En esta página, se describe cómo configurar y usar el servicio de Evaluación de vulnerabilidades para Amazon Web Services (AWS).
Para habilitar la Evaluación de vulnerabilidades para AWS, debes crear un rol de IAM de AWS en la plataforma de AWS, habilitar el servicio de Evaluación de vulnerabilidades para AWS en Security Command Center y, luego, implementar una plantilla de CloudFormation en AWS.
Antes de comenzar
Para habilitar el servicio de Evaluación de vulnerabilidades para AWS, necesitas ciertos permisos de IAM, y Security Command Center debe estar conectado a AWS.
Funciones y permisos
Para completar la configuración del servicio de Evaluación de vulnerabilidades para AWS, debes tener roles con los permisos necesarios en ambos Google Cloud y AWS.
Google Cloud roles
Asegúrate de tener el siguiente rol o roles en la organización:
Centro de seguridad
Editor de administrador (roles/securitycenter.adminEditor)
Verifica los roles
-
En la Google Cloud consola de, dirígete a la página IAM.
Ir a IAM - Selecciona la organización.
-
En la columna Principal, busca todas las filas que te identifiquen a ti o a un grupo en el que se te incluya. Para saber en qué grupos estás incluido, comunícate con tu administrador.
- Para todas las filas en las que se te especifique o se te incluya, verifica la columna Rol para ver si la lista de roles incluye los roles necesarios.
Otorga los roles
-
En la Google Cloud consola de, dirígete a la página IAM.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
-
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
- Haz clic en Selecciona un rol y, luego, busca el rol.
- Para otorgar roles adicionales, haz clic en Agregar otro rol y agrega uno más.
- Haz clic en Guardar.
Roles de AWS
En Amazon Web Services (AWS), un usuario administrativo de AWS debe crear la cuenta de AWS que necesitas para habilitar los análisis. Asignarás este rol más adelante cuando instales la plantilla de CloudFormation en AWS.
Para crear un rol para la Evaluación de vulnerabilidades en AWS, sigue los pasos que se indican en Crea un rol para un servicio de AWS (consola).
Ten en cuenta lo siguiente:
- En servicio o caso de uso, selecciona lambda.
- Agrega las siguientes políticas de permisos:
AmazonSSMManagedInstanceCoreAWSLambdaBasicExecutionRoleAWSLambdaVPCAccessExecutionRole
- Guarda la política y, luego, vuelve a abrirla. Haz clic en Agregar permiso > Crear política intercalada.
- Crea una política de permisos para el rol de AWS:
- Sigue las instrucciones para modificar y copiar la política de permisos: Política de roles para la Evaluación de vulnerabilidades para AWS y VM Threat Detection.
- Ingresa la política en el editor de JSON en AWS.
Para las relaciones de confianza, agrega la siguiente entrada JSON a cualquier array de instrucciones existente:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1 or replace with a unique statementId", "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Recopila información sobre los recursos de AWS que se analizarán
Durante los pasos para habilitar la Evaluación de vulnerabilidades para AWS, puedes personalizar la configuración para analizar regiones específicas de AWS, etiquetas específicas que identifican recursos de AWS y volúmenes específicos de unidades de disco duro (HDD) (SC1 y ST1).
Es útil tener esta información disponible antes de configurar la Evaluación de vulnerabilidades para AWS.
Confirma que Security Command Center esté conectado a AWS
El servicio de Evaluación de vulnerabilidades para AWS requiere acceso al inventario de recursos de AWS que mantiene Cloud Asset Inventory cuando Security Command Center está conectado a AWS.
Si aún no se estableció una conexión, debes configurarla cuando habilites el servicio de Evaluación de vulnerabilidades para AWS.
Para configurar una conexión, consulta Conéctate a AWS para recopilar datos de configuración y recursos.
Habilita la Evaluación de vulnerabilidades para AWS en Security Command Center
La Evaluación de vulnerabilidades para AWS debe estar habilitada en Google Cloud a nivel de la organización.
Ve a la página Resumen de riesgos en Security Command Center:
Selecciona la organización en la que deseas habilitar la Evaluación de vulnerabilidades para AWS.
Haz clic en Configuración.
En la tarjeta Evaluación de vulnerabilidades, haz clic en Administrar configuración. Se abrirá la página Evaluación de vulnerabilidades.
Selecciona la pestaña Amazon Web Services.
En la sección Habilitación de servicios, cambia el campo Estado a Habilitar.
En la sección Conector de AWS, verifica que el estado muestre Se agregó el conector de AWS. Si el estado muestra No se agregó ningún conector de AWS, haz clic en Agregar conector de AWS. Completa los pasos que se indican en Conéctate a AWS para recopilar datos de configuración y recursos antes de continuar con el siguiente paso.
Configura los Parámetros de configuración de análisis para procesamiento y almacenamiento de AWS. Para cambiar la configuración predeterminada, haz clic en Editar configuración de análisis. Para obtener información sobre cada opción, consulta Personaliza la configuración de análisis para procesamiento y almacenamiento de AWS.
Si ya habilitaste VM Threat Detection para AWS y, como parte de esa función, implementaste la plantilla de CloudFormation, omite este paso. En la sección Configuración de análisis, haz clic en Descargar plantilla de CloudFormation. Se descargará una plantilla JSON en tu estación de trabajo. Debes implementar la plantilla en cada cuenta de AWS que necesites analizar en busca de vulnerabilidades.
Personaliza la configuración de análisis para procesamiento y almacenamiento de AWS
En esta sección, se describen las opciones disponibles para personalizar el análisis de los recursos de AWS. Estas opciones personalizadas se encuentran en la sección Parámetros de configuración de análisis para procesamiento y almacenamiento de AWS cuando se edita un análisis de Evaluación de vulnerabilidades para AWS.
Puedes definir un máximo de 50 etiquetas de AWS y IDs de instancias de Amazon EC2. Los cambios en la configuración de análisis no afectan la plantilla de AWS CloudFormation. No es necesario volver a implementar la plantilla. Si un valor de etiqueta o ID de instancia no es correcto (por ejemplo, el valor tiene un error ortográfico) y el recurso especificado no existe, el valor se ignora durante el análisis.| Opción | Descripción |
|---|---|
| Intervalo de análisis | Ingresa la cantidad de horas entre cada análisis. Los valores válidos varían de 6 a 24. El valor predeterminado es 6. Los análisis más frecuentes pueden aumentar el uso de recursos y, posiblemente, un aumento en los cargos de facturación. |
| Regiones de AWS |
Elige un subconjunto de regiones para incluir en el análisis de evaluación de vulnerabilidades. Solo se analizan las instancias de las regiones seleccionadas. Selecciona una o más regiones de AWS para incluirlas en el análisis. Si configuraste regiones específicas en el conector de Amazon Web Services (AWS), asegúrate de que las regiones seleccionadas aquí sean las mismas o un subconjunto de las definidas cuando configuraste la conexión a AWS. |
| Etiquetas de AWS | Especifica las etiquetas que identifican el subconjunto de instancias que se analizan. Solo se analizan las instancias con estas etiquetas. Ingresa el par clave-valor para cada etiqueta. Si se especifica una etiqueta no válida, se ignorará. Puedes especificar un máximo de 50 etiquetas. Para obtener más información sobre las etiquetas, consulta Etiqueta tus recursos de Amazon EC2 y Agrega y quita etiquetas para recursos de Amazon EC2. |
| Excluir según el ID de instancia |
Excluye las instancias de EC2 de cada análisis especificando el
ID de instancia de EC2.
Puedes especificar un máximo de 50 IDs de instancia. Si se especifican valores no válidos, se
ignorarán. Si defines varios IDs de instancia, se combinan con el
|
| Analizar la instancia SC1 | Selecciona Analizar la instancia SC1 para incluir estas instancias. Las instancias SC1 se excluyen de forma predeterminada. Obtén más información sobre las instancias SC1. |
| Analizar instancia ST1 | Selecciona Analizar instancia ST1 para incluir estas instancias. Las instancias ST1 se excluyen de forma predeterminada. Obtén más información sobre las instancias ST1. |
| Analizar Elastic Container Registry (ECR) | Selecciona Analizar la instancia de Elastic Container Registry para analizar las imágenes de contenedor almacenadas en ECR y sus paquetes instalados. Obtén más información sobre Elastic Container Registry. |
Implementa la plantilla de AWS CloudFormation
Implementa la plantilla de CloudFormation al menos seis horas después de crear un conector de AWS.
Para obtener información detallada sobre cómo implementar una plantilla de CloudFormation, consulta Crea una pila desde la consola de CloudFormation en la documentación de AWS.
Ten en cuenta lo siguiente: * Después de subir la plantilla de CloudFormation, ingresa un nombre de pila único. No modifiques ningún otro parámetro en la plantilla. * En Permisos en las opciones de pila, selecciona el rol de AWS que creaste anteriormente. * Después de implementar la plantilla de CloudFormation, la pila tarda unos minutos en comenzar a ejecutarse.
El estado de la implementación se muestra en la consola de AWS. Si no se puede implementar la plantilla de CloudFormation, consulta Soluciona problemas.
Después de que comiencen a ejecutarse los análisis, si se detectan vulnerabilidades, se generarán los hallazgos correspondientes y se mostrarán en la página Resultados de Security Command Center en la Google Cloud consola.
Revisa los hallazgos en la consola
Puedes ver los hallazgos de la Evaluación de vulnerabilidades para AWS en la Google Cloud consola de. El rol mínimo de IAM que se requiere para ver los hallazgos es Visualizador de hallazgos del centro de seguridad (roles/securitycenter.findingsViewer).
Para revisar los hallazgos de la Evaluación de vulnerabilidades para AWS en la Google Cloud consola de, sigue estos pasos:
-
En la Google Cloud consola de, ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud proyecto u organización.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Evaluación de vulnerabilidades de EC2. Los resultados de la consulta de hallazgos se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un hallazgo específico, haz clic en el nombre del hallazgo en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Para ver la definición completa de JSON del hallazgo, haz clic en la pestaña JSON (opcional).
Soluciona problemas
Si habilitaste el servicio de Evaluación de vulnerabilidades, pero los análisis no se están ejecutando, verifica lo siguiente:
- Verifica que el conector de AWS esté configurado correctamente.
- Confirma que la pila de la plantilla de CloudFormation se implementó por completo. Su estado en la cuenta de AWS debe ser
CREATION_COMPLETE.