello AWS CloudFormation nella console di gestione AWS.
    2. Fai clic su Stack > Con nuove risorse (standard).
    3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
    4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare nessun altro parametro nel modello.
    5. Seleziona Specifica dettagli stack. Si apre la pagina Configura opzioni stack.
    6. Nella sezione Autorizzazioni, seleziona il ruolo AWS che hai creato in precedenza.
    7. Se richiesto, seleziona la casella di conferma.
    8. Fai clic su Invia per eseguire il deployment del modello. L'avvio dello stack richiede alcuni minuti.

    Lo stato del deployment viene visualizzato nella console AWS. Se il deployment del modello CloudFormation non riesce, consulta la sezione Risoluzione dei problemi.

    Dopo l'avvio delle scansioni, se vengono rilevate vulnerabilità, vengono generati e visualizzati i risultati corrispondenti nella pagina Risultati di Security Command Center nella consoleGoogle Cloud .

    Esaminare i risultati nella console

    Puoi visualizzare i risultati della valutazione delle vulnerabilità per AWS nella console Google Cloud . Il ruolo IAM minimo richiesto per visualizzare i risultati è Visualizzatore esiti Centro sicurezza (roles/securitycenter.findingsViewer).

    Per esaminare i risultati della valutazione delle vulnerabilità per AWS nella console Google Cloud , segui questi passaggi:

    Standard o Premium

    1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

      Vai a Risultati

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud .
    3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità EC2. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
    4. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
    5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
    6. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

    Aziende

    1. Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.

      Vai a Risultati nel livello Enterprise

    2. Seleziona la tua Google Cloud organizzazione.
    3. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
    4. Seleziona EC2 Vulnerability Assessment. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
    5. Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
    6. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
    7. (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.

    Risoluzione dei problemi

    Se hai abilitato il servizio di valutazione delle vulnerabilità, ma le scansioni non vengono eseguite, controlla quanto segue:

    • Controlla che il connettore AWS sia configurato correttamente.
    • Verifica che lo stack del modello CloudFormation sia stato implementato completamente. Il suo stato nell'account AWS deve essere CREATION_COMPLETE.