Attivare e utilizzare Vulnerability Assessment per AWS

Questa pagina descrive come configurare e utilizzare il servizio di valutazione delle vulnerabilità per Amazon Web Services (AWS).

Per attivare la valutazione delle vulnerabilità per AWS, devi creare un ruolo IAM AWS sulla piattaforma AWS, attivare il servizio di valutazione delle vulnerabilità per AWS in Security Command Center e poi eseguire il deployment di un modello CloudFormation su AWS.

Prima di iniziare

Per attivare il servizio Valutazione delle vulnerabilità per AWS, sono necessarie determinate autorizzazioni IAM e Security Command Center deve essere connesso ad AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio di valutazione delle vulnerabilità per AWS, devi disporre dei ruoli con le autorizzazioni necessarie sia in Google Cloud sia in AWS.

Ruoli Google Cloud

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.
  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Vai a IAM
  2. Seleziona l'organizzazione.
  3. Fai clic su Concedi accesso.
  4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

  5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
  6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
  7. Fai clic su Salva.
  8. Ruoli AWS

    In AWS, un utente amministrativo AWS deve creare l'account AWS necessario per attivare le analisi.

    Per creare un ruolo di valutazione delle vulnerabilità in AWS:

    1. Utilizzando un account utente amministrativo AWS, vai alla pagina Ruoli IAM nella Console di gestione AWS.
    2. Seleziona lambda dal menu Service or Use Case.
    3. Aggiungi i seguenti criteri di autorizzazione:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Fai clic su Aggiungi autorizzazione > Crea criterio inline per creare un nuovo criterio di autorizzazione:
      1. Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per AWS.
      2. In Editor JSON, incolla il criterio.
      3. Specifica un nome per il criterio.
      4. Salva il criterio.
    5. Apri la scheda Relazioni di attendibilità.
    6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi array di istruzioni esistente:

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Sid": "Statement1 or replace with a unique statementId",
            "Effect": "Allow",
            "Principal": {
              "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }
      
    7. Salva il ruolo.

    Assegnerai questo ruolo in un secondo momento quando installerai il modello CloudFormation su AWS.

    Raccogli informazioni sulle risorse AWS da sottoporre a scansione

    Durante la procedura per attivare la Valutazione delle vulnerabilità per AWS, puoi personalizzare la configurazione per eseguire la scansione di regioni AWS specifiche, tag specifici che identificano le risorse AWS e volumi di unità disco rigido (HDD) specifici (sia SC1 che ST1).

    È utile avere queste informazioni disponibili prima di configurare la valutazione delle vulnerabilità per AWS.

    Verifica che Security Command Center sia connesso ad AWS

    Il servizio di valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS gestito da Cloud Asset Inventory quando Security Command Center è connesso ad AWS per il rilevamento delle vulnerabilità.

    Se una connessione non è già stabilita, devi configurarne una quando attivi il servizio di valutazione delle vulnerabilità per AWS.

    Per configurare una connessione, consulta Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione dei rischi.

    Attivare la valutazione delle vulnerabilità per AWS in Security Command Center

    Vulnerability Assessment for AWS deve essere abilitato su Google Cloud a livello di organizzazione.

    1. Vai alla pagina Panoramica dei rischi in Security Command Center:

      Vai a Panoramica dei rischi

    2. Seleziona l'organizzazione in cui vuoi attivare la valutazione delle vulnerabilità per AWS.

    3. Fai clic su Impostazioni.

    4. Nella scheda Valutazione delle vulnerabilità, fai clic su Gestisci impostazioni. Viene visualizzata la pagina Vulnerability Assessment (Valutazione delle vulnerabilità).

    5. Seleziona la scheda Amazon Web Services.

    6. Nella sezione Abilitazione del servizio, imposta il campo Stato su Attiva.

    7. Nella sezione Connettore AWS, verifica che venga visualizzato lo stato Connettore AWS aggiunto. Se lo stato visualizzato è Nessun connettore AWS aggiunto, fai clic su Aggiungi connettore AWS. Completa i passaggi descritti in Connettersi ad AWS per il rilevamento delle vulnerabilità e la valutazione dei rischi prima di passare al passaggio successivo.

    8. Configura le impostazioni di analisi per calcolo e archiviazione AWS. Per modificare la configurazione predefinita, fai clic su Modifica impostazioni di ricerca. Per informazioni su ogni opzione, consulta Personalizzare le impostazioni di analisi per calcolo e archiviazione AWS.

    9. Nella sezione Impostazioni di scansione, fai clic su Scarica il modello CloudFormation. Un modello JSON viene scaricato sulla tuaworkstation. Devi eseguire il deployment del modello in ogni account AWS per cui devi eseguire la ricerca di vulnerabilità.

    Personalizzare le impostazioni di scansione per calcolo e archiviazione AWS

    Questa sezione descrive le opzioni disponibili per personalizzare la scansione delle risorse AWS. Queste opzioni personalizzate si trovano nella sezione Impostazioni di analisi per calcolo e archiviazione AWS quando modifichi una scansione della valutazione delle vulnerabilità per AWS.

    Puoi definire un massimo di 50 tag AWS e ID istanza Amazon EC2. Le modifiche alle impostazioni di analisi non influiscono sul modello AWS CloudFormation. Non è necessario eseguire nuovamente il deployment del modello. Se il valore di un tag o di un ID istanza non è corretto (ad esempio, è stato scritto male) e la risorsa specificata non esiste, il valore viene ignorato durante la scansione.
    Opzione Descrizione
    Intervallo di analisi Inserisci il numero di ore tra ogni analisi. I valori validi sono compresi tra 6 e 24. Il valore predefinito è 6. Le scansioni più frequenti potrebbero causare un aumento dell'utilizzo delle risorse e possibilmente un aumento degli addebiti di fatturazione.
    Regioni AWS

    Scegli un sottoinsieme di regioni da includere nella scansione di valutazione delle vulnerabilità.

    Vengono scansionate solo le istanze delle regioni selezionate. Seleziona una o più regioni AWS da includere nella ricerca.

    Se hai configurato regioni specifiche nel connettore Amazon Web Services (AWS), assicurati che le regioni selezionate qui siano uguali o un sottoinsieme di quelle definite quando hai configurato la connessione ad AWS.

    Tag AWS Specifica i tag che identificano il sottoinsieme di istanze sottoposte a scansione. Vengono scansionate solo le istanze con questi tag. Inserisci la coppia chiave-valore per ogni tag. Se viene specificato un tag non valido, questo verrà ignorato. Puoi specificare un massimo di 50 tag. Per ulteriori informazioni sui tag, consulta Taggare le risorse Amazon EC2 e Aggiungere e rimuovere tag per le risorse Amazon EC2.
    Escludi per ID istanza

    Escludi le istanze EC2 da ogni scansione specificando il ID istanza EC2. Puoi specificare un massimo di 50 ID istanza. Se vengono specificati valori non validi, questi verranno ignorati. Se definisci più ID istanza, questi vengono combinati utilizzando l'operatore AND.

    • Se selezioni Escludi istanza per ID, inserisci manualmente ogni ID istanza facendo clic su Aggiungi istanza AWS EC2 e poi digitando il valore.
    • Se selezioni Copia e incolla un elenco di ID istanze da escludere nel formato JSON, esegui una delle seguenti operazioni:

      • Inserisci un array di ID istanza. Ad esempio:

        [ "instance-id-1", "instance-id-2" ]
      • Carica un file con l'elenco degli ID istanza. I contenuti del file devono essere un array di ID istanza, ad esempio:

        [ "instance-id-1", "instance-id-2" ]
    Esegui la scansione dell'istanza SC1 Seleziona Scan SC1 instance (Esegui la scansione dell'istanza SC1) per includere queste istanze. Le istanze SC1 sono escluse per impostazione predefinita. Scopri di più sulle istanze SC1.
    Esegui la scansione dell'istanza ST1 Seleziona Scan ST1 instance (Esegui la scansione dell'istanza ST1) per includerle. Le istanze ST1 sono escluse per impostazione predefinita. Scopri di più sulle istanze ST1.

    Esegui il deployment del modello AWS CloudFormation

    1. Vai alla pagina Modello AWS CloudFormation nella console di gestione AWS.
    2. Fai clic su Pile > Con nuove risorse (standard).
    3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
    4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare nessun altro parametro nel modello.
    5. Seleziona Specifica i dettagli della pila. Si apre la pagina Configura le opzioni dell'elenco filtri.
    6. In Autorizzazioni, seleziona il IAM Vulnerability Assessment Role che hai creato in precedenza.
    7. Fai clic su Avanti.
    8. Seleziona la casella di conferma.
    9. Fai clic su Invia per eseguire il deployment del modello. L'esecuzione dello stack richiede alcuni minuti.

    Lo stato del deployment viene visualizzato nella console AWS. Se il deployment del modello CloudFormation non va a buon fine, consulta la sezione Risoluzione dei problemi.

    Dopo l'avvio delle scansioni, se vengono rilevate vulnerabilità, i risultati corrispondenti vengono generati e visualizzati nella pagina Risultati di Security Command Center nella console Google Cloud.

    Esaminare i risultati nella console

    Puoi visualizzare i risultati di Valutazione delle vulnerabilità per AWS nella console Google Cloud. Il ruolo IAM minimo richiesto per visualizzare i risultati è Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

    Per esaminare i risultati della valutazione delle vulnerabilità per AWS nella console Google Cloud, segui questi passaggi:

    Console Google Cloud

    1. Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.

      Vai a Risultati

    2. Seleziona il tuo progetto o la tua organizzazione Google Cloud.
    3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Valutazione vulnerabilità EC2. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
    4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
    5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
    6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

    Console Security Operations

    1. Nella console Security Operations, vai alla pagina Risultati.
      https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
      

      Sostituisci CUSTOMER_SUBDOMAIN con l'identificatore specifico del cliente.

    2. Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato della sorgente.
    3. Seleziona Vulnerability Assessment di EC2. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
    4. Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
    5. Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
    6. (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.

    Risoluzione dei problemi

    Se hai attivato il servizio Vulnerability Assessment for AWS, ma le analisi non vengono eseguite, controlla quanto segue:

    • Verifica che il connettore AWS sia configurato correttamente.
    • Verifica che lo stack del modello CloudFormation sia stato disegnato completamente. Il suo stato nell'account AWS deve essere CREATION_COMPLETE.