Sicherheitslückenbewertung für AWS aktivieren und verwenden

Auf dieser Seite wird beschrieben, wie Sie den Dienst „Sicherheitslückenbewertung für Amazon Web Services (AWS)“ einrichten und verwenden.

Wenn Sie die Sicherheitslückenbewertung für AWS aktivieren möchten, müssen Sie eine AWS IAM-Rolle auf der AWS-Plattform erstellen, den Dienst „Sicherheitslückenbewertung für AWS“ in Security Command Center aktivieren und dann eine CloudFormation-Vorlage in AWS bereitstellen.

Hinweis

Um den Dienst „Sicherheitslückenbewertung für AWS“ zu aktivieren, benötigen Sie bestimmte IAM-Berechtigungen und Security Command Center muss mit AWS verbunden sein.

Rollen und Berechtigungen

Um die Einrichtung des Dienstes „Sicherheitslückenbewertung für AWS“ abzuschließen, müssen Ihnen sowohl in Google Cloud als auch in AWS Rollen mit den erforderlichen Berechtigungen zugewiesen werden.

Google Cloud Rollen

Sie benötigen die folgende Rolle oder die folgenden Rollen für die Organisation: Sicherheitscenter Administrator-Bearbeiter (roles/securitycenter.adminEditor)

Rollen prüfen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.

  3. Suchen Sie in der Spalte Hauptkonto alle Zeilen, in denen Sie oder eine Gruppe, zu der Sie gehören, angegeben sind. Wenn Sie wissen möchten, zu welchen Gruppen Sie gehören, wenden Sie sich an Ihren Administrator.

  4. Prüfen Sie in allen Zeilen, in denen Sie angegeben sind, in der Spalte Rolle , ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen
  2. Wählen Sie die Organisation aus.
  3. Klicken Sie auf „Zugriffsrechte erteilen.

  4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E‑Mail-Adresse eines Google-Kontos.

  5. Klicken Sie auf Rolle auswählen und suchen Sie nach der Rolle.
  6. Klicken Sie auf Add another role, wenn Sie weitere Rollen zuweisen möchten.
  7. Klicken Sie auf Speichern.

AWS-Rollen

In Amazon Web Services (AWS) muss ein AWS-Nutzer mit Administratorzugriff das AWS-Konto erstellen, das Sie zum Aktivieren von Scans benötigen. Sie weisen diese Rolle später zu, wenn Sie die CloudFormation-Vorlage in AWS installieren.

  • Wenn Sie eine Rolle für die Sicherheitslückenbewertung in AWS erstellen möchten, folgen Sie der Anleitung unter Rolle für einen AWS-Dienst erstellen (Konsole).

    Wichtige Hinweise:

    • Wählen Sie für Dienst oder Anwendungsfall die Option Lambda aus.
    • Fügen Sie die folgenden Berechtigungsrichtlinien hinzu:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Speichern Sie die Richtlinie und öffnen Sie sie dann wieder. Klicken Sie auf „Berechtigung hinzufügen“ > Inline-Richtlinie erstellen.
    • Erstellen Sie eine Berechtigungsrichtlinie für die AWS-Rolle:
      1. Folgen Sie der Anleitung, um die Berechtigungsrichtlinie zu ändern und zu kopieren: Rollenrichtlinie für die Sicherheitslückenbewertung für AWS und VM Threat Detection.
      2. Geben Sie die Richtlinie in den JSON-Editor in AWS ein.

    • Fügen Sie für Vertrauensbeziehungen den folgenden JSON-Eintrag zu einem vorhandenen Anweisungsarray hinzu:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Informationen zu den zu scannenden AWS-Ressourcen erfassen

Bei der Aktivierung der Sicherheitslückenbewertung für AWS können Sie die Konfiguration anpassen, um bestimmte AWS-Regionen, bestimmte Tags, die AWS-Ressourcen identifizieren, und bestimmte Festplattenlaufwerk-Volumes (HDD) (sowohl SC1 als auch ST1) zu scannen.

Es ist hilfreich, diese Informationen verfügbar zu haben, bevor Sie die Sicherheitslückenbewertung für AWS konfigurieren.

Prüfen, ob Security Command Center mit AWS verbunden ist

Für den Dienst „Sicherheitslückenbewertung für AWS“ ist Zugriff auf das Inventar der AWS-Ressourcen erforderlich, das von Cloud Asset Inventory verwaltet wird, wenn Security Command Center mit AWS verbunden ist.

Wenn noch keine Verbindung besteht, müssen Sie eine einrichten, wenn Sie den Dienst „Sicherheitslückenbewertung für AWS“ aktivieren.

Informationen zum Einrichten einer Verbindung finden Sie unter Verbindung zu AWS für die Konfiguration und Datenerhebung von Ressourcen herstellen.

Sicherheitslückenbewertung für AWS in Security Command Center aktivieren

Die Sicherheitslückenbewertung für AWS muss auf Google Cloud der Organisationsebene aktiviert sein.

  1. Rufen Sie in Security Command Center die Seite Risikoübersicht auf:

    Zur Risikoübersicht

  2. Wählen Sie die Organisation aus, in der Sie die Sicherheitslückenbewertung für AWS aktivieren möchten.

  3. Klicken Sie auf Einstellungen.

  4. Klicken Sie auf der Karte Sicherheitslückenbewertung auf Einstellungen verwalten. Die Seite Sicherheitslückenbewertung wird geöffnet.

  5. Wählen Sie den Tab Amazon Web Services aus.

  6. Ändern Sie im Bereich Dienstaktivierung das Feld Status in Aktivieren.

  7. Prüfen Sie im Bereich AWS-Connector, ob der Status AWS-Connector hinzugefügt lautet. Wenn der Status Kein AWS-Connector hinzugefügt lautet, klicken Sie auf AWS-Connector hinzufügen. Führen Sie die Schritte unter Verbindung zu AWS für die Konfiguration und Erfassung von Ressourcendaten herstellen aus, bevor Sie mit dem nächsten Schritt fortfahren.

  8. Konfigurieren Sie die Scaneinstellungen für AWS-Computing und ‑Speicher. Wenn Sie die Standardkonfiguration ändern möchten, klicken Sie auf Scaneinstellungen bearbeiten. Informationen zu den einzelnen Optionen finden Sie unter Scaneinstellungen für AWS-Computing und ‑Speicher anpassen.

  9. Wenn Sie VM Threat Detection für AWS bereits aktiviert und die CloudFormation-Vorlage als Teil dieser Funktion bereitgestellt haben, überspringen Sie diesen Schritt. Klicken Sie im Bereich Scaneinstellungen auf CloudFormation-Vorlage herunterladen. Eine JSON-Vorlage wird auf Ihre Workstation heruntergeladen. Sie müssen die Vorlage in jedem AWS-Konto bereitstellen, das Sie auf Sicherheitslücken scannen möchten.

Scaneinstellungen für AWS-Computing und ‑Speicher anpassen

In diesem Abschnitt werden die Optionen beschrieben, mit denen Sie den Scan von AWS-Ressourcen anpassen können. Diese benutzerdefinierten Optionen finden Sie beim Bearbeiten eines Scans der Sicherheitslückenbewertung für AWS im Bereich Scaneinstellungen für AWS-Computing und ‑Speicher.

Sie können maximal 50 AWS-Tags und Amazon EC2-Instanz-IDs definieren. Änderungen an den Scaneinstellungen wirken sich nicht auf die AWS CloudFormation-Vorlage aus. Sie müssen die Vorlage nicht noch einmal bereitstellen. Wenn ein Tag- oder Instanz-ID-Wert nicht korrekt ist (z. B. falsch geschrieben) und die angegebene Ressource nicht vorhanden ist, wird der Wert während des Scans ignoriert.
Option Beschreibung
Scanintervall Geben Sie die Anzahl der Stunden zwischen den einzelnen Scans ein. Gültige Werte liegen zwischen 6 und 24. Der Standard Wert ist 6. Häufigere Scans können zu einer höheren Ressourcennutzung und möglicherweise zu höheren Abrechnungsgebühren führen.
AWS-Regionen

Wählen Sie eine Teilmenge von Regionen aus, die in den Scan der Sicherheitslückenbewertung einbezogen werden sollen.

Es werden nur Instanzen aus den ausgewählten Regionen gescannt. Wählen Sie eine oder mehrere AWS-Regionen aus, die in den Scan einbezogen werden sollen.

Wenn Sie bestimmte Regionen im Amazon Web Services-Connector (AWS) konfiguriert haben, müssen die hier ausgewählten Regionen mit den Regionen übereinstimmen, die Sie beim Konfigurieren der Verbindung zu AWS definiert haben, oder eine Teilmenge davon sein.

AWS-Tags Geben Sie Tags an, die die Teilmenge der Instanzen identifizieren, die gescannt werden. Es werden nur Instanzen mit diesen Tags gescannt. Geben Sie das Schlüssel-Wert-Paar für jedes Tag ein. Wenn ein ungültiges Tag angegeben wird, wird es ignoriert. Sie können maximal 50 Tags angeben. Weitere Informationen zu Tags finden Sie unter Amazon EC2-Ressourcen taggen und Tags für Amazon EC2-Ressourcen hinzufügen und entfernen.
Nach Instanz-ID ausschließen

Schließen Sie EC2-Instanzen aus jedem Scan aus, indem Sie die EC2-Instanz-ID angeben. Sie können maximal 50 Instanz-IDs angeben. Wenn ungültige Werte angegeben werden, werden sie ignoriert. Wenn Sie mehrere Instanz-IDs definieren, werden sie mit dem AND Operator kombiniert.

  • Wenn Sie Instanz nach ID ausschließen auswählen, geben Sie jede Instanz-ID manuell ein. Klicken Sie dazu auf AWS EC2-Instanz hinzufügen und geben Sie dann den Wert ein.

  • Wenn Sie Liste auszuschließender Instanz-IDs im JSON-Format kopieren und einfügen auswählen, haben Sie folgende Möglichkeiten:

    • Geben Sie ein Array von Instanz-IDs ein. Beispiel:

      [ "instance-id-1", "instance-id-2" ]

    • Laden Sie eine Datei mit der Liste der Instanz-IDs hoch. Der Inhalt der Datei sollte ein Array von Instanz-IDs sein, z. B.: 

      [ "instance-id-1", "instance-id-2" ]
SC1-Instanz scannen Wählen Sie SC1-Instanz scannen aus, um diese Instanzen einzubeziehen. SC1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu SC1-Instanzen.
ST1-Instanz scannen Wählen Sie ST1-Instanz scannen aus, um diese Instanzen einzubeziehen. ST1-Instanzen sind standardmäßig ausgeschlossen. Weitere Informationen zu ST1-Instanzen.
Elastic Container Registry (ECR) scannen Wählen Sie Elastic Container Registry-Instanz scannen aus, um Container-Images, die in ECR gespeichert sind, und ihre installierten Pakete zu scannen. Weitere Informationen zur Elastic Container Registry.

AWS CloudFormation-Vorlage bereitstellen

Stellen Sie die CloudFormation-Vorlage mindestens sechs Stunden nach dem Erstellen eines AWS Connectors bereit.

Ausführliche Informationen zum Bereitstellen einer CloudFormation-Vorlage finden Sie in der AWS-Dokumentation unter Stack über die CloudFormation Konsole erstellen.

Beachten Sie Folgendes: * Geben Sie nach dem Hochladen der CloudFormation-Vorlage einen eindeutigen Stacknamen ein. Ändern Sie keine anderen Parameter in der Vorlage. * Wählen Sie unter Berechtigungen in den Stackoptionen die AWS-Rolle aus, die Sie zuvor erstellt haben. * Nach der Bereitstellung der CloudFormation-Vorlage dauert es einige Minuten, bis der Stack ausgeführt wird.

Der Bereitstellungsstatus wird in der AWS-Konsole angezeigt. Wenn die Bereitstellung der CloudFormation-Vorlage fehlschlägt, finden Sie weitere Informationen unter Fehlerbehebung.

Nachdem die Scans ausgeführt wurden, werden bei erkannten Sicherheitslücken die entsprechenden Ergebnisse generiert und auf der Seite „Ergebnisse“ von Security Command Center Findings in der Google Cloud Console angezeigt.

Ergebnisse in der Console prüfen

Sie können die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud Console ansehen. Die mindestens erforderliche IAM-Rolle zum Ansehen von Ergebnissen ist Sicherheitscenter-Ergebnisbetrachter (roles/securitycenter.findingsViewer).

So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für AWS in der Google Cloud Console: Befolgen Sie diese Schritte:

  1. Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.

    Zu Ergebnissen

  2. Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
  3. Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option EC2-Sicherheitslückenbewertung aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert und zeigen nur die Ergebnisse aus dieser Quelle.
  4. Wenn Sie die Details eines bestimmten Ergebnisses ansehen möchten, klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
  5. Prüfen Sie auf dem Tab Zusammenfassung die Details des Ergebnisses, einschließlich Informationen zu den erkannten Problemen, der betroffenen Ressource und – falls verfügbar – Schritten, die Sie zur Behebung des Problems ausführen können.
  6. Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.

Fehlerbehebung

Wenn Sie den Dienst „Sicherheitslückenbewertung“ aktiviert haben, aber keine Scans ausgeführt werden, prüfen Sie Folgendes:

  • Prüfen Sie, ob der AWS-Connector ordnungsgemäß eingerichtet ist.
  • Prüfen Sie, ob der CloudFormation-Vorlagenstack vollständig bereitgestellt wurde. Der Status im AWS-Konto sollte CREATION_COMPLETE sein.