La Evaluación de vulnerabilidades para Google Cloud te ayuda a descubrir vulnerabilidades de software críticas y de gravedad alta sin instalar agentes en los siguientes elementos:
- Ejecuta instancias de VM de Compute Engine
- Nodos en clústeres de GKE Standard
- Contenedores que se ejecutan en clústeres de GKE Standard y GKE Autopilot
La Evaluación de vulnerabilidades para Google Cloud clona los discos de tu instancia de VM aproximadamente cada 12 horas, los activa en otra instancia de VM segura y los evalúa con el escáner SCALIBR. La Evaluación de vulnerabilidades para Google Cloud analiza los sistemas de archivos del host y del contenedor.
El clon de la instancia de VM tiene las siguientes propiedades:
- Se crea en la misma región que la instancia de VM de origen.
- Se crea en un proyecto propiedad de Google, por lo que no se agrega a tus costos.
Solo se analizan las instancias de VM, los nodos y los contenedores en ejecución. Cuando se crea un hallazgo, permanece en el estado ACTIVE durante 25 horas. Si se vuelve a detectar dentro de este período de 25 horas, el contador se restablece y el hallazgo permanece en el estado ACTIVE durante otras 25 horas.
Si no se vuelve a detectar el problema en un plazo de 25 horas, se establece el estado INACTIVE.
Si se apaga la instancia de VM o el nodo, el hallazgo se establece en INACTIVE después de su período de 25 horas, aunque no se haya mitigado la vulnerabilidad.
Antes de comenzar
Si tienes perímetros de Controles del servicio de VPC configurados, crea las reglas de entrada y salida necesarias.
Limitaciones
- No se admiten las instancias de VM con discos persistentes encriptados con claves de encriptación proporcionadas por el cliente (CSEK) ni claves de encriptación administradas por el cliente (CMEK).
- Solo se analizan las particiones VFAT, EXT2 y EXT4.
- El agente de servicio de Security Command Center requiere acceso para enumerar las instancias de VM del proyecto y clonar sus discos en proyectos propiedad de Google. Algunas configuraciones de seguridad y políticas, como las restricciones de políticas de la organización, pueden interferir con este acceso y evitar que se realice el análisis.
Identidad y permisos del servicio
La Evaluación de vulnerabilidades para el servicio Google Cloud usa agentes de servicio de Security Command Center para la identidad y el permiso de acceso a los recursos de Google Cloud . Google Cloud
Para las activaciones de Security Command Center a nivel de la organización, se usa el siguiente agente de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Para las activaciones a nivel del proyecto de Security Command Center, se usa el siguiente agente de servicio:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Habilita o inhabilita la Evaluación de vulnerabilidades para Google Cloud
De forma predeterminada, las organizaciones que pertenecen a los niveles Premium o Enterprise de Security Command Center tienen habilitada automáticamente la Evaluación de vulnerabilidades para Google Cloud en todas las instancias de VM siempre que sea posible. Para cambiar este parámetro de configuración, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página Descripción general del riesgo:
Selecciona una organización para habilitar la Evaluación de vulnerabilidades en Google Cloud .
Haz clic en Configuración.
En la tarjeta Vulnerability Assessment, haz clic en Administrar configuración.
En la pestaña Google Cloud, habilita o inhabilita la evaluación de vulnerabilidades para Google Cloud a nivel de la organización, la carpeta o el proyecto en la columna Evaluación de vulnerabilidades sin agente. Los niveles inferiores también se pueden configurar para heredar el valor de los niveles superiores.
Hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud
Cuando el servicio de Vulnerability Assessment para Google Cloud detecta una vulnerabilidad de software en una instancia de VM de Compute Engine, un nodo en un clúster de GKE o un contenedor que se ejecuta en GKE, el servicio genera un hallazgo en Security Command Center.
Cada detección contiene la siguiente información, que es única para la vulnerabilidad de software detectada:
- Es el nombre completo del recurso de la instancia o el clúster de GKE afectados.
- Si el hallazgo está relacionado con una carga de trabajo de GKE, se incluye información sobre el objeto afectado, como la siguiente:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Una descripción de la vulnerabilidad, que incluye la siguiente información:
- El paquete de software que contiene la vulnerabilidad y su ubicación
- Información del registro de CVE asociado
- Una evaluación de Mandiant sobre el impacto y la capacidad de explotación de la vulnerabilidad
- Es una evaluación de la gravedad de la vulnerabilidad que realiza Security Command Center.
- Una puntuación de exposición a ataques para ayudarte a priorizar la corrección
- Una representación visual de la ruta que podría tomar un atacante para llegar a los recursos de alto valor que expone la vulnerabilidad
- Si están disponibles, los pasos que puedes seguir para solucionar el problema, incluido el parche o la actualización de versión que puedes usar para abordar la vulnerabilidad
Debido a que la misma vulnerabilidad se puede identificar en varios contenedores, las vulnerabilidades se agregan a nivel de la carga de trabajo de GKE o del Pod.
En un hallazgo, es posible que veas varios valores en un solo campo, por ejemplo, en el campo files.elem.path.
Todos los hallazgos de la Evaluación de vulnerabilidades para Google Cloud comparten los siguientes valores de propiedad:
- Categoría
OS vulnerabilitySoftware vulnerability- Clase
Vulnerability- Proveedor de servicios en la nube
Google Cloud- Fuente
Vulnerability Assessment
Retención de resultados
Después de que se resuelven, los hallazgos generados por la Evaluación de vulnerabilidades para Google Cloud se conservan durante 7 días y, luego, se borran. Los hallazgos de la Evaluación de vulnerabilidades activa para Google Cloudse conservan indefinidamente.
Ubicación del paquete
La ubicación del archivo de una vulnerabilidad que se informa en los hallazgos hace referencia a un archivo binario o a archivos de metadatos de paquetes. Lo que se muestra depende del extractor de SCALIBR que se haya usado. En el caso de las vulnerabilidades encontradas en un contenedor, esta es la ruta de acceso dentro del contenedor.
En la siguiente tabla, se muestran algunos ejemplos de la ubicación de la vulnerabilidad que se muestra para varios extractores de SCALIBR.
| Extractor de SCALIBR | Ubicación del paquete |
|---|---|
Paquete de Debian (dpkg) |
/var/lib/dpkg/status |
| Objeto binario de Go | /usr/bin/google_osconfig_agent |
| archivo de Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Revisa los hallazgos en la consola
Puedes ver los resultados de la Evaluación de vulnerabilidades para Google Cloud en la consola de Google Cloud . Antes de hacerlo, asegúrate de que tu principal tenga los roles adecuados.
Para revisar los resultados de la Evaluación de vulnerabilidades para Google Cloud en la consola de Google Cloud , sigue estos pasos:
Estándar o Premium
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización o proyecto.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Vulnerability Assessment. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.
Enterprise
- En la consola de Google Cloud , ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud organización.
- En la sección Agregaciones, haz clic para expandir la subsección Nombre visible de la fuente.
- Selecciona Vulnerability Assessment. Los resultados de la búsqueda se actualizan para mostrar solo los hallazgos de esta fuente.
- Para ver los detalles de un resultado específico, haz clic en el nombre del resultado en la columna Categoría. Se abre el panel de detalles para el hallazgo y se muestra la pestaña Resumen.
- En la pestaña Resumen, revisa los detalles del hallazgo, incluida la información sobre lo que se detectó, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir el hallazgo.
- Opcional: Para ver la definición completa de JSON del resultado, haz clic en la pestaña JSON.