Mengaktifkan dan menggunakan Penilaian Kerentanan untuk AWS

Halaman ini menjelaskan cara menyiapkan dan menggunakan layanan Vulnerability Assessment for Amazon Web Services (AWS).

Untuk mengaktifkan Vulnerability Assessment for AWS, Anda harus membuat peran AWS IAM di platform AWS, mengaktifkan layanan Vulnerability Assessment for AWS di Security Command Center, lalu men-deploy template CloudFormation di AWS.

Sebelum memulai

Untuk mengaktifkan layanan Vulnerability Assessment for AWS, Anda memerlukan izin IAM tertentu dan Security Command Center harus terhubung ke AWS.

Peran dan izin

Untuk menyelesaikan penyiapan layanan Vulnerability Assessment for AWS, Anda harus diberi peran dengan izin yang diperlukan di dan Google Cloud AWS.

Google Cloud Peran

Pastikan Anda memiliki peran berikut di organisasi: Security Center Admin Editor (roles/securitycenter.adminEditor)

Memeriksa peran

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.

  3. Di kolom Akun utama, temukan semua baris yang mengidentifikasi Anda atau grup yang menyertakan Anda. Untuk mengetahui grup mana yang menyertakan Anda, hubungi administrator Anda.

  4. Untuk semua baris yang menentukan atau menyertakan Anda, periksa kolom Peran untuk melihat apakah daftar peran menyertakan peran yang diperlukan.

Memberikan peran

  1. Di Google Cloud konsol, buka halaman IAM.

    Buka IAM
  2. Pilih organisasi.
  3. Klik Grant access.

  4. Di kolom New principals, masukkan ID pengguna Anda. Biasanya, ini adalah alamat email untuk Akun Google.

  5. Klik Select a role, lalu telusuri peran.
  6. Untuk memberikan peran tambahan, klik Add another role , lalu tambahkan tiap peran tambahan.
  7. Klik Save.

Peran AWS

Di Amazon Web Services (AWS), pengguna administratif AWS harus membuat akun AWS yang Anda perlukan untuk mengaktifkan pemindaian. Anda akan menetapkan peran ini nanti saat menginstal template CloudFormation di AWS.

  • Untuk membuat peran bagi Vulnerability Assessment di AWS, ikuti langkah-langkah di Membuat peran untuk layanan AWS (konsol).

    Perhatikan hal berikut:

    • Untuk service or use case, pilih lambda.
    • Tambahkan kebijakan izin berikut:
      • AmazonSSMManagedInstanceCore
      • AWSLambdaBasicExecutionRole
      • AWSLambdaVPCAccessExecutionRole
    • Simpan kebijakan, lalu buka kembali. Klik Add Permission > Create Inline policy.
    • Buat kebijakan izin untuk peran AWS:
      1. Ikuti petunjuk untuk mengubah dan menyalin kebijakan izin: Kebijakan peran untuk Vulnerability Assessment for AWS dan VM Threat Detection.
      2. Masukkan kebijakan ke editor JSON di AWS.

    • Untuk hubungan kepercayaan, tambahkan entri JSON berikut ke array pernyataan yang ada:

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1 or replace with a unique statementId",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudformation.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Mengumpulkan informasi tentang resource AWS yang akan dipindai

Selama langkah-langkah untuk mengaktifkan Vulnerability Assessment for AWS, Anda dapat menyesuaikan konfigurasi untuk memindai region AWS tertentu, tag tertentu yang mengidentifikasi resource AWS, dan volume Hard disk drive (HDD) tertentu (SC1 dan ST1).

Sebaiknya siapkan informasi ini sebelum mengonfigurasi Vulnerability Assessment for AWS.

Mengonfirmasi bahwa Security Command Center terhubung ke AWS

Layanan Vulnerability Assessment for AWS memerlukan akses ke inventaris resource AWS yang dikelola Cloud Asset Inventory saat Security Command Center terhubung ke AWS.

Jika koneksi belum dibuat, Anda harus menyiapkan koneksi saat mengaktifkan layanan Vulnerability Assessment for AWS.

Untuk menyiapkan koneksi, lihat Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource.

Mengaktifkan Vulnerability Assessment for AWS di Security Command Center

Vulnerability Assessment for AWS harus diaktifkan di Google Cloud tingkat organisasi.

  1. Buka halaman Risk overview di Security Command Center:

    Buka Risk overview

  2. Pilih organisasi yang ingin Anda aktifkan Vulnerability Assessment for AWS.

  3. Klik Settings.

  4. Di kartu Vulnerability Assessment, klik Manage Settings. Halaman Vulnerability Assessment akan terbuka.

  5. Pilih tab Amazon Web Services.

  6. Di bagian Service enablement, ubah kolom Status menjadi Enable.

  7. Di bagian AWS connector, pastikan status menampilkan AWS Connector added. Jika status menampilkan No AWS connector added, klik Add AWS connector. Selesaikan langkah-langkah di Menghubungkan ke AWS untuk pengumpulan data konfigurasi dan resource sebelum Anda melanjutkan ke langkah berikutnya.

  8. Konfigurasikan Scan settings for AWS compute and storage. Untuk mengubah konfigurasi default, klik Edit scan settings. Untuk mengetahui informasi tentang setiap opsi, lihat Menyesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS.

  9. Jika Anda telah mengaktifkan VM Threat Detection untuk AWS dan telah men-deploy template CloudFormation sebagai bagian dari fitur tersebut, lewati langkah ini. Di bagian Scan settings, klik Download CloudFormation template. Template JSON akan didownload ke workstation Anda. Anda harus men-deploy template di setiap akun AWS yang perlu dipindai untuk mencari kerentanan.

Menyesuaikan setelan pemindaian untuk komputasi dan penyimpanan AWS

Bagian ini menjelaskan opsi yang tersedia untuk menyesuaikan pemindaian resource AWS. Opsi kustom ini berada di bagian Scan settings for AWS compute and storage saat mengedit pemindaian Vulnerability Assessment for AWS.

Anda dapat menentukan maksimum 50 tag AWS dan ID instance Amazon EC2. Perubahan pada setelan pemindaian tidak memengaruhi template AWS CloudFormation. Anda tidak perlu men-deploy ulang template. Jika nilai tag atau ID instance tidak benar (misalnya, nilai salah ketik) dan resource yang ditentukan tidak ada, nilai tersebut akan diabaikan selama pemindaian.
Opsi Deskripsi
Scan interval Masukkan jumlah jam antara setiap pemindaian. Nilai yang valid berkisar antara 6 hingga 24. Nilai default value-nya adalah 6. Pemindaian yang lebih sering dapat menyebabkan peningkatan penggunaan resource dan kemungkinan peningkatan biaya penagihan.
AWS regions

Pilih subset region untuk disertakan dalam pemindaian penilaian kerentanan.

Hanya instance dari region yang dipilih yang dipindai. Pilih satu atau beberapa region AWS yang akan disertakan dalam pemindaian.

Jika Anda mengonfigurasi region tertentu di konektor Amazon Web Services (AWS), pastikan region yang dipilih di sini sama dengan, atau subset dari, region yang ditentukan saat Anda mengonfigurasi koneksi ke AWS.

AWS tags Tentukan tag yang mengidentifikasi subset instance yang dipindai. Hanya instance dengan tag ini yang dipindai. Masukkan pasangan nilai kunci untuk setiap tag. Jika tag yang tidak valid ditentukan, tag tersebut akan diabaikan. Anda dapat menentukan maksimum 50 tag. Untuk mengetahui informasi selengkapnya tentang tag, lihat Memberi tag pada resource Amazon EC2 dan Menambahkan dan menghapus tag untuk resource Amazon EC2.
Exclude by Instance ID

Kecualikan instance EC2 dari setiap pemindaian dengan menentukan ID instance EC2. Anda dapat menentukan maksimum 50 ID instance. Jika nilai yang tidak valid ditentukan, nilai tersebut akan diabaikan. Jika Anda menentukan beberapa ID instance, ID tersebut akan digabungkan menggunakan operator AND.

  • Jika Anda memilih Exclude instance by ID, masukkan setiap ID instance secara manual dengan mengklik Add AWS EC2 instance, lalu mengetikkan nilainya.

  • Jika Anda memilih Copy and paste a list of instance IDs to exclude in JSON format, lakukan salah satu hal berikut:

    • Masukkan array ID instance. Contoh:

      [ "instance-id-1", "instance-id-2" ]

    • Upload file dengan daftar ID instance. Konten file harus berupa an array ID instance, misalnya: 

      [ "instance-id-1", "instance-id-2" ]
Scan SC1 instance Pilih Scan SC1 instance untuk menyertakan instance ini. Instance SC1 dikecualikan secara default. Pelajari instance SC1 lebih lanjut.
Scan ST1 instance Pilih Scan ST1 instance untuk menyertakan instance ini. Instance ST1 dikecualikan secara default. Pelajari instance ST1 lebih lanjut.
Scan Elastic Container Registry (ECR) Pilih Scan Elastic Container Registry instance untuk memindai image container yang disimpan di ECR dan paket yang diinstal. Pelajari Elastic Container Registry lebih lanjut.

Men-deploy template AWS CloudFormation

Deploy template CloudFormation setidaknya enam jam setelah membuat konektor AWS.

Untuk mengetahui informasi mendetail tentang cara men-deploy template CloudFormation, lihat Membuat stack dari konsol CloudFormation dalam dokumentasi AWS.

Perhatikan hal berikut: * Setelah template CloudFormation diupload, masukkan nama stack yang unik. Jangan ubah parameter lain dalam template. * Untuk Permissions di opsi stack, pilih peran AWS yang Anda buat sebelumnya. * Setelah Anda men-deploy template CloudFormation, stack memerlukan waktu beberapa menit untuk mulai berjalan.

Status deployment ditampilkan di konsol AWS. Jika template CloudFormation gagal di-deploy, lihat Pemecahan masalah.

Setelah pemindaian mulai berjalan, jika ada kerentanan yang terdeteksi, temuan yang sesuai akan dibuat dan ditampilkan di halaman Findings Security Command Center di konsol. Google Cloud

Meninjau temuan di konsol

Anda dapat melihat temuan Vulnerability Assessment for AWS di Google Cloud konsol. Peran IAM minimum yang diperlukan untuk melihat temuan adalah Security Center Findings Viewer (roles/securitycenter.findingsViewer).

Untuk meninjau temuan Vulnerability Assessment for AWS di Google Cloud konsol, ikuti langkah-langkah berikut:

  1. Di Google Cloud konsol, buka halaman Findings Security Command Center.

    Buka Temuan

  2. Pilih Google Cloud project atau organisasi Anda.
  3. Di bagian Quick filters, di subbagian Source display name, pilih EC2 Vulnerability Assessment. Hasil kueri temuan akan diperbarui untuk menampilkan hanya temuan dari sumber ini.
  4. Untuk melihat detail temuan tertentu, klik nama temuan di kolom Category. Panel detail untuk temuan akan terbuka dan menampilkan tab Summary.
  5. Di tab Summary, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memulihkan temuan.
  6. Opsional: Untuk melihat definisi JSON lengkap temuan, klik tab JSON.

Pemecahan masalah

Jika Anda mengaktifkan layanan Vulnerability Assessment, tetapi pemindaian tidak berjalan, periksa hal berikut:

  • Pastikan konektor AWS disiapkan dengan benar.
  • Pastikan stack template CloudFormation di-deploy sepenuhnya. Statusnya di akun AWS harus CREATION_COMPLETE.