Gestión de inventario de SO

Esta página proporciona una descripción general de la gestión del inventario del sistema operativo. Para obtener información sobre cómo configurar y utilizar la gestión de inventario del sistema operativo, consulte Visualización de detalles del sistema operativo .

Utilice la gestión de inventario del sistema operativo para recopilar y ver detalles del sistema operativo para sus instancias de máquina virtual (VM). Estos detalles del sistema operativo incluyen información como el nombre de host, el sistema operativo y la versión del kernel. También puede obtener información sobre los paquetes del sistema operativo instalados, las actualizaciones de paquetes del sistema operativo disponibles, las aplicaciones de Windows y las vulnerabilidades del sistema operativo.

Cuándo utilizar la gestión de inventario del sistema operativo

La gestión de inventario del sistema operativo se puede utilizar para completar las siguientes tareas:

  • Identificar máquinas virtuales que ejecutan una versión específica de un sistema operativo
  • Ver los paquetes del sistema operativo que están instalados en una VM
  • Genere una lista de actualizaciones de paquetes del sistema operativo que están disponibles para cada VM
  • Identificar paquetes, actualizaciones o parches del sistema operativo faltantes para una máquina virtual
  • Ver informes de vulnerabilidad para una VM

Cómo funciona la gestión de inventario del sistema operativo

Cuando la administración de inventario del sistema operativo está habilitada, el agente de configuración del sistema operativo ejecuta un escaneo de inventario para recopilar datos y luego envía esta información al servidor de metadatos, la API de configuración del sistema operativo y varios flujos de registro. Este análisis se ejecuta cada 10 minutos en la VM.

Para habilitar la administración del inventario del sistema operativo, se debe configurar VM Manager en la VM. Consulte Configurar VM Manager .

Después de configurar VM Manager, puede consultar los atributos del invitado o la API de configuración del sistema operativo para recuperar información sobre el sistema operativo que se ejecuta en una VM. Consulte Ver detalles del sistema operativo .

Cómo se recopilan los datos del sistema operativo

Para las máquinas virtuales Linux, el agente de configuración del sistema operativo se ejecuta en la máquina virtual y analiza el archivo /etc/os-release , o el archivo equivalente para la distribución de Linux, para recopilar detalles del sistema operativo. El agente de OS Config también utiliza administradores de paquetes como apt , yum o GooGet para recopilar información sobre los paquetes instalados y las actualizaciones disponibles para la instancia.

Para las máquinas virtuales de Windows, el agente de configuración del sistema operativo utiliza las API del sistema de Windows para recopilar los detalles de la información del sistema operativo. El agente de Windows Update también se utiliza para buscar las actualizaciones instaladas y disponibles.

Dónde se almacenan los datos del sistema operativo

Los datos del inventario se almacenan en la API de configuración del sistema operativo. El contenido de los paquetes instalados y las actualizaciones de paquetes se comprimen usando gzip para ahorrar espacio y luego se codifican en base64.

Explotación florestal

Durante la recopilación y el almacenamiento de datos, el agente de OS Config escribe registros de actividad en los distintos flujos de registros en Compute Engine. Estos incluyen:

  • El puerto serie
  • Registros del sistema: registro de eventos de Windows y registro del sistema de Linux
  • Secuencias estándar: salida estándar
  • Registros de Cloud Logging : estos registros solo están disponibles si Cloud Logging está habilitado en la instancia de VM.

Información proporcionada por la gestión de inventario del sistema operativo

La administración del inventario del sistema operativo puede proporcionar la siguiente información sobre el sistema operativo que se ejecuta en su instancia de VM:

  • Nombre de host
  • LongName: el nombre detallado del sistema operativo. Por ejemplo, Microsoft Windows Server 2016 Datacenter .
  • ShortName: la forma abreviada del nombre del sistema operativo. Por ejemplo, Windows .
  • Versión del núcleo
  • arquitectura del sistema operativo
  • Versión del sistema operativo
  • Versión del agente de configuración del sistema operativo
  • Última actualización: una marca de tiempo de la última vez que el agente escaneó exitosamente el sistema y actualizó los atributos del huésped con datos del inventario del sistema operativo.

Paquete del sistema operativo instalado e información de la aplicación

La siguiente tabla resume la información que la administración del inventario del sistema operativo proporciona para los paquetes del sistema operativo instalados en máquinas virtuales Linux y Windows. También describe la información disponible para las aplicaciones que se ejecutan en Windows.

Sistema operativo Administrador de paquetes Campos disponibles
Servidor Linux y Windows La información del paquete instalado está disponible en los siguientes administradores de paquetes:
  • RPM para Red Hat Enterprise Linux (RHEL)
  • DEB para Debian y Ubuntu
  • GooGet para Windows Server
 Para cada paquete instalado se proporciona la siguiente información:
  • Nombre del paquete
  • Arquitectura
  • Versión
Servidor Windows Agente de actualización de Windows Se enumeran los siguientes campos para las actualizaciones de Windows :
  • Título
  • Descripción
  • Categorías
  • ID de categoría 1
  • KBID de artículo
  • URL de soporte
  • ID de actualización 1
  • RevisiónNúmero 1
  • Última hora de cambio de implementación
Servidor Windows Actualizaciones de ingeniería de reparación rápida de Windows Los siguientes campos se enumeran para las actualizaciones de QuickFixEngineering
  • Subtítulo
  • Descripción
  • ID de revisión
  • Instalado en
Servidor Windows instalador de windows 2 Se enumeran los siguientes campos para Windows Installer :
  • Nombre para mostrar
  • Versión de visualización
  • Editor
  • Fecha de instalación
  • Enlace de ayuda

1 Este campo está oculto en la salida de línea de comandos predeterminada gcloud compute instances os-inventory describe . Para ver este campo debe ver el resultado en formato JSON. Para ver el resultado en formato JSON, agrega --format=JSON al comando de gcloud . Para obtener más información sobre el formato de salida, revisa gcloud topic formats .

2 Para ver las propiedades del instalador de sus aplicaciones de Windows, necesita la versión 20210811 o posterior del agente OS Config. Para ver la versión del agente, consulte Ver la versión del agente de configuración del sistema operativo .

Información de actualización del paquete del sistema operativo disponible

La siguiente tabla resume la información de actualización que proporciona la administración de inventario del sistema operativo para los paquetes del sistema operativo instalados.

Sistema operativo Administrador de paquetes Campos disponibles
Servidor Linux y Windows La información de actualización del paquete está disponible en los siguientes administradores de paquetes:
  • Yum para Red Hat Enterprise Linux (RHEL)
  • Apto para Debian y Ubuntu
  • GooGet para Windows Server
 Para cada actualización de paquete que está disponible, se proporciona la siguiente información:
  • Nombre del paquete
  • Arquitectura
  • Versión
Servidor Windows Agente de actualización de Windows Se enumeran los siguientes campos para las actualizaciones de Windows :
  • Título
  • Descripción
  • Categorías
  • ID de categoría 1
  • KBID de artículo
  • URL de soporte
  • ID de actualización 1
  • RevisiónNúmero 1
  • Última hora de cambio de implementación

1 Este campo está oculto en la salida de línea de comandos predeterminada gcloud compute instances os-inventory describe . Para ver este campo debe ver el resultado en formato JSON. Para ver el resultado en formato JSON, agrega --format=JSON al comando de gcloud . Para obtener más información sobre el formato de salida, revisa gcloud topic formats .

Informes de vulnerabilidad

Las vulnerabilidades del software son debilidades que pueden causar una falla accidental del sistema o generar actividad maliciosa. Para las máquinas virtuales, una vulnerabilidad puede ser un problema en el código o la lógica de operación de paquetes del sistema operativo o aplicaciones de software.

Las vulnerabilidades asociadas con los paquetes del sistema operativo instalados normalmente se almacenan en un repositorio de fuentes de vulnerabilidades. Para obtener más información sobre estas fuentes de vulnerabilidad, consulte Fuentes de vulnerabilidad . Puede utilizar la gestión de inventario del sistema operativo para ver informes de vulnerabilidad sobre problemas con los paquetes del sistema operativo instalados.

Para obtener datos de vulnerabilidad para una máquina virtual, se debe configurar VM Manager y la versión del agente de configuración del sistema operativo con fecha 20201110 o posterior debe estar ejecutándose en la máquina virtual. Consulte Configuración de VM Manager .

Una vez que el agente de OS Config está configurado y reporta el inventario, el servicio API de OS Config escanea y verifica continuamente el origen de la vulnerabilidad del sistema operativo con los datos de inventario disponibles. Cuando se detecta una vulnerabilidad en los paquetes del sistema operativo, el servicio genera un informe de vulnerabilidad. Estos informes se generan de la siguiente manera:

  • Cuando se instala o actualiza un paquete en el sistema operativo de una VM, puede esperar ver información sobre vulnerabilidades y exposiciones comunes (CVE) para la VM en VM Manager, Security Command Center y Cloud Asset Inventory dentro de las dos horas posteriores al cambio.
  • Cuando se publican nuevos avisos de seguridad para un sistema operativo, los CVE actualizados normalmente están disponibles dentro de las 24 horas posteriores a la publicación del aviso por parte del proveedor del sistema operativo.

Para ver estos informes de vulnerabilidad, consulte Ver informes de vulnerabilidad .

Cómo se generan los informes de vulnerabilidad

VM Manager completa periódicamente las siguientes tareas:

  1. Lee los informes que se recopilan de los datos del inventario del sistema operativo en una máquina virtual.
  2. Busca datos de clasificación de la fuente de vulnerabilidad para cada sistema operativo y ordena estos datos según la gravedad (de mayor a menor), al menos una vez al día.
  3. Muestra los datos CVE de una VM en la consola de Google Cloud. También puede ver los informes de vulnerabilidad utilizando Security Command Center o Cloud Asset Inventory.

Fuentes de vulnerabilidad

La siguiente tabla resume el origen de la vulnerabilidad que se utiliza para cada sistema operativo. Para obtener una lista completa de los sistemas operativos compatibles y sus versiones, consulte Detalles del sistema operativo .

Sistema operativo Paquete fuente de vulnerabilidad
RHEL y CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
ubuntu https://launchpad.net/ubuntu-cve-tracker
LES https://ftp.suse.com/pub/projects/security/oval/
Linux rocoso https://errata.rockylinux.org/
ventanas Datos de vulnerabilidad publicados por el Centro de respuesta de seguridad de Microsoft .

Retención de datos

Los datos del inventario del sistema operativo y del informe de vulnerabilidad se almacenan hasta que se elimina la VM. Sin embargo, si por algún motivo el agente de OS Config deja de informar al servicio API de OS Config durante unos días, VM Manager elimina el inventario del sistema operativo disponible y los datos del informe de vulnerabilidad recopilados hasta ese momento. No habrá datos disponibles para esa VM hasta que el agente de configuración del sistema operativo comience a ejecutarse nuevamente.

Precios

Para obtener información sobre los precios, consulte Precios de VM Manager .

¿Qué sigue?