חיבור ל-AWS לצורך איסוף נתונים של הגדרות ומשאבים

אתם יכולים לחבר את מהדורת Enterprise של Security Command Center לסביבת Amazon Web Services (AWS) כדי לבצע את הפעולות הבאות:

• זיהוי ותיקון של נקודות חולשה בתוכנה וטעויות בהגדרות בסביבת AWS
• יצירה וניהול של מצב אבטחה ב-AWS
• זיהוי נתיבי תקיפה פוטנציאליים מהאינטרנט הציבורי אל נכסי AWS בעלי ערך גבוה
• מיפוי התאימות של משאבי AWS לתקנים ולמדדים שונים

כשמחברים את Security Command Center ל-AWS, נוצר מקום אחד שבו צוות אבטחת המידע יכול לנהל ולתקן איומים ונקודות חולשה ב-Google Cloud וב-AWS.

כדי לאפשר ל-Security Command Center לנטר את הארגון שלכם ב-AWS, צריך להגדיר מחבר. המחבר משתמש בGoogle Cloud סוכן שירות ובחשבון AWS שיש לו גישה למשאבים שרוצים לנטר. ‫Security Command Center משתמש במחבר הזה כדי לאסוף נתונים באופן תקופתי בכל החשבונות והאזורים ב-AWS שאתם מגדירים. הנתונים האלה מטופלים באותו אופן כמו נתוני שירות, בהתאם להודעת הפרטיות של Google Cloud.

אפשר ליצור מחבר AWS אחד לכל ארגון. Google Cloud המחבר משתמש בקריאות ל-API כדי לאסוף נתוני נכסים של AWS. יכול להיות שיחולו חיובים על קריאות ה-API האלה ב-AWS.

במאמר הזה מוסבר איך להגדיר את המחבר ל-AWS. כשמגדירים מחבר, קובעים את ההגדרות הבאות:

• סדרה של חשבונות ב-AWS שיש להם גישה ישירה למשאבי AWS שרוצים לעקוב אחריהם. במסוף Google Cloud , החשבונות האלה נקראים חשבונות לאיסוף נתונים.
• חשבון ב-AWS שיש בו את הכללים והתפקידים המתאימים שמאפשרים אימות לחשבונות של כלי האיסוף. במסוף Google Cloud , החשבון הזה נקרא חשבון עם הרשאת גישה. גם החשבון שהוקצו לו הרשאות וגם החשבונות של המרכזים צריכים להיות באותו ארגון AWS.
• סוכן שירות ב- Google Cloud שמתחבר לחשבון המוקצה לצורך אימות.
• צינור להעברת נתונים לאיסוף נתוני נכסים ממקורות של AWS.
• אופציונלי: הרשאות ל-Sensitive Data Protection ליצירת פרופיל של התוכן ב-AWS.

סוגים של איסוף נתונים

בהתאם ליעדי האבטחה שלכם, אתם יכולים לקשר את Security Command Center ל-AWS כדי לאסוף סוגים שונים של נתונים:

• נתוני משאבים והגדרות: המחבר של AWS אוסף מטא-נתונים של הגדרות ונתוני משאבים כדי לגלות הגדרות שגויות, להעריך את מצב האבטחה ולזהות נתיבי תקיפה.
• נתוני יומן: כדי להפעיל יכולות זיהוי שנאספו על ידי SIEM ולנתח יומני אירועים של AWS (כמו CloudTrail), צריך להגדיר חיבור נפרד להזנת יומנים. מידע נוסף זמין במאמר חיבור ל-AWS לצורך איסוף נתוני יומנים.

התרשים הבא מציג את ההגדרה הזו. פרויקט הדייר הוא פרויקט שנוצר באופן אוטומטי ומכיל את מופע צינור איסוף נתוני הנכסים שלכם.

סקירה כללית של שלבי ההגדרה

כדי לחבר את Security Command Center ל-AWS, צריך לבצע את השלבים הבאים גם ב-AWS וגם ב- Google Cloud

1. מבצעים את השלבים שבקטע לפני שמתחילים.

2. מגדירים את המחבר של AWS ומציינים את מזהה החשבון שהוקצתה לו הרשאה. הפעולה הזו יוצרת את מזהה סוכן השירות שנדרש להגדרת AWS.

3. מגדירים את סביבת AWS כדי ליצור את התפקידים והמדיניות הנדרשים באחת מהשיטות הבאות:

   • באופן אוטומטי באמצעות תבניות CloudFormation.
   • באופן ידני על ידי הזנת חשבונות AWS.

4. משלימים את תהליך ההגדרה של מחבר AWS ובודקים את החיבור.

לפני שמתחילים

צריך להשלים את המשימות האלה לפני שממשיכים למשימות הנותרות בדף הזה.

הגדרת הרשאות ב Google Cloud

כדי לקבל את ההרשאות שדרושות לשימוש במחבר של AWS, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Cloud Asset Owner (roles/cloudasset.owner). כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת חשבונות AWS

ודאו שיש לכם את משאבי AWS הבאים:

• משתמש AWS IAM עם גישה ל-AWS IAM למסופי חשבון AWS של הנציג והאוסף.

• מזהה החשבון ב-AWS של חשבון AWS שאפשר להשתמש בו כחשבון מוקצה. החשבון שהוקצו לו הרשאות צריך לעמוד בדרישות הבאות:

  • החשבון שהוקצו לו הרשאות צריך להיות מצורף לארגון AWS. כדי לצרף חשבון לארגון AWS:

    1. יוצרים או מזהים ארגון שאליו יצורף החשבון עם הרשאת הגישה.
    2. מזמינים את החשבון שקיבל הרשאת גישה להצטרף לארגון.

  • החשבון שהוקצו לו הרשאות חייב להיות אחד מהסוגים הבאים:

    • חשבון ניהול ב-AWS.
    • אדמין עם הרשאות ב-AWS.
    • חשבון AWS עם מדיניות הרשאה מבוססת-משאבים שמעניקה את ההרשאה organizations:ListAccounts. דוגמה למדיניות מופיעה במאמר יצירת מדיניות להענקת הרשאות לפי משאבים באמצעות AWS Organizations במסמכי התיעוד של AWS.

סקירת התכונות של AWS

חשוב להכיר את המושגים והיכולות הבאים ב-AWS:

• תפקידים ב-AWS IAM ויחסי אמון

• AWS CloudFormation StackSets

• חשבונות ניהול ואדמין עם הרשאות מוגבלות ב-AWS Organizations

תכנון איסוף הנתונים

כשמתכננים את אסטרטגיית איסוף הנתונים, צריך לבצע את הפעולות הבאות. תצטרכו את המידע הזה כדי לבצע את השלבים שמתוארים במאמר הזה.

• מאתרים את מזהה חשבון הניהול ב-AWS. צריך להפעיל את ערכות המחסניות של CloudFormation מחשבון הניהול.
• מזהים את חשבון AWS שבו תשתמשו כחשבון מוקצה. החשבון הזה מאמת את החיבור אל Google Cloud.
• קובעים מאילו אזורים וחשבונות ב-AWS רוצים לאסוף נתונים.

הגדרת המחבר של AWS

1. פותחים את הכרטיסייה מחברים בדף הגדרות.

   כניסה לדף Connectors

2. בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.

3. בוחרים באפשרות מחברים > הוספת מחבר > Amazon Web Services.

4. בקטע מזהה חשבון מואצל, מזינים את מזהה החשבון ב-AWS שאפשר להשתמש בו כחשבון מואצל.

5. כדי לאפשר ל-Sensitive Data Protection ליצור פרופיל של נתוני AWS, צריך להשאיר את האפשרות Grant permissions for Sensitive Data Protection discovery מסומנת. האפשרות הזו מוסיפה הרשאות של AWS Identity and Access Management ‏ (IAM) בתבנית CloudFormation לתפקיד של כלי האיסוף.

   הרשאות AWS IAM שניתנות באמצעות האפשרות הזו

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • s3:GetObjectVersion
   • s3:GetBucketPublicAccessBlock
   • s3:GetBucketOwnershipControls
   • s3:GetBucketTagging
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy
   • ce:GetCostAndUsage
   • dynamodb:DescribeTableReplicaAutoScaling
   • identitystore:ListGroupMemberships
   • identitystore:ListGroups
   • identitystore:ListUsers
   • lambda:GetFunction
   • lambda:GetFunctionConcurrency
   • logs:ListTagsForResource
   • s3express:CreateSession
   • s3express:GetBucketPolicy
   • s3express:ListAllMyDirectoryBuckets
   • wafv2:GetIPSet

6. אופציונלי: בודקים ועורכים את האפשרויות המתקדמות. מידע על אפשרויות נוספות זמין במאמר התאמה אישית של הגדרות המחבר של AWS.

7. לוחצים על Continue. ייפתח הדף Connect to AWS (חיבור ל-AWS).

8. צריך לבחור אחת מהאפשרויות האלה:

   • משתמשים בתבניות AWS CloudFormation, ואז מורידים ובודקים את תבניות CloudFormation לתפקיד המוקצה ולתפקיד של כלי האיסוף.

   • הגדרה ידנית של חשבונות AWS: בוחרים באפשרות הזו אם הגדרתם את האפשרויות המתקדמות או אם אתם צריכים לשנות את שמות התפקידים ב-AWS שמוגדרים כברירת מחדל (aws-delegated-role,‏ aws-collector-role ו-aws-sensitive-data-protection-role). מעתיקים את המזהה של סוכן השירות, את השם של התפקיד שהוקצו לו הרשאות, את השם של תפקיד האיסוף ואת השם של תפקיד האיסוף של Sensitive Data Protection.

   אחרי שיוצרים את הקישור, אי אפשר לשנות את שמות התפקידים.

9. כדי להגדיר את התפקידים וכללי המדיניות הנדרשים, פועלים לפי ההוראות במאמר בנושא הגדרת סביבת AWS.

הגדרת הסביבה של AWS

אפשר להגדיר את סביבת AWS באחת מהדרכים הבאות:

• משתמשים בתבניות CloudFormation שהורדתם בקטע הגדרת מחבר AWS. הוראות מפורטות זמינות במאמר בנושא שימוש בתבניות CloudFormation להגדרת סביבת AWS.
• אם אתם משתמשים בהגדרות או בשמות תפקידים בהתאמה אישית, אתם צריכים להגדיר את חשבונות AWS באופן ידני. הוראות מפורטות זמינות במאמר הגדרה ידנית של חשבונות AWS.

שימוש בתבניות CloudFormation להגדרת סביבת AWS

אם הורדתם תבניות של CloudFormation, אתם יכולים להשתמש בשלבים הבאים כדי להגדיר את סביבת AWS:

1. נכנסים למסוף של חשבון AWS עם הרשאות ניהול. חשוב לוודא שאתם מחוברים לחשבון הנציג שמשמש להנפקת הרשאות לחשבונות AWS אחרים של איסוף נתונים (כלומר, לחשבון ניהול של AWS או לכל חשבון חבר שרשום כאדמין עם הרשאות גישה).

2. יוצרים מחסנית שמקצה את תפקיד הנציג. מידע נוסף זמין במאמר בנושא יצירת סטאק.

   חשוב לזכור:

   • אם שיניתם את שם התפקיד של התפקיד שהוקצה, תפקיד המאסף או התפקיד של Sensitive Data Protection, צריך לעדכן את הפרמטרים בהתאם. הפרמטרים שאתם מזינים צריכים להיות זהים לאלה שמופיעים בדף Connect to AWS במסוף Google Cloud .
   • מחכים ליצירת ה-stack. אם מתרחשת שגיאה, אפשר להיעזר בקטע פתרון בעיות. מידע נוסף זמין במאמר בנושא יצירת מחסנית במסוף AWS CloudFormation במסמכי התיעוד של AWS.

3. יוצרים מחסנית שמקצה את תפקידי האוסף. מידע נוסף על אופן הביצוע מופיע במאמר יצירת CloudFormation StackSets עם הרשאות שמנוהלות על ידי שירות.

   חשוב לזכור:

   • אם הוספתם חשבונות AWS בנפרד (על ידי בחירה באפשרות הוספת חשבונות בנפרד כשמגדירים את המחבר במסוףGoogle Cloud ), אתם יכולים גם ליצור מחסניות נפרדות לכל חשבון AWS במקום ליצור קבוצת מחסניות אחת.

     • ההגדרה המומלצת היא הרשאות שמנוהלות על ידי השירות. אתם יכולים לבחור להשתמש בהרשאות בניהול עצמי, אבל אז תצטרכו להעניק את ההרשאות באופן ידני.

     • אם שיניתם את שם התפקיד של התפקיד שהוקצה, תפקיד המאסף או התפקיד של Sensitive Data Protection, צריך לעדכן את הפרמטרים בהתאם. הפרמטרים שאתם מזינים צריכים להיות זהים לאלה שמופיעים בדף Connect to AWS במסוף Google Cloud .

     • מגדירים את האפשרויות של קבוצת הערימות בהתאם לדרישות הארגון.

     • כשמציינים את אפשרויות הפריסה, בוחרים את יעדי הפריסה. אפשר לפרוס את התוסף בכל הארגון ב-AWS או לפרוס אותו ביחידה ארגונית (OU) שכוללת את כל החשבונות ב-AWS שמהם רוצים לאסוף נתונים.

     • מציינים את האזורים ב-AWS שבהם רוצים ליצור את התפקידים ואת כללי המדיניות. מכיוון שתפקידים הם משאבים גלובליים, לא צריך לציין כמה אזורים.

     • אם מופיעה שגיאה, אפשר להיעזר בקטע פתרון בעיות. מידע נוסף זמין במאמר יצירת CloudFormation StackSets עם הרשאות שמנוהלות על ידי השירות במסמכי התיעוד של AWS.

4. אם אתם צריכים לאסוף נתונים מחשבון הניהול, אתם צריכים להיכנס לחשבון הניהול ולפרוס מחסנית נפרדת כדי להקצות את תפקידי האוסף. כשמציינים את התבנית, מעלים את קובץ התבנית של תפקיד המאסף.

   השלב הזה נדרש כי ערכות מחסניות של AWS CloudFormation לא יוצרות מופעי מחסניות בחשבונות ניהול. מידע נוסף זמין במאמר בנושא DeploymentTargets במסמכי העזרה של AWS.

אחרי שמסיימים את השלבים האלה, משלימים את ההגדרה של מחבר AWS.

הגדרה ידנית של חשבונות AWS

אם אתם לא יכולים להשתמש בתבניות CloudFormation (לדוגמה, אם אתם משתמשים בשמות תפקידים שונים או מבצעים התאמה אישית של השילוב), אתם יכולים ליצור באופן ידני את מדיניות ה-AWS IAM ואת תפקידי ה-AWS IAM הנדרשים.

בודקים את הקטעים הבאים וממלאים אותם לפי הסדר:

1. יצירת מדיניות AWS IAM לתפקיד המוקצה.
2. יוצרים תפקיד AWS IAM ליחסי האמון בין AWS לבין Google Cloud.
3. יוצרים את מדיניות AWS IAM לאיסוף נתוני הגדרות של נכסים.
4. יוצרים את תפקיד ה-IAM ב-AWS לאיסוף נתוני הגדרות של נכסים בכל חשבון.
5. יצירת מדיניות AWS IAM עבור Sensitive Data Protection.

צריך ליצור מדיניות IAM של AWS ותפקידי IAM של AWS עבור החשבון המוקצה וחשבונות האיסוף.

יצירת מדיניות AWS IAM לתפקיד המוקצה

כדי ליצור מדיניות AWS IAM לתפקיד המוקצה (מדיניות מוקצית), פועלים לפי השלבים במאמר יצירת מדיניות בתיעוד של AWS.

כשיוצרים את המדיניות, מדביקים את אחת האפשרויות הבאות בשלב של ה-JSON, בהתאם לתיבת הסימון Grant permissions for Sensitive Data Protection discovery (הענקת הרשאות לגילוי נתונים רגישים) שסימנתם בConfigure Security Command Center (הגדרת Security Command Center).

    {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Action": "sts:AssumeRole",
              "Resource": "arn:aws:iam:::role/COLLECTOR_ROLE_NAME",
              "Effect": "Allow"
          },
          {
              "Action": [
                  "organizations:List",
                  "organizations:Describe"
              ],
              "Resource": "",
              "Effect": "Allow"
          }
      ]
    }
    

מחליפים את COLLECTOR_ROLE_NAME בשם של תפקיד המאסף שהעתקתם כשהגדרתם את Security Command Center (ברירת המחדל היא aws-collector-role).

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    

יצירת תפקיד AWS IAM ליחסי האמון בין AWS לבין Google Cloud

יוצרים תפקיד עם הרשאות גישה מוגבלות שמגדיר יחסי אמון בין AWS לביןGoogle Cloud. התפקיד הזה משתמש במדיניות המוקצית שנוצרה בקטע יצירת מדיניות AWS IAM לתפקיד המוקצה.

פועלים לפי ההוראות שבמאמר יצירת תפקיד עבור OIDC בתיעוד של AWS.

כשיוצרים את התפקיד, מציינים את הפרטים הבאים:

• סוג ישות מהימנה: בוחרים באפשרות זהות אינטרנט.

• ספק זהויות: בוחרים באפשרות Google.

• קהל: מזינים את מזהה סוכן השירות שהעתקתם כשהגדרתם את Security Command Center.

• כדי לתת לתפקיד המואצל גישה לתפקידי האוסף, צריך לצרף את מדיניות ההרשאות לתפקיד. מחפשים את המדיניות שהוקצתה שנוצרה בקטע יצירת מדיניות AWS IAM לתפקיד שהוקצה ובוחרים אותה.

• פרטי התפקיד: מזינים את השם של התפקיד שהוקצו לו הרשאות שהעתקתם כשהגדרתם את Security Command Center (שם ברירת המחדל הוא aws-delegated-role).

יצירת מדיניות AWS IAM לאיסוף נתוני הגדרות של נכסים

כדי ליצור מדיניות AWS IAM לאיסוף נתוני הגדרות של נכסים (מדיניות של כלי איסוף), מבצעים את הפעולות הבאות:

• פועלים לפי השלבים במאמר יצירת מדיניות במסמכי AWS, וחוזרים על השלבים האלה לפי הצורך לכל חשבון של כלי איסוף.

  כשיוצרים את התפקיד, מציינים את הפרטים הבאים בשלב של ה-JSON:

  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:GetCostAndUsage",
                "dynamodb:DescribeTableReplicaAutoScaling",
                "identitystore:ListGroupMemberships",
                "identitystore:ListGroups",
                "identitystore:ListUsers",
                "lambda:GetFunction",
                "lambda:GetFunctionConcurrency",
                "logs:ListTagsForResource",
                "s3express:GetBucketPolicy",
                "s3express:ListAllMyDirectoryBuckets",
                "wafv2:GetIPSet"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:GET"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/usageplans",
                "arn:aws:apigateway:*::/usageplans/*/keys",
                "arn:aws:apigateway:*::/vpclinks/*"
            ]
        }
    ]
  
  }
  

יצירת תפקיד AWS IAM לאיסוף נתוני הגדרות של נכסים בכל חשבון

יוצרים את תפקיד המאסף שמאפשר ל-Security Command Center לקבל נתוני תצורה של נכסים מ-AWS. התפקיד הזה משתמש במדיניות האיסוף שנוצרה במאמר יצירת מדיניות AWS IAM לאיסוף נתוני הגדרות נכסים.

• פועלים לפי השלבים במאמר יצירת תפקיד בהתאמה אישית בחומרי העזר של AWS, וחוזרים על השלבים האלה לפי הצורך לכל חשבון של כלי איסוף.

  במדיניות המותאמת אישית להרשאות שיתוף, מוסיפים את הדברים הבאים:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
        },
        "Action": "sts:AssumeRole"
      }
    ]
  }
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫DELEGATE_ACCOUNT_ID: מזהה החשבון ב-AWS של חשבון הנציג.

  • ‫DELEGATE_ACCOUNT_ROLE: שם התפקיד שהוקצו לו הרשאות שהעתקתם כשהגדרתם את Security Command Center.

  • כדי לתת לתפקיד הזה של איסוף נתונים גישה לנתוני ההגדרה של נכסי AWS, צריך לצרף את מדיניות ההרשאות לתפקיד. מחפשים את מדיניות איסוף הנתונים המותאמת אישית שנוצרה בקטע יצירת מדיניות AWS IAM לאיסוף נתונים של הגדרות נכסים ובוחרים אותה.

  • מחפשים ובוחרים את המדיניות המנוהלת הבאה:

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess.
    • arn:aws:iam::aws:policy/SecurityAudit.

  • בקטע פרטי התפקיד, מזינים את השם של תפקיד איסוף נתוני ההגדרה שהעתקתם כשהגדרתם את Security Command Center.

אם סימנתם את התיבה Grant permissions for Sensitive Data Protection discovery (הענקת הרשאות לגילוי נתונים רגישים) בקטע Configure Security Command Center (הגדרת Security Command Center), אפשר להמשיך לקטע הבא.

אם לא סימנתם את תיבת הסימון Grant permissions for Sensitive Data Protection discovery, צריך להשלים את ההגדרה של מחבר AWS.

יצירת מדיניות AWS IAM להגנה על נתונים רגישים

אם סימנתם את התיבה Grant permissions for Sensitive Data Protection discovery (מתן הרשאות לגילוי נתונים רגישים) בConfigure Security Command Center (הגדרת Security Command Center), צריך לבצע את השלבים הבאים.

כדי ליצור מדיניות AWS IAM עבור Sensitive Data Protection (מדיניות של כלי איסוף), מבצעים את הפעולות הבאות:

• פועלים לפי השלבים במאמר יצירת תפקיד בהתאמה אישית בחומרי העזר של AWS, וחוזרים על הפעולה לפי הצורך לכל חשבון של כלי האיסוף.

  כשיוצרים את התפקיד בהתאמה אישית, מציינים את הפרטים הבאים בשלב של ה-JSON:

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": [
          "s3:GetBucketLocation",
          "s3:ListAllMyBuckets",
          "s3:GetBucketPolicyStatus",
          "s3:ListBucket",
          "s3:GetObject",
          "s3:GetObjectVersion",
          "s3:GetBucketPublicAccessBlock",
          "s3:GetBucketOwnershipControls",
          "s3:GetBucketTagging"
        ],
        "Resource": ["arn:aws:s3:::*"]
      },
      {
        "Effect": "Allow",
        "Action": [
          "iam:ListAttachedRolePolicies",
          "iam:GetPolicy",
          "iam:GetPolicyVersion",
          "iam:ListRolePolicies",
          "iam:GetRolePolicy",
          "ce:GetCostAndUsage",
          "dynamodb:DescribeTableReplicaAutoScaling",
          "identitystore:ListGroupMemberships",
          "identitystore:ListGroups",
          "identitystore:ListUsers",
          "lambda:GetFunction",
          "lambda:GetFunctionConcurrency",
          "logs:ListTagsForResource",
          "s3express:GetBucketPolicy",
          "s3express:ListAllMyDirectoryBuckets",
          "wafv2:GetIPSet"
        ],
        "Resource": ["*"]
      },
      {
        "Effect": "Allow",
        "Action": [
            "s3express:CreateSession"
        ],
        "Resource": ["arn:aws:s3express:*:*:bucket/*"]
      }
    ]
  }
  

יצירת תפקיד AWS IAM ל-Sensitive Data Protection בכל חשבון

צריך לבצע את השלבים האלה אם סימנתם את תיבת הסימון Grant permissions for Sensitive Data Protection discovery (הענקת הרשאות לגילוי נתונים רגישים) בקטע Configure the AWS connector (הגדרת מחבר AWS).

יוצרים את תפקיד האוסף שמאפשר לשירות Sensitive Data Protection ליצור פרופיל של התוכן במשאבי AWS. התפקיד הזה משתמש במדיניות ה-Collector שנוצרה בשלב יצירת מדיניות AWS IAM עבור Sensitive Data Protection.

• פועלים לפי השלבים במאמר יצירה של תפקיד לניהול זהויות וגישה באמצעות מדיניות אמון בהתאמה אישית (מסוף) בחומרי העזר של AWS, וחוזרים על השלבים לפי הצורך לכל חשבון של כלי האיסוף.

  כשיוצרים את המדיניות, מציינים את הפרטים הבאים:

  • סוג ישות מהימנה: בוחרים באפשרות מדיניות מהימנות בהתאמה אישית.

  • במדיניות המותאמת אישית להרשאות שיתוף, מדביקים את הטקסט הבא:

    {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
        },
        "Action": "sts:AssumeRole"
      }
    ]
    }
    

    מחליפים את מה שכתוב בשדות הבאים:

    • ‫DELEGATE_ACCOUNT_ID: מזהה החשבון ב-AWS של חשבון הנציג.
    • ‫DELEGATE_ACCOUNT_ROLE: שם התפקיד המוקצה שהעתקתם כשהגדרתם את Security Command Center.

  • כדי להעניק לתפקיד הזה של איסוף נתונים גישה לתוכן של משאבי AWS, צריך לצרף את מדיניות ההרשאות לתפקיד. מחפשים את מדיניות ה-Collector בהתאמה אישית שנוצרה בשלב יצירת מדיניות AWS IAM עבור Sensitive Data Protection ובוחרים אותה.

  • כדי לראות את פרטי התפקיד, מזינים את שם התפקיד של Sensitive Data Protection שהעתקתם כשהגדרתם את Security Command Center.

אחרי שמסיימים את השלבים האלה, משלימים את ההגדרה של מחבר AWS.

השלמת ההגדרה של מחבר AWS

1. חוזרים לדף Connect to AWS (קישור ל-AWS) ולוחצים על Continue (המשך).

2. במסוף Google Cloud , בדף Test connector, לוחצים על Test connector כדי לוודא ש-Security Command Center יכול להתחבר לסביבת AWS. אם החיבור מצליח, הבדיקה קובעת שלתפקיד המואצל יש את כל ההרשאות הנדרשות כדי לקבל את תפקידי האוסף. אם החיבור לא מצליח, אפשר לעיין במאמר פתרון בעיות של שגיאות בבדיקת החיבור.

3. לוחצים על Save.

התאמה אישית של הגדרת מחבר AWS

בקטע הזה מתוארות כמה דרכים להתאמה אישית של החיבור בין Security Command Center לבין AWS. האפשרויות האלה זמינות בקטע Advanced options (optional) בדף Add Amazon Web Services connector במסוף Google Cloud .

כברירת מחדל, Security Command Center מגלה באופן אוטומטי את חשבונות AWS בכל האזורים של AWS. החיבור משתמש בנקודת הקצה הגלובלית שמוגדרת כברירת מחדל עבור AWS Security Token Service ובשאילתות לשנייה (QPS) שמוגדרות כברירת מחדל עבור שירות AWS שאתם מנטרים. האפשרויות המתקדמות האלה מאפשרות לכם לשנות את הגדרות ברירת המחדל.

שינוי של מחבר AWS קיים

אתם יכולים לשנות מחבר AWS קיים כדי לעדכן הרשאות, למשל לתת הרשאות לגילוי נתונים רגישים כדי ליצור פרופיל של התוכן ב-AWS.

השלבים שצריך לבצע תלויים בשיטה שבה הגדרתם את סביבת AWS – באמצעות תבניות CloudFormation או באופן ידני.

עדכון של מחבר קיים באמצעות תבניות CloudFormation

אם הגדרתם את סביבת AWS באמצעות תבניות CloudFormation, אתם צריכים לפעול לפי השלבים הבאים כדי להעניק הרשאות לגילוי נתונים רגישים למחבר AWS הקיים.

1. במסוף Google Cloud , עוברים אל הגדרות.

   כניסה לדף Settings

2. בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.

3. בוחרים באפשרות מחברים. הדף Configure connector (הגדרת המחבר) ייפתח.

4. במחבר AWS, לוחצים על more_vert אפשרויות נוספות > עריכה.

5. בקטע Review data types, בוחרים באפשרות Grant permissions for Sensitive Data Protection discovery.

6. לוחצים על Continue. ייפתח הדף Connect to AWS (חיבור ל-AWS).

7. לוחצים על הורדת תבנית של תפקיד עם הרשאת גישה. התבנית תורד למחשב.

8. לוחצים על הורדת תבנית של תפקיד לאיסוף נתונים. התבנית תורד למחשב.

9. לוחצים על Continue. ייפתח הדף Test connector (בדיקת מחבר). לפני שבודקים את המחבר, צריך לעדכן את תבניות ה-stack בסביבת AWS.

עדכון סטאקים וקבוצות סטאקים ב-AWS

1. במסוף CloudFormation, מעדכנים את תבנית ה-stack עבור התפקיד שהוקצו לו הרשאות:

   1. נכנסים למסוף של חשבון AWS עם הרשאות ניהול. מוודאים שאתם מחוברים לחשבון הנציג שמשמש להנפקת חשבונות AWS אחרים של כלי האיסוף.
   2. נכנסים למסוף AWS CloudFormation.

   3. מחליפים את תבנית ה-Stack לתפקיד המוקצה בתבנית המעודכנת של התפקיד המוקצה שהורדתם.

      מידע נוסף זמין במאמר עדכון תבנית של מחסנית (מסוף) במסמכי העזרה של AWS.

2. מעדכנים את ערכת הכלים לתפקיד של המאסף:

   1. באמצעות חשבון ניהול של AWS או כל חשבון חבר שרשום כאדמין עם הרשאות גישה, עוברים אל מסוף AWS CloudFormation.

   2. מחליפים את תבנית ה-Stack Set לתפקיד של המאסף בתבנית המעודכנת של תפקיד המאסף שהורדתם.

      מידע נוסף זמין במאמר עדכון של קבוצת מחסניות באמצעות מסוף AWS CloudFormation במסמכי העזרה של AWS.

3. אם אתם צריכים לאסוף נתונים מחשבון הניהול, אתם צריכים להיכנס לחשבון הניהול ולהחליף את התבנית במערך כלי האיסוף בתבנית המעודכנת של תפקיד כלי האיסוף שהורדתם.

   השלב הזה נדרש כי ערכות מחסניות (stack) של AWS CloudFormation לא יוצרות מופעי מחסניות בחשבונות ניהול. מידע נוסף זמין במאמר בנושא DeploymentTargets במסמכי העזרה של AWS.

אימות החיבור המעודכן

1. במסוף Google Cloud , בדף Test connector, לוחצים על Test connector. אם החיבור מצליח, הבדיקה קובעת שלתפקיד שהוקצו לו הרשאות יש את כל ההרשאות הנדרשות כדי לקבל את תפקידי האוסף. אם החיבור לא מצליח, אפשר להיעזר במדריך לפתרון שגיאות בבדיקת החיבור.
2. לוחצים על Save.

עדכון ידני של מחבר קיים

אם הגדרתם את חשבונות AWS באופן ידני כשנוצר מחבר AWS, צריך לבצע את השלבים הבאים כדי להעניק הרשאות לגילוי נתונים רגישים למחבר AWS הקיים.

עדכון הגדרות המחבר

1. פותחים את הכרטיסייה מחברים בדף הגדרות.

   כניסה לדף Connectors

2. בוחרים את הארגון שבו הפעלתם את Security Command Center Enterprise.

3. במחבר AWS, לוחצים על more_vert אפשרויות נוספות > עריכה.

4. בקטע Review data types, בוחרים באפשרות Grant permissions for Sensitive Data Protection discovery.

5. לוחצים על Continue. ייפתח הדף Connect to AWS (חיבור ל-AWS).

6. לוחצים על הגדרה ידנית של חשבונות AWS (מומלץ אם משתמשים בהגדרות מתקדמות או בשמות תפקידים בהתאמה אישית).

7. מעתיקים את הערכים של השדות הבאים:

   • השם של התפקיד שהוקצו לו הרשאות
   • שם התפקיד של המשתמש שאוסף את התגובות
   • שם התפקיד של כלי האיסוף של Sensitive Data Protection

8. לוחצים על Continue. ייפתח הדף Test connector (בדיקת מחבר). לפני שבודקים את המחבר, צריך לעדכן את כללי מדיניות ה-IAM בסביבת AWS.

עדכון תפקידים וכללי מדיניות של AWS IAM

1. במסוף של חשבון הנציג ב-AWS, מעדכנים את מדיניות ה-IAM ב-AWS עבור התפקיד שהוקצה לשימוש ב-JSON הבא:

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Action": "sts:AssumeRole",
             "Resource": [
               "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
               "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
             ],
             "Effect": "Allow"
           },
           {
             "Action": [
               "organizations:List*",
               "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
           }
         ]
       }
       

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫COLLECTOR_ROLE_NAME: השם של תפקיד איסוף נתוני התצורה שהעתקתם (ברירת המחדל היא aws-collector-role)
   • ‫SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: השם של תפקיד האוסף של Sensitive Data Protection שהעתקתם (ברירת המחדל היא aws-sensitive-data-protection-role)

   מידע נוסף זמין במאמר בנושא עריכת מדיניות בניהול הלקוח (מסוף) במסמכי AWS.

2. לכל חשבון של אוסף, מבצעים את הפעולות הבאות:

   1. יצירת מדיניות AWS IAM עבור Sensitive Data Protection.

   2. יוצרים את תפקיד AWS IAM עבור Sensitive Data Protection בכל חשבון.

אימות החיבור המעודכן

1. במסוף Google Cloud , בדף Test connector, לוחצים על Test connector. אם החיבור מצליח, הבדיקה קובעת שלתפקיד שהוקצו לו הרשאות יש את כל ההרשאות הנדרשות כדי לקבל את תפקידי האוסף. אם החיבור לא מצליח, אפשר להיעזר במדריך לפתרון שגיאות בבדיקת החיבור.

2. לוחצים על Save.

פתרון בעיות

בקטע הזה מתוארות כמה בעיות נפוצות שאתם עשויים להיתקל בהן כשאתם משלבים את Security Command Center עם AWS.

המשאבים כבר קיימים

השגיאה הזו מתרחשת בסביבת AWS כשמנסים ליצור את מדיניות AWS IAM ואת תפקידי AWS IAM, והתפקיד כבר קיים בחשבון AWS.

כדי לפתור את הבעיה:

• בודקים אם התפקיד או המדיניות שאתם יוצרים כבר קיימים ועומדים בדרישות שמפורטות במדריך הזה.
• אם צריך, משנים את שם התפקיד כדי למנוע התנגשויות.

הגורם המורשה לא תקין במדיניות

השגיאה הזו יכולה להתרחש בסביבת AWS כשיוצרים את תפקידי הכלי לאיסוף נתונים, אבל תפקיד הנציג עדיין לא קיים.

כדי לפתור את הבעיה, צריך לבצע את הפעולות הבאות: ליצור את מדיניות AWS IAM עבור התפקיד שהוקצו לו הרשאות ולחכות עד שהתפקיד שהוקצו לו הרשאות נוצר לפני שממשיכים.

מגבלות של ויסות רוחב פס ב-AWS

מערכת AWS מגבילה את מספר בקשות ה-API לכל חשבון AWS על בסיס כל חשבון או כל אזור. כדי לוודא שלא חורגים מהמגבלות האלה כש-Security Command Center אוסף נתוני הגדרות של נכסים מ-AWS, הוא אוסף את הנתונים בקצב קבוע של שאילתות לשנייה (QPS) לכל שירות AWS, כפי שמתואר במאמרי העזרה של ה-API של שירות AWS.

כדי לפתור את הבעיה:

• בדף ההגדרות של מחבר AWS, מגדירים QPS בהתאמה אישית לשירות AWS שחווה הגבלת קצב בקשות.

• מגבילים את ההרשאות של תפקיד האוסף ב-AWS כדי שהנתונים מהשירות הספציפי הזה לא ייאספו יותר. טכניקת המיטיגציה הזו מונעת מסימולציות של נתיבי תקיפה לפעול בצורה תקינה ב-AWS.

ביטול כל ההרשאות ב-AWS מפסיק את תהליך איסוף הנתונים באופן מיידי. מחיקת המחבר של AWS לא מפסיקה מיד את תהליך איסוף הנתונים, אבל הוא לא יתחיל שוב אחרי שהוא יסתיים.

התוצאה מוחזרת עבור משאב AWS שנמחק

אחרי שמוחקים משאב ב-AWS, יכולות לעבור עד 40 שעות עד שהוא יוסר ממערכת מלאי הנכסים של Security Command Center. אם תבחרו לפתור את הממצא על ידי מחיקת המשאב, יכול להיות שהממצא ידווח במהלך התקופה הזו כי הנכס עדיין לא הוסר ממערכת מלאי הנכסים של Security Command Center.

פתרון שגיאות בבדיקת החיבור

השגיאות האלה יכולות להתרחש כשבודקים את החיבור בין Security Command Center לבין AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

החיבור לא תקין כי סוכן השירות Google Cloud לא יכול לקבל את התפקיד שהוקצה לו.

כדי לפתור את הבעיה:

• מוודאים שהתפקיד שהוקצו לו הרשאות קיימים. כדי ליצור אותו, אפשר לעיין במאמר בנושא יצירת תפקיד AWS IAM עבור יחסי האמון בין AWS לבין Google Cloud.

• חסרה מדיניות מוטמעת בתפקיד שהוקצו לו הרשאות. בלי זה, סוכן השירות לא יכול לקבל את התפקיד. כדי לוודא שמדיניות ה-inline קיימת, אפשר לעיין במאמר יצירת תפקיד AWS IAM עבור יחסי האמון בין AWS לבין Google Cloud.

• אם פרטי השגיאה מכילים את ההודעה InvalidIdentityToken: Incorrect token audience, יכול להיות שהשגיאה נגרמת על ידי ספק זהויות נפרד של OIDC עבור accounts.google.com בסביבת AWS. כדי לפתור את השגיאה, צריך להסיר את ספק הזהויות של OIDC עבור accounts.google.com בסביבת AWS לפי ההוראות במאמר יצירה וניהול של ספק OIDC.

AWS_FAILED_TO_CONNECT_TO_ORGNIZATIONS_SERVICE

החיבור לא תקין כי הוא לא יכול להתחבר לשירות AWS Organizations. הסטטוס הזה רלוונטי רק לחיבורים שבהם ההגדרה 'גילוי אוטומטי' מושבתת.

כדי לפתור את הבעיה:

• כדי לוודא שההגדרה נכונה, בודקים שביצעתם את השלבים שמפורטים במאמר הגדרת סביבת AWS. מוודאים שההרשאות של AWS IAM לתפקיד המוקצה מוגדרות בצורה נכונה.
• כדי לבדוק את ההגדרה של AWS Organization, אפשר לעיין במאמר פתרון בעיות ב-AWS Organizations.
• בודקים ביומנים של AWS CloudTrail אם יש שגיאות ספציפיות של דחיית גישה שקשורות לשירותי AWS Organizations. השלב הזה יכול לעזור לכם לזהות בדיוק את הפער בהרשאות.

AWS_FAILED_TO_LIST_ACCOUNTS

החיבור לא תקין כי הגילוי האוטומטי מופעל, ולתפקיד שהוקצו לו הרשאות אין גישה לכל חשבונות AWS בארגונים.

השגיאה הזו מציינת שחסרה במשאבים מסוימים מדיניות שמאפשרת את הפעולה organizations:ListAccounts בתפקיד שהוקצו לו הרשאות.

כדי לפתור את הבעיה:

• בודקים אילו משאבים חסרים. כדי לאמת את ההגדרות של המדיניות שהוקצתה, אפשר לעיין במאמר בנושא יצירת מדיניות AWS IAM לתפקיד שהוקצה.
• מוודאים שיצרתם והגדרתם את חשבונות AWS כמו שמתואר בקטע הגדרה ידנית של חשבונות AWS.

AWS_ACTIVE_COLLECTOR_ACCOUNTS_NOT_FOUND

החיבור לא תקין כי לא נמצאו חשבונות של כלי איסוף נתונים ב-AWS עם הסטטוס ACTIVE.

אם בחרתם באפשרות הוספת חשבונות באופן אוטומטי בשדה הוספת חשבונות של AWS Connector, לא נמצאו חשבונות AWS עם הסטטוס ACTIVE, למעט אלה שצוינו בשדה החרגת חשבונות של AWS Connector.

אם בחרתם באפשרות הוספת חשבונות בנפרד, בשדה הוספת חשבונות של מחבר AWS, בודקים שהסטטוס של החשבונות שציינתם הוא ACTIVE.

AWS_INVALID_COLLECTOR_ACCOUNTS

החיבור לא תקין כי יש חשבונות לא תקינים של איסוף נתונים. הודעת השגיאה כוללת מידע נוסף על הסיבות האפשריות, כולל:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

החשבון של כלי האיסוף לא תקין כי התפקיד שהוקצה לו לא יכול לקבל את התפקיד של כלי האיסוף בחשבון של כלי האיסוף.

כדי לפתור את השגיאה, כדאי לשקול את האפשרויות הבאות:

• מוודאים שתפקיד המאסף קיים.

  • כדי ליצור את תפקיד האיסוף של נתוני הגדרת הנכסים, אפשר לעיין במאמר בנושא יצירת תפקיד AWS IAM לאיסוף נתוני הגדרת נכסים בכל חשבון.
  • כדי ליצור את תפקיד האיסוף עבור Sensitive Data Protection, אפשר לעיין במאמר יצירת תפקיד AWS IAM עבור Sensitive Data Protection בכל חשבון.

• המדיניות שמאפשרת לתפקיד המוקצה לקבל את תפקיד האוסף חסרה. כדי לוודא שהמדיניות קיימת, אפשר לעיין במאמר בנושא יצירת מדיניות AWS IAM לתפקיד שהוקצו לו הרשאות.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

החיבור לא תקין כי חסרות במדיניות של כלי האיסוף חלק מהגדרות ההרשאות הנדרשות.

כדי לפתור את השגיאה, כדאי לבדוק את הסיבות הבאות:

• יכול להיות שחלק ממדיניות הניהול הנדרשת של AWS לא מצורפת לתפקיד של כלי האיסוף עבור נתוני הגדרת הנכסים. כדי לוודא שכללי המדיניות מצורפים, אפשר לעיין בשלב 6 במאמר בנושא יצירת תפקיד AWS IAM לאיסוף נתונים של הגדרות נכסים בכל חשבון.

• יכול להיות שקיימת אחת מהבעיות הבאות שקשורות למדיניות איסוף:

  • יכול להיות שמדיניות האיסוף לא קיימת.
  • מדיניות האיסוף לא מצורפת לתפקיד של הכלי לאיסוף נתונים.
  • מדיניות האיסוף לא כוללת את כל ההרשאות הנדרשות.

  כדי לפתור בעיות שקשורות למדיניות איסוף, אפשר לעיין במאמרים הבאים:

  • יצירת מדיניות AWS IAM לאיסוף נתוני הגדרות של נכסים
  • יצירת מדיניות AWS IAM עבור Sensitive Data Protection

המאמרים הבאים

• אם אתם מגדירים את Security Command Center Enterprise בפעם הראשונה, צריך להגדיר תכונות נוספות באמצעות מדריך ההגדרה.
• אתם יכולים גם לבצע את הפעולות הבאות:
  • בדיקה ותיקון של ממצאים מנתוני AWS.
  • צפייה במשאבים שקשורים לממצאים במסוף Security Operations.
  • צפייה בסימולציות של נתיבי תקיפה למשאבי AWS
  • מיפוי התאימות של משאבי AWS לתקנים ולמדדים שונים.