Le vulnerabilità del software sono debolezze che possono causare un guasto accidentale del sistema o attività dannose. Per ulteriori informazioni, consulta Report sulle vulnerabilità.
Questo documento descrive come configurare le VM utilizzando VM Manager e visualizzare i report sulle vulnerabilità per i sistemi operativi.
Prima di iniziare
- Esamina le quote di OS Config.
- Configura VM Manager.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è la procedura mediante la quale la tua identità viene verificata per l'accesso alle API e ai servizi Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Per visualizzare i report sulle vulnerabilità utilizzando l'API o l'interfaccia a riga di comando gcloud CLI:
OS Config Vulnerability Report Viewer (
roles/osconfig.vulnerabilityReportViewer
) -
Per visualizzare i report sulle vulnerabilità utilizzando la console Google Cloud:
-
OS Config Vulnerability Report Viewer (
roles/osconfig.vulnerabilityReportViewer
) -
OS Inventory Viewer (
roles/osconfig.inventoryViewer
)
-
OS Config Vulnerability Report Viewer (
-
Per visualizzare le informazioni sulle CVE nella finestra di dialogo Dettagli istanza VM nella pagina Patch:
-
Visualizzatore di deployment delle patch (
roles/osconfig.patchDeploymentViewer
) -
Visualizzatore job patch (
roles/osconfig.patchJobViewer
)
-
Visualizzatore di deployment delle patch (
- Utilizza la console Google Cloud, l'API o gcloud CLI.
- Se sei un utente del livello Premium di Security Command Center, utilizza la dashboard di Security Command Center.
- Utilizza Cloud Asset Inventory.
- Nella console Google Cloud, vai alla pagina Istanze VM.
- Fai clic sul nome dell'istanza per la quale vuoi visualizzare le informazioni sul sistema operativo. Viene visualizzata la pagina Dettagli istanza.
- Fai clic sulla scheda Informazioni sul sistema operativo.
Per visualizzare i dati dell'inventario del sistema operativo, devi attivare VM Manager. Se la console Google Cloud ti chiede di attivare VM Manager, seleziona una delle seguenti opzioni:- Attiva per il progetto corrente: attiva VM Manager per tutte le VM nel progetto selezionato
- Attiva per questa VM: attiva VM Manager solo per la VM selezionata
- Esamina l'elenco delle vulnerabilità del sistema operativo nella scheda Informazioni sul sistema operativo.
Per visualizzare i report sulle vulnerabilità per le VM in una zona specifica, utilizza il comando
os-config vulnerability-reports list
.Ad esempio, per elencare tutte le VM con dati di inventario, esegui il comando seguente:
gcloud compute os-config vulnerability-reports list \ --location=ZONE
Sostituisci
ZONE
con la zona in cui si trova la VM.Esempio
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
Output di esempio
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
Per visualizzare il report sulle vulnerabilità per una VM specifica, esegui il comando
os-config vulnerability-reports describe
specificandoINSTANCE_ID
restituito dal passaggio precedente oINSTANCE_NAME
.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
Sostituisci quanto segue:
VM_NAME
: il nome della VMZONE
: la zona in cui si trova l'istanza VM
Esempio
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
Output di esempio
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
Per visualizzare i report sulle vulnerabilità per le VM in una zona specifica, crea una richiesta
GET
al metodoprojects.locations.instances.vulnerabilityReports
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoZONE
: la zona in cui si trovano le VM
Per visualizzare il report sulle vulnerabilità per una VM specifica, crea una richiesta
GET
al metodoprojects.locations.instances.getVulnerabilityReport
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoZONE
: la zona in cui si trova l'istanza VMINSTANCE
: specifica l'ID dell'istanza o il nome della VM
- Configura VM Manager.
- Nel tuo progetto Google Cloud, abilita l'API Cloud Asset Inventory, Google Cloud CLI e assegnare le autorizzazioni.
- Scopri di più sulla gestione dell'inventario del sistema operativo.
REST
Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Per ulteriori informazioni, consulta Eseguire l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.
Sistemi operativi supportati
Per l'elenco completo dei sistemi operativi e delle versioni per i quali puoi ricevere report sulle vulnerabilità utilizzando VM Manager, consulta Dettagli del sistema operativo.
Ruoli e autorizzazioni richiesti
Per ottenere le autorizzazioni necessarie per visualizzare i report sulle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Oltre a questi ruoli, per accedere alle risorse Compute Engine utilizzando la console Google Cloud, devi disporre di un ruolo che contenga l'autorizzazione
compute.projects.get
per il progetto.Visualizzare i report sulle vulnerabilità
Per visualizzare i report sulle vulnerabilità, puoi utilizzare una delle seguenti opzioni:
Visualizzare il report sulle vulnerabilità utilizzando l'API o l'interfaccia a riga di comando gcloud
Utilizza uno dei seguenti metodi per visualizzare i report sulle vulnerabilità per le tue VM.
Console
Per visualizzare i report sulle vulnerabilità del sistema operativo per una VM utilizzando la console Google Cloud, svolgi i seguenti passaggi:
gcloud
REST
Visualizzare i report sulle vulnerabilità utilizzando la dashboard di Security Command Center
Security Command Center è il servizio centralizzato di Google Cloud per la segnalazione di vulnerabilità e minacce.
Se sei un utente del livello Premium di Security Command Center, puoi accedere ai dati dei report sulle vulnerabilità per i sistemi operativi in esecuzione sulle VM della tua organizzazione.
Nella pagina Risultati della dashboard di Security Command Center, puoi esaminare gli ID CVE (Common Vulnerabilities and Exposures) di tutte le vulnerabilità identificate che interessano il tuo sistema operativo.
Per informazioni sull'utilizzo della dashboard di Security Command Center per accedere e esaminare i dati sulle vulnerabilità del sistema operativo, consulta VM Manager.
Visualizzare i dati dei report sulle vulnerabilità da Cloud Asset Inventory
La gestione dell'inventario del sistema operativo archivia e inoltra i dati dell'inventario e dei report sulle vulnerabilità a Cloud Asset Inventory. Cloud Asset Inventory è un servizio di inventario di metadati che consente di visualizzare, monitorare e analizzare gli asset in Google Cloud. Da Cloud Asset Inventory, puoi eseguire il polling delle informazioni e visualizzare le modifiche ai dati.
Per accedere ai dati dell'inventario del sistema operativo e dei report sulle vulnerabilità da Cloud Asset Inventory, devi completare la seguente configurazione:
Per ulteriori informazioni, consulta Visualizzazione dei dati di VM Manager.
Passaggi successivi
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2024-12-19 UTC.
-