Ativar e usar a avaliação de vulnerabilidades da AWS

Nesta página, descrevemos como configurar e usar o serviço de avaliação de vulnerabilidades para Amazon Web Services (AWS).

Para ativar a avaliação de vulnerabilidades da AWS, crie uma função do IAM da AWS na plataforma da AWS, ative o serviço de avaliação de vulnerabilidades da AWS no Security Command Center e implante um modelo do CloudFormation na AWS.

Antes de começar

Para ativar o serviço Vulnerability Assessment para AWS, você precisa de determinadas permissões do IAM e o Security Command Center precisa estar conectado à AWS.

Papéis e permissões

Para concluir a configuração do serviço de avaliação de vulnerabilidades da AWS, é necessário receber papéis com as permissões necessárias no Google Cloud e na AWS.

Google Cloud funções

Make sure that you have the following role or roles on the organization: Security Center Admin Editor (roles/securitycenter.adminEditor)

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    Acessar o IAM
  2. Selecionar uma organização.
  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

  5. Na lista Selecionar um papel, escolha um.
  6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
  7. Clique em Salvar.

    8. Funções da AWS

    Na AWS, um usuário administrativo precisa criar a conta necessária para ativar as verificações.

    Para criar uma função para a avaliação de vulnerabilidades na AWS, siga estas etapas:

    1. Usando uma conta de usuário administrativo da AWS, acesse a página Funções do IAM no AWS Management Console.
    2. No menu Serviço ou caso de uso, selecione lambda.
    3. Adicione as seguintes políticas de permissão:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    4. Clique em Adicionar permissão > Criar política inline para criar uma nova política de permissão:
      1. Abra a seguinte página e copie a política: Política de função para avaliação de vulnerabilidades na AWS e detecção de ameaças em VMs.
      2. No Editor JSON, cole a política.
      3. Especifique um nome para a política.
      4. Salve a política.
    5. Abra a guia Relações de confiança.

    6. Cole o seguinte objeto JSON, adicionando-o a qualquer matriz de instruções existente:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    7. Salve a função.

    Você vai atribuir essa função mais tarde, quando instalar o modelo do CloudFormation na AWS.

    Coletar informações sobre os recursos da AWS que serão verificados

    Durante as etapas para ativar a Vulnerability Assessment na AWS, é possível personalizar a configuração para verificar regiões específicas da AWS, tags específicas que identificam recursos da AWS e volumes específicos de unidade de disco rígido (HDD) (SC1 e ST1).

    É útil ter essas informações disponíveis antes de configurar a avaliação de vulnerabilidades da AWS.

    Confirmar se o Security Command Center está conectado à AWS

    O serviço de avaliação de vulnerabilidades da AWS exige acesso ao inventário de recursos da AWS que o Inventário de recursos do Cloud mantém quando o Security Command Center está conectado à AWS.

    Se uma conexão ainda não estiver estabelecida, você precisará configurar uma ao ativar o serviço de avaliação de vulnerabilidades da AWS.

    Para configurar uma conexão, consulte Conectar à AWS para configuração e coleta de dados de recursos.

    Ativar a avaliação de vulnerabilidades da AWS no Security Command Center

    A avaliação de vulnerabilidades da AWS precisa ser ativada em Google Cloud no nível da organização.

    1. Acesse a página Visão geral de risco no Security Command Center:

      Acessar a visão geral de riscos

    2. Selecione a organização em que você quer ativar a avaliação de vulnerabilidades da AWS.

    3. Clique em Configurações.

    4. No card Avaliação de vulnerabilidades, clique em Gerenciar configurações. A página Avaliação de vulnerabilidades será aberta.

    5. Selecione a guia Amazon Web Services.

    6. Na seção Ativação do serviço, mude o campo Status para Ativar.

    7. Na seção Conector da AWS, verifique se o status mostra Conector da AWS adicionado. Se o status mostrar Nenhum conector da AWS adicionado, clique em Adicionar conector da AWS. Conclua as etapas em Conectar à AWS para configuração e coleta de dados de recursos antes de passar para a próxima etapa.

    8. Configure as Configurações de verificação de computação e armazenamento da AWS. Para mudar a configuração padrão, clique em Editar configurações de verificação. Para informações sobre cada opção, consulte Personalizar as configurações de verificação para computação e armazenamento da AWS.

    9. Se você já ativou a VM Threat Detection para AWS e implantou o modelo do CloudFormation como parte desse recurso, pule esta etapa. Na seção Configurações de verificação, clique em Fazer o download do modelo do CloudFormation. Um modelo JSON é baixado na sua estação de trabalho. É necessário implantar o modelo em cada conta da AWS que você precisa verificar em busca de vulnerabilidades.

    Personalizar as configurações de verificação para computação e armazenamento da AWS

    Esta seção descreve as opções disponíveis para personalizar a verificação de recursos da AWS. Essas opções personalizadas estão na seção Configurações de verificação de computação e armazenamento da AWS ao editar uma verificação da avaliação de vulnerabilidade da AWS.

    É possível definir no máximo 50 tags da AWS e IDs de instância do Amazon EC2. As mudanças nas configurações de verificação não afetam o modelo do AWS CloudFormation. Não é necessário reimplantar o modelo. Se um valor de tag ou ID de instância não estiver correto (por exemplo, se o valor estiver com um erro de ortografia) e o recurso especificado não existir, o valor será ignorado durante a verificação.
    Opção Descrição
    Intervalo de verificação Insira o número de horas entre cada verificação. Os valores válidos variam de 6 a 24. O valor padrão é 6. Varreduras mais frequentes podem aumentar o uso de recursos e possivelmente as cobranças de faturamento.
    Regiões da AWS

    Escolha um subconjunto de regiões para incluir na verificação de avaliação de vulnerabilidades.

    Somente as instâncias das regiões selecionadas são verificadas. Selecione uma ou mais regiões da AWS para incluir na verificação.

    Se você configurou regiões específicas no conector da Amazon Web Services (AWS), verifique se as regiões selecionadas aqui são as mesmas ou um subconjunto daquelas definidas quando você configurou a conexão com a AWS.

    Tags da AWS Especifique tags que identificam o subconjunto de instâncias verificadas. Somente instâncias com essas tags são verificadas. Insira o par de chave-valor para cada tag. Se uma tag inválida for especificada, ela será ignorada. É possível especificar no máximo 50 tags. Para mais informações sobre tags, consulte Marcar seus recursos do Amazon EC2 e Adicionar e remover tags para recursos do Amazon EC2.
    Excluir por ID de instância

    Exclua instâncias do EC2 de cada verificação especificando o ID da instância do EC2. É possível especificar no máximo 50 IDs de instância. Se valores inválidos forem especificados, eles serão ignorados. Se você definir vários IDs de instância, eles serão combinados usando o operador AND.

    • Se você selecionar Excluir instância por ID, insira cada ID de instância manualmente clicando em Adicionar instância do AWS EC2 e digitando o valor.

    • Se você selecionar Copie e cole uma lista de IDs de instância para excluir no formato JSON, faça uma destas ações:

      • Insira uma matriz de IDs de instância. Exemplo:

        [ "instance-id-1", "instance-id-2" ]

      • Faça upload de um arquivo com a lista de IDs de instância. O conteúdo do arquivo precisa ser uma matriz de IDs de instância, por exemplo: 

        [ "instance-id-1", "instance-id-2" ]
    Verificar instância SC1 Selecione Verificar instância SC1 para incluir essas instâncias. As instâncias SC1 são excluídas por padrão. Saiba mais sobre as instâncias SC1.
    Verificar instância ST1 Selecione Verificar instância ST1 para incluir essas instâncias. As instâncias ST1 são excluídas por padrão. Saiba mais sobre as instâncias ST1.
    Verificar Elastic Container Registry (ECR) Selecione Verificar instância do Elastic Container Registry para verificar imagens de contêiner armazenadas no ECR e os pacotes instalados. Saiba mais sobre o Elastic Container Registry.

    Implante o modelo do AWS CloudFormation

    Siga estas etapas pelo menos seis horas depois de criar um conector da AWS.

    Para informações detalhadas sobre como implantar um modelo do CloudFormation, consulte Criar uma pilha no console do CloudFormation na documentação da AWS.

    1. Acesse a página Modelo do AWS CloudFormation no AWS Management Console.
    2. Clique em Stacks > Com novos recursos (padrão).
    3. Na página Criar pilha, selecione Escolher um modelo atual e Fazer upload de um arquivo de modelo para enviar o modelo do CloudFormation.
    4. Depois que o upload for concluído, insira um nome exclusivo para a pilha. Não modifique nenhum outro parâmetro no modelo.
    5. Selecione Especificar detalhes da pilha. A página Configurar opções de pilha é aberta.
    6. Em Permissões, selecione a função da AWS que você criou antes.
    7. Se solicitado, marque a caixa de confirmação.
    8. Clique em Enviar para implantar o modelo. A pilha leva alguns minutos para começar a ser executada.

    O status da implantação é exibido no console da AWS. Se o modelo do CloudFormation não for implantado, consulte a seção Solução de problemas.

    Depois que as verificações começarem a ser executadas, se alguma vulnerabilidade for detectada, as descobertas correspondentes serão geradas e exibidas na página Descobertas do Security Command Center no console doGoogle Cloud .

    Analisar descobertas no console

    É possível conferir os resultados da avaliação de vulnerabilidades para AWS no console Google Cloud . O papel mínimo do IAM necessário para visualizar descobertas é Leitor de descobertas da Central de segurança (roles/securitycenter.findingsViewer).

    Para analisar as descobertas da Vulnerability Assessment para AWS no console do Google Cloud , siga estas etapas:

    Padrão ou Premium

    1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

      Acesse Descobertas

    2. Selecione o projeto Google Cloud ou a organização.
    3. Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
    4. Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
    5. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
    6. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

    Enterprise

    1. No console do Google Cloud , acesse a página Descobertas do Security Command Center.

      Acesse Descobertas no nível Enterprise

    2. Selecione sua Google Cloud organização.
    3. Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
    4. Selecione Avaliação de vulnerabilidades do EC2. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
    5. Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
    6. Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
    7. Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.

    Solução de problemas

    Se você ativou o serviço de avaliação de vulnerabilidades, mas as verificações não estão sendo executadas, confira o seguinte:

    • Verifique se o conector da AWS está configurado corretamente.
    • Confirme se a pilha de modelos do CloudFormation foi implantada completamente. O status na conta da AWS precisa ser CREATION_COMPLETE.