Mit der Sicherheitslückenanalyse für Google Cloud können Sie kritische und schwerwiegende Software-Sicherheitslücken erkennen, ohne Agents in den folgenden Bereichen zu installieren:
- Compute Engine-VM-Instanzen ausführen
- Knoten in GKE Standard-Clustern
- Container, die in GKE Standard- und GKE Autopilot-Clustern ausgeführt werden
Die Sicherheitslückenbewertung für Google Cloud funktioniert so: Die Festplatten Ihrer VM-Instanz werden etwa alle 12 Stunden geklont, in einer anderen sicheren VM-Instanz bereitgestellt und mit dem SCALIBR-Scanner bewertet. Die Sicherheitslückenbewertung für Google Cloud scannt die Dateisysteme des Hosts und des Containers.
Der VM-Instanzklon hat die folgenden Attribute:
- Sie wird in derselben Region wie die Quell-VM-Instanz erstellt.
- Es wird in einem Google-Projekt erstellt, sodass keine zusätzlichen Kosten anfallen.
Es werden nur ausgeführte VM-Instanzen, Knoten und Container gescannt. Wenn ein Ergebnis erstellt wird, hat es 25 Stunden lang den Status ACTIVE. Wenn das Problem innerhalb dieses Zeitraums von 25 Stunden noch einmal erkannt wird, wird der Zähler zurückgesetzt und das Ergebnis bleibt weitere 25 Stunden im Status ACTIVE.
Wenn das Ergebnis innerhalb des 25-Stunden-Zeitraums nicht noch einmal erkannt wird, wird es auf INACTIVE gesetzt.
Wenn die VM-Instanz oder der Knoten heruntergefahren wird, wird das Ergebnis nach Ablauf des 25-Stunden-Zeitraums auf INACTIVE gesetzt, auch wenn die Sicherheitslücke nicht behoben wurde.
Hinweise
Wenn Sie VPC Service Controls-Perimeter eingerichtet haben, erstellen Sie die erforderlichen Regeln für ein- und ausgehenden Traffic.
Beschränkungen
- VM-Instanzen mit nichtflüchtigen Speichern, die mit vom Kunden bereitgestellten Verschlüsselungsschlüsseln (CSEK) oder vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsselt sind, werden nicht unterstützt.
- Es werden nur VFAT-, EXT2- und EXT4-Partitionen gescannt.
- Der Security Command Center-Dienst-Agent benötigt Zugriff, um VM-Instanzen in Projekten aufzulisten und ihre Laufwerke in Google-Projekte zu klonen. Einige Sicherheits- und Richtlinienkonfigurationen wie Einschränkungen für Organisationsrichtlinien können diesen Zugriff beeinträchtigen und verhindern, dass der Scan durchgeführt wird.
Dienstidentität und Berechtigungen
Für die Sicherheitslückenbewertung für den Dienst Google Cloud werden Security Command Center-Dienst-Agents für die Identität und die Berechtigung für den Zugriff auf Google Cloud -Ressourcen verwendet.
Bei Aktivierungen von Security Command Center auf Organisationsebene wird der folgende Service Agent verwendet:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Bei der Aktivierung von Security Command Center auf Projektebene wird der folgende Dienst-Agent verwendet:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Sicherheitslückenbewertung für Google Cloudaktivieren oder deaktivieren
Standardmäßig ist die Sicherheitslückenbewertung für Google Cloud für alle VM-Instanzen, sofern möglich, automatisch für Organisationen aktiviert, die zu den Premium- oder Enterprise-Stufen von Security Command Center gehören. So ändern Sie diese Einstellung:
Rufen Sie in der Google Cloud Console die Seite Risikoübersicht auf:
Wählen Sie eine Organisation aus, um die Sicherheitslückenbewertung für Google Cloud zu aktivieren.
Klicken Sie auf Einstellungen.
Klicken Sie auf der Karte Vulnerability Assessment (Schwachstellenanalyse) auf Manage settings (Einstellungen verwalten).
Aktivieren oder deaktivieren Sie auf dem Tab Google Cloud in der Spalte Agentless Vulnerability Assessment (Agentenlose Sicherheitslückenbewertung) die Sicherheitslückenbewertung für Google Cloud auf Organisations-, Ordner- oder Projektebene. Für niedrigere Ebenen kann auch festgelegt werden, dass der Wert von höheren Ebenen übernommen wird.
Ergebnisse der Prüfung auf Sicherheitslücken für Google Cloud
Wenn der Dienst „Vulnerability Assessment“ für Google Cloud eine Softwarelücke auf einer Compute Engine-VM-Instanz, einem Knoten in einem GKE-Cluster oder einem in GKE ausgeführten Container erkennt, generiert der Dienst ein Ergebnis in Security Command Center.
Jedes Ergebnis enthält die folgenden Informationen, die für die erkannte Softwarelücke eindeutig sind:
- Der vollständige Ressourcenname der betroffenen Instanz oder des betroffenen GKE-Clusters.
- Wenn das Ergebnis mit einer GKE-Arbeitslast zusammenhängt, sind Informationen zum betroffenen Objekt enthalten, z. B.:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Eine Beschreibung der Sicherheitslücke, einschließlich der folgenden Informationen:
- Das Softwarepaket, das die Sicherheitslücke enthält, und sein Speicherort
- Informationen aus dem zugehörigen CVE-Eintrag
- Eine Bewertung der Auswirkungen und der Ausnutzbarkeit der Sicherheitslücke durch Mandiant
- Eine Bewertung der Schwere der Sicherheitslücke durch Security Command Center
- Eine Bewertung der Angriffsgefahr, die Ihnen hilft, die Behebung von Problemen zu priorisieren
- Eine visuelle Darstellung des Pfads, den ein Angreifer zu den hochwertigen Ressourcen nehmen könnte, die durch die Sicherheitslücke gefährdet sind
- Falls verfügbar, Schritte, die Sie zur Behebung des Problems ausführen können, einschließlich des Patches oder Versionsupgrades, mit dem Sie die Sicherheitslücke beheben können
Da dieselbe Sicherheitslücke in mehreren Containern erkannt werden kann, werden Sicherheitslücken auf GKE-Arbeitslast- oder ‑Pod-Ebene zusammengefasst.
In einem Ergebnis können mehrere Werte in einem einzelnen Feld enthalten sein, z. B. im Feld files.elem.path.
Alle Ergebnisse der Sicherheitslückenbewertung für Google Cloud haben die folgenden Attributwerte:
- Kategorie
OS vulnerabilitySoftware vulnerability- Klasse
Vulnerability- Cloud-Dienstanbieter
Google Cloud- Quelle
Vulnerability Assessment
Aufbewahrung von Ergebnissen
Nachdem sie behoben wurden, werden die von Vulnerability Assessment for Google Cloud generierten Ergebnisse 7 Tage lang aufbewahrt und dann gelöscht. Ergebnisse der aktiven Sicherheitslückenbewertung für Google Cloudwerden auf unbestimmte Zeit aufbewahrt.
Paketstandort
Der Dateipfad einer in den Ergebnissen gemeldeten Sicherheitslücke bezieht sich entweder auf eine Binärdatei oder auf Paketmetadatendateien. Was aufgeführt wird, hängt vom verwendeten SCALIBR-Extractor ab. Bei Sicherheitslücken, die in einem Container gefunden wurden, ist dies der Pfad innerhalb des Containers.
Die folgende Tabelle enthält einige Beispiele für die Position der Sicherheitslücke, die für verschiedene SCALIBR-Extraktoren angezeigt wird.
| SCALIBR-Extraktor | Paketstandort |
|---|---|
Debian-Paket (dpkg) |
/var/lib/dpkg/status |
| Go-Binärdatei | /usr/bin/google_osconfig_agent |
| Java-Archiv | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Ergebnisse in der Console ansehen
Sie können die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud -Konsole ansehen. Bevor Sie das tun, müssen Sie dafür sorgen, dass Ihr Hauptkonto die erforderlichen Rollen hat.
So prüfen Sie die Ergebnisse der Sicherheitslückenbewertung für Google Cloud in der Google Cloud Console:
Standard oder Premium
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihr Google Cloud Projekt oder Ihre Organisation aus.
- Wählen Sie im Abschnitt Schnellfilter im Unterabschnitt Anzeigename der Quelle die Option Vulnerability Assessment aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.
Unternehmen
- Rufen Sie in der Google Cloud Console die Seite Ergebnisse von Security Command Center auf.
- Wählen Sie Ihre Google Cloud Organisation aus.
- Klicken Sie im Abschnitt Aggregationen, um den Unterabschnitt Anzeigename der Quelle zu maximieren.
- Wählen Sie Prüfung auf Sicherheitslücken aus. Die Ergebnisse der Ergebnisabfrage werden aktualisiert, sodass nur die Ergebnisse aus dieser Quelle angezeigt werden.
- Klicken Sie in der Spalte Kategorie auf den Namen des Ergebnisses, um die Details eines bestimmten Ergebnisses aufzurufen. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.
- Sehen Sie sich auf dem Tab Zusammenfassung die Details des Ergebnisses an, einschließlich Informationen dazu, was erkannt wurde, welche Ressource betroffen ist und – falls verfügbar – welche Schritte Sie unternehmen können, um das Problem zu beheben.
- Optional: Klicken Sie auf den Tab JSON, um die vollständige JSON-Definition des Ergebnisses aufzurufen.