AWS -连接到云配置评估
注意:云配置评估目前以“预览”形式提供
一个处于“预览”状态的特性已经取得了足够的进展,可以适合客户使用,尽管它仍在积极的开发中。
InsightVM客户可以利用这个预览版本提供早期反馈和使用数据,当云配置评估成为通用可用(GA)时,这些反馈和使用数据将形成最终版本。
与其他预览特性一样,云配置评估预览可能还没有为GA版本计划的所有功能,可能只能从InsightVM中启用云的页面访问(例如指示板选项卡)。使用此预览不会影响生产数据。
您可以通过完成以下调查,就云配置评估预览提供您的反馈:
https://www.surveygizmo.com/s3/4936396/VM-Cloud-Configuration-Assessment-Survey
以下特性还没有在预览版中提供,但已经计划在GA中使用了:
- 能够将规则分组到基准中
本文介绍了如何创建AmazonWebServices(AWS)连接和可选的支持CloudTrail连接,以用于云配置评估特性。
这种连接是如何工作的
配置基线AWS连接允许InsightVM从您的AWS资源中收集配置数据预定时间间隔的基础上.然后,云配置评估可以使用这些数据来确定您对规则库的遵从程度。
除了间隔收集之外,如果您希望InsightVM动态响应AWS资源之间的配置更改,您可以配置一个支持CloudTrail连接来做到这一点。添加一个CloudTrail连接是可选的,但是实现一个可以让Cloud Configuration Assessment显示AWS环境的实时结果。
CloudTrail连接细节
CloudTrail连接允许InsightVM通过简单通知服务(SNS)主题响应CloudTrail记录在简单队列服务(SQS)队列中的事件消息。然后,InsightVM可以从对应受影响资源的指定S3桶中提取事件文档,并收集新数据。这个过程为您的AWS连接添加了以下功能:
- 允许InsightVM发现自上次数据采集周期以来新创建的实体
- 允许InsightVM重新收集经过配置更改的资源的数据
- 允许InsightVM删除“云配置评估”中不存在的资源
InsightVM如何管理与AWS服务的同步连接
在为云配置评估收集数据的过程中,InsightVM只会在同一时间为每个账户连接一个AWS服务。为了缓解任何潜在的服务中断,InsightVM将指数级地缩减数据收集,如果超过了该帐户的速率限制。
AWS连接要求
为了评估您的AWS基础设施,InsightVM必须采用跨帐户访问的自定义IAM角色。这个角色包括两个完全由只读权限:
- AWS默认的“SecurityAudit”策略
- 授予云配置评估特性所需的附加权限的自定义策略
自定义政策权限
此自定义策略包含的只读权限表示默认AWS“SecurityAudit”策略中不包括的可审计的云配置区域。
如果您选择在AWS连接的旁边配置一个支持CloudTrail连接,那么您的自定义策略还将具有一些与CloudTrail SQS队列相关的额外写权限。
CloudTrail连接要求
配置一个支持的CloudTrail连接需要事先在AWS环境中进行一些设置:
- 必须将CloudTrail配置为将事件文档发布到S3存储桶。为了促进这一点,您的跟踪必须捕获所有只写事件。
- 当相应资源的配置发生变化时,InsightVM会参考这些文档收集最新的数据。
- CloudTrail还必须向SNS主题发送相应的事件消息,该主题将这些消息转发到SQS队列。
- InsightVM读取这些消息以确定完整的事件文档在S3中的位置。请参阅AWS文档位于https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html参阅有关如何设置SNS主题并将它们转发到SQS队列的说明。
InsightVM中AWS连接配置向导的CloudTrail部分需要以下值:
- SQS队列的ARN
- S3桶的名称
在InsightVM中配置AWS连接
使用InsightVM的云配置评估连接向导来创建连接。向导支持您在命令行界面(CLI)中使用AWS管理控制台或AWS脚本来完成以下操作:
- 创建IAM角色
- 中详细说明的自定义策略的创建要求
- 将默认的SecurityAudit AWS策略和自定义策略附加到您的IAM Role中
为这个过程准备好浏览器
配置AWS连接涉及在AWS环境和InsightVM中完成步骤。在单独的浏览器选项卡中打开这两个界面将使这个过程更容易完成。
AWS管理控制台方法
如果您选择使用AWS Management Console来配置您的连接,则需要执行以下步骤。
创建IAM角色
按照以下步骤在AWS Management Console中创建必要的IAM角色:
- 在AWS管理控制台中,展开服务下拉。在“安全性、身份和遵从性”部分下,单击我链接。
- 在左侧导航菜单上,单击角色选项卡更改选项卡视图。单击创建角色按钮。
- 在“创建角色”页面中,选择另一个AWS帐户选项
- 输入
336818582268
在Account ID字段中。 - 在选项部分中,选中需要外部ID盒子。
- 选中此框将产生一个额外的External ID字段。
- 要获取外部ID,请切换到具有InsightVM界面的浏览器选项卡,然后单击云配置选项卡在你的左边菜单上。
- 当“Cloud Configuration”页面加载完成后,单击添加/管理连接在右上角。管理视图显示连接选项卡打开。
- 浏览到连接列表左侧的云基础设施类别并单击添加仅次于亚马逊网络服务。弹出“添加云连接”向导。
- 浏览步骤1底部的IAM角色创建方法一节,单击AWS控制台选项卡。扩大外部ID下拉菜单复制外部ID。
- 返回AWS管理控制台浏览器选项卡,并将此值粘贴到外部ID字段中。
- 确保需要MFA复选框未选中。
- 单击下一个:权限按钮完成后移动到下一页。
- 您将在后面的过程中为该角色附加权限,所以现在跳过此部分。单击下一个:标签按钮继续。
- 根据您组织的管理最佳实践,可以随意对该角色应用任何标记。单击下一个:审查按钮继续。
- 在Review页面上,为您的角色提供一个名称和可选的描述。点击创建角色完成后。
- 现在已经创建了角色,单击Roles表中的角色名称链接以打开其Summary页面。复制角色ARN并返回InsightVM中的连接向导。
- 在向导的第1步中,为您的连接指定一个名称。
- 将刚才复制的IAM Role ARN粘贴到提供的字段中。如果您愿意,可以使用测试假设的作用按钮。
- 如果您打算为此AWS连接添加和配置一个支持CloudTrail连接,请检查包括一个CloudTrail连接盒子。
如果您想将CloudTrail与云配置评估一起使用,请不要跳过此步骤!
检查提供的盒子可以打开可选的连接步骤中生成的自定义策略文档附加策略步骤包括与CloudTrail相关的必要权限。
- 点击继续将向导推进到下一步。
配置CloudTrail连接字段(可选)
如果你检查了包括一个CloudTrail连接框中的可选的连接向导的步骤将被激活并变得可导航。此步骤包含CloudTrail功能所需的字段。
按照以下步骤配置CloudTrail连接:
- 在InsightVM中的连接向导的第2步中,输入SQS队列的ARN,该连接应该监视新消息。
CloudTrail连接需要配置SNS通知
如前面所述要求,只有当SNS主题将CloudTrail消息转发给SQS队列时,InsightVM才能响应CloudTrail事件。如果你还没有部署这个功能,请参阅以下AWS文档获取说明:
- 输入CloudTrail要向其发送事件文档的S3桶的名称。
- 点击继续将向导推进到下一步。
为IAM Role附加策略
现在您的IAM Role已经就位,您可以使用连接向导的第3步创建和附加所需的策略。
按照以下步骤创建并将策略附加到IAM角色:
- 在InsightVM的连接向导步骤3中,单击AWS控制台选项卡下,复制托管策略文档。
- 您可以展开此策略下拉菜单查看该策略包含的权限。如果您选择包含CloudTrail连接,则此策略将根据您在第2步的字段中提供的信息包含额外的权限。
- 返回到AWS Management Console中的Roles页面,单击步骤1中创建的角色的名称链接。
- 在角色的“概要”页签中,单击附加策略下权限选项卡。将出现附加权限页面。
- 点击创建政策. AWS管理控制台将使用“创建策略”界面打开第二个浏览器选项卡。
- 切换到JSON输入格式并粘贴前面复制的整个托管策略主体。确保覆盖了编辑器自动提供的模板花括号和键值对。点击审查政策继续。
- 在“回顾策略”页面上,为策略提供名称和可选描述。点击创建政策完成后。
- 导航到原始的附加权限浏览器选项卡,并刷新策略列表,以确保已考虑到自定义策略。
- 在“筛选策略”字段中,搜索并选中刚创建的自定义策略旁边的框。对AWS提供的默认SecurityAudit策略重复此步骤。
- 点击附加的政策完成。
- 现在您的IAM角色已经附加了必要的策略,返回到InsightVM中的连接向导并单击继续进入最后一步。
回顾并保存您的连接
完成所有必要的配置后,花点时间在向导的第4步中查看连接的详细信息。在确认所有内容都正确后,单击提交完成。InsightVM将立即开始初始收集AWS资源配置数据,以便在“云配置”界面中查看。
您的AWS连接准备好了!
为了使用云配置评估,InsightVM现在应该有一个与AWS环境的工作连接。在InsightVM收集数据时,您将开始看到结果,但请注意,帐户的大小和范围最终会影响这个初始过程所需的时间。大型帐户的初始收集周期可能需要几个小时,所以在您的界面继续更新新的评估结果时,请记住这一点。
接下来,来看看云配置评估接口指南了解如何充分利用此功能。
AWS CLI方法
如果您选择使用命令行来配置连接,则需要安装AWS CLI如果你还没有这样做的话。此安装确保您的Linux终端或Windows命令提示符能够理解AWS脚本和命令。
角色和策略名称定制的重要注意事项
在InsightVM中,连接向导提供的IAM Role和自定义策略创建脚本以及关联的附件命令都使用Rapid7-Security-Audit
命令一致性的名称。如果愿意,您可以自定义这些名称,但请注意,如果您这样做,您将不得不使用正确的名称来调整相关命令。为了避免CLI方法带来不必要的复杂性,我们建议您保持这些名称不变。
要使用CLI方法配置连接,您需要执行以下步骤。
创建IAM角色(CLI)
按照以下步骤使用命令行创建必要的IAM角色:
- 打开InsightVM界面,单击云配置选项卡在你的左边菜单上。
- 当“Cloud Configuration”页面加载完成后,单击添加/管理连接在右上角。管理视图显示连接选项卡打开。
- 浏览到连接列表左侧的云基础设施类别并单击添加仅次于亚马逊网络服务。弹出“添加云连接”向导。
- 浏览步骤1底部的IAM Role Creation Methods部分,并根据您的操作系统单击其中一个CLI选项卡。
- 复制IAM角色创建脚本。
- 您可以展开创建IAM角色下拉菜单,查看该脚本的确切样子。该脚本自动包含组织的外部ID。
- 打开操作系统的命令行接口实例(终端或命令提示符),粘贴并运行IAM角色创建脚本。
- 创建IAM Role后,命令行界面将在屏幕上输出ARN。复制角色ARN并返回InsightVM中的连接向导。
- 在向导的第1步中,为您的连接指定一个名称。
- 将刚才复制的IAM Role ARN粘贴到提供的字段中。如果您愿意,可以使用测试假设的作用按钮。
- 如果您打算为此AWS连接添加和配置一个支持CloudTrail连接,请检查包括一个CloudTrail连接盒子。
如果您想将CloudTrail与云配置评估一起使用,请不要跳过此步骤!
检查提供的盒子可以打开可选的连接步骤中生成的自定义策略文档附加策略步骤包括与CloudTrail相关的必要权限。
- 点击继续将向导推进到下一步。
配置CloudTrail连接字段(CLI,可选)
如果你检查了包括一个CloudTrail连接框中的可选的连接向导的步骤将被激活并变得可导航。此步骤包含CloudTrail功能所需的字段。
按照以下步骤配置CloudTrail连接:
- 在InsightVM中的连接向导的第2步中,输入SQS队列的ARN,该连接应该监视新消息。
CloudTrail连接需要配置SNS通知
如前面所述要求,只有当SNS主题将CloudTrail消息转发给SQS队列时,InsightVM才能响应CloudTrail事件。如果你还没有部署这个功能,请参阅以下AWS文档获取说明:
- 输入CloudTrail要向其发送事件文档的S3桶的名称。
- 点击继续将向导推进到下一步。
为IAM Role附加策略(CLI)
现在您的IAM Role已经就位,您可以使用连接向导的第3步创建和附加所需的策略。
按照以下步骤创建并将策略附加到IAM角色:
- 在InsightVM中连接向导的步骤3中,根据您的操作系统在策略附件方法下单击其中一个CLI选项卡,然后复制自定义托管策略创建脚本。
- 您可以展开创建自定义管理策略下拉菜单,以查看此策略包含的权限。如果您选择包含CloudTrail连接,则此策略将根据您在第2步的字段中提供的信息包含额外的权限。
- 粘贴并在命令行界面中运行此脚本。
- 接下来,复制将AWS SecurityAudit Policy附加到IAM Role命令。在命令行界面中执行此命令将默认的SecurityAudit策略附加到IAM Role。
- 最后,复制将自定义策略附加到IAM角色命令。在命令行界面中运行此命令将您刚刚创建的自定义策略附加到您的IAM Role。
- 现在您的IAM角色已经附加了必要的策略,返回到InsightVM中的连接向导并单击继续进入最后一步。
查看并保存连接(CLI)
完成所有必要的配置后,花点时间在向导的第4步中查看连接的详细信息。在确认所有内容都正确后,单击提交完成。InsightVM将立即开始初始收集AWS资源配置数据,以便在“云配置”界面中查看。
您的AWS连接准备好了!
为了使用云配置评估,InsightVM现在应该有一个与AWS环境的工作连接。在InsightVM收集数据时,您将开始看到结果,但请注意,帐户的大小和范围最终会影响这个初始过程所需的时间。大型帐户的初始收集周期可能需要几个小时,所以在您的界面继续更新新的评估结果时,请记住这一点。
接下来,来看看云配置评估接口指南了解如何充分利用此功能。
如何添加CloudTrail连接到现有的AWS连接
如果要为已存在的AWS连接配置新的CloudTrail连接,可以从管理屏幕触发连接向导并进行必要的更改:
- 打开InsightVM界面,单击云配置选项卡在你的左边菜单上。
- 当“Cloud Configuration”页面加载完成后,单击添加/管理连接在右上角。管理视图显示连接选项卡打开。
- 浏览并单击云基础设施类别,以显示所有现有的Cloud Configuration连接。
- 点击编辑在您想要修改的连接上。连接向导将显示当前字段值。
- 检查包括一个CloudTrail连接盒子。点击继续继续执行现已解锁的CloudTrail字段配置步骤。
- 在连接向导的第2步中,输入此连接应该监视的SQS队列的ARN。
CloudTrail连接需要配置SNS通知
如前面所述要求,只有当SNS主题将CloudTrail消息转发给SQS队列时,InsightVM才能响应CloudTrail事件。如果你还没有部署这个功能,请参阅以下AWS文档获取说明:
- 输入CloudTrail要向其发送事件文档的S3桶的名称。
- 点击继续将向导推进到策略附件步骤。
- 由于您是在现有AWS连接上添加内容,因此您只需要修改已附加到IAM Role的自定义管理策略的权限内容。扩大创建自定义管理策略命令行选项卡中的下拉框或管理政策文件下拉的AWS控制台选项卡检索更新后的策略主体。
- 使用CLI或AWS管理控制台更新现有自定义策略。
- 更新自定义策略后,将连接向导推进到第4步,并查看新的CloudTrail连接详细信息。
- 点击提交完成。