本页面概述了在您启用 Security Command Center 后发生的激活过程。它旨在解答常见问题:
- 启用 Security Command Center 后会出现什么情况?
- 为什么首次扫描开始之前会有延迟?
- 首次扫描和持续扫描预计需要多少运行时间?
- 更改资源和设置对性能有何影响?
概览
首次启用 Security Command Center 时,必须先完成激活流程,然后 Security Command Center 才能开始扫描您的资源。然后,您必须等待扫描完成,才能看到 Google Cloud 环境的完整一组发现结果。
激活过程和扫描需要多长时间取决于多种因素,包括环境中的资产和资源数量,以及 Security Command Center 是在组织级层还是在项目级层激活的。
在组织级激活时,Security Command Center 必须针对组织中的每个项目重复激活流程的某些步骤。激活过程所需的时间可能在几分钟到几小时之间,具体取决于组织中的项目数量。对于项目数量超过 10 万个、每个项目中包含大量资源以及存在其他复杂因素的组织,启用和初始扫描可能需要长达 24 小时或更长时间才能完成。
在项目级层激活 Security Command Center 时,激活过程会更快,因为该过程仅限于激活 Security Command Center 的单个项目。
下面几节将介绍可能会在开始扫描、处理设置更改以及扫描运行时中引入延迟时间的因素。
拓扑
下图简要介绍了初始配置和启用过程。
初始配置延迟时间
在开始扫描之前,Security Command Center 会发现您的资源并将其编入索引。
已编入索引的服务包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。
对于 Security Command Center 的项目级激活,发现和索引编制仅限于激活 Security Command Center 的单个项目。
对于组织级激活,Security Command Center 会发现并编入整个组织中的资源索引。
在执行此初始配置流程期间,我们会执行两个关键步骤。
资源扫描
Security Command Center 执行初始资源扫描,以识别项目、文件夹、文件、集群、身份和访问权限政策、注册的用户和其他资源的总数、位置和状态。此过程通常在几分钟内完成。
API 激活
发现资源时,Security Command Center 启用运行 Security Health Analytics、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 所需的 Google Cloud 部分。部分检测服务需要在受保护的项目上启用特定的 API 才能正常运行。
在项目级层激活 Security Command Center 时,API 激活通常不到一分钟。
在组织级激活时,Security Command Center 会遍历您选择进行扫描的所有项目,以启用必要的 API。
组织中的项目数量基本上决定了初始配置和启用流程的时间长度。由于必须逐一为项目激活 API,因此 API 激活是最耗时的任务,尤其是项目数量超过 10 万个的组织。
跨项目启用服务所需的时间是线性增长的。这表示在项目数量 3 万个的组织中启用服务和安全设置需要花费的时间是项目数量 1.5 万个的组织的两倍。
对于拥有 10 万个项目的组织,高级层级的初始配置和启用应在 5 小时内完成。具体时间可能会因多种因素而异,包括您使用的项目或容器数量,以及您选择启用的 Security Command Center 服务数量。
扫描延迟时间
设置 Security Command Center 时,您需要决定要启用哪些内置和集成服务,并选择 Google Cloud 资源以针对威胁和漏洞进行分析或扫描。为项目激活 API 时,选定的服务将开始扫描。这些扫描的持续时间还取决于组织中的项目数量。
初始扫描完成后,内置服务即可提供发现结果。服务会遇到延迟,如下所述。
- Container Threat Detection 具有以下延迟时间:
- 新初始配置的项目或组织的激活延迟时间(最多 3.5 小时)。
- 新创建的集群的启用延迟时间(几分钟)。
- 已激活的集群中的威胁检测延迟时间(分钟数)。
内置检测器的 Event Threat Detection 激活会在几秒钟内完成。对于新的或更新的自定义检测器,所做更改最长可能需要 15 分钟才能生效。在实践中,此过程通常需要不到 5 分钟的时间。
对于内置和自定义检测器,当 Security Command Center 中提供发现结果时,检测延迟时间通常低于 15 分钟(从写入日志后开始算起)。
Security Health Analytics 扫描大约会在服务启用一小时后开始。第一次 Security Health Analytics 扫描可能需要长达 12 小时才能完成。之后,大多数检测会根据资源配置更改实时运行(如需详细了解例外情况,请参阅 Security Health Analytics 检测延迟时间。
对于新初始配置的组织,VM Threat Detection 的激活延迟时间最长为 48 小时。对于项目,激活延迟时间最长为 15 分钟。
在 AWS 账号中首次部署所需的 CloudFormation 模板大约 15 分钟后,Amazon Web Services (AWS) 漏洞评估功能会开始扫描该账号中的资源。在 AWS 账号中检测到软件漏洞后,大约 10 分钟后,Security Command Center 中就会显示相应的发现结果。
完成扫描所需的时间取决于 EC2 实例的数量。通常,扫描单个 EC2 实例需要不到 5 分钟。
在启用服务之后,Web Security Scanner 扫描可能需要长达 24 小时才能启动,并在首次扫描后每周运行。
Security Command Center 会运行错误检测器,可检测与 Security Command Center 及其服务相关的配置错误。这些错误检测器默认处于启用状态,且无法停用。检测延迟时间会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
初步发现结果
在初始扫描过程中,但在初始配置流程完成之前,您可能会在 Google Cloud 控制台中看到一些发现结果。
初步发现结果准确且可作为行动依据,但并不全面。不推荐您在前 24 小时内使用这些发现结果进行合规性评估。
后续扫描
在组织或项目中进行的更改(例如移动资源或添加新文件夹和项目 [对于组织级层的激活])通常不会显著影响资源发现时间或扫描的运行时。但是,某些扫描按设置时间表进行,这些时间表决定了 Security Command Center 检测更改的速度。
- Event Threat Detection 和 Container Threat Detection:这些服务在启用后便会实时运行,并立即在已启用项目中检测新资源或更改过的资源(例如集群、存储桶或日志)。
- Security Health Analytics:Security Health Analytics 在启用后便会实时运行,且在几分钟后便会检测新资源或更改过的资源(但以下所列的检测除外)。
- VM Threat Detection:对于内存扫描,VM Threat Detection 会在实例创建后立即扫描每个虚拟机实例。此外,VM Threat Detection 每 30 分钟扫描一次各虚拟机实例。
- 对于加密货币挖矿检测,VM Threat Detection 会每天为每个进程、每个虚拟机生成一个发现结果。每个发现结果仅包含与该发现结果所识别的进程关联的威胁。如果 VM Threat Detection 发现威胁,但无法将其与任何进程相关联,则对于每个虚拟机,VM Threat Detection 会将所有未关联的威胁分组到一个发现结果中,该发现结果每 24 小时发出一次。对于任何存在时间超过 24 小时的威胁,VM Threat Detection 会每 24 小时生成一次新发现结果。
- 对于内核模式的根 kit 检测(处于预览版阶段),VM Threat Detection 每三天会为每个虚拟机生成一个类别的发现结果。
对于用于检测是否存在已知恶意软件的永久性磁盘扫描,VM Threat Detection 至少每天扫描一次每个虚拟机实例。
AWS 漏洞评估每天运行三次扫描。
完成扫描所需的时间取决于 EC2 实例的数量。通常,扫描单个 EC2 实例需要不到 5 分钟。
在 AWS 账号中检测到软件漏洞后,大约 10 分钟后,Security Command Center 中就会显示相应的发现结果。
Web Security Scanner:Web Security Scanner 每周运行一次,在初始扫描的同一天运行。由于 Web Security Scanner 每周运行一次,因此它不会实时检测变化。如果您移动资源或更改应用,则可能长达一周都检测不到更改。您可以运行按需扫描,以在定时运行的扫描之间检查新资源或更改过的资源。
Security Command Center 错误检测器以批量模式定期运行。批量扫描频率会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Health Analytics 检测延迟时间
在启用服务后以及相关资产的配置发生变化时,Security Health Analytics 检测会定期以批量模式运行。启用 Security Health Analytics 后,任何相关的资源配置更改都会导致更新后的错误配置发现结果。在某些情况下,更新可能会花费几分钟,具体取决于资产类型和更改。
某些 Security Health Analytics 检测器不支持实时扫描模式,例如,针对资源配置外部的信息运行检测。下表中所列的这些检测会定期运行,并在 12 小时内识别配置错误。如需详细了解 Security Health Analytics 检测器,请参阅漏洞和发现结果。
| 不支持实时扫描模式的 Security Health Analytics 检测 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED(以前称为 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻击路径模拟
攻击路径模拟大约每六小时运行一次。随着您的 Google Cloud 组织的大小或复杂性不断增加,间隔时间可能会增加。
首次启用 Security Command Center 时,攻击路径模拟会使用默认的高价值资源集,其中包含贵组织中的所有受支持资源类型。
当您通过创建资源值配置开始定义自己的高价值资源集时,如果高价值资源集中的资源实例数远低于默认集,则您可能会看到模拟间隔时间缩短。