Activer et utiliser l'évaluation des failles pour Google Cloud

L'évaluation des failles pour Google Cloud vous aide à découvrir les failles logicielles critiques et de gravité élevée sans installer d'agents dans les éléments suivants :

  • Exécuter des instances de VM Compute Engine
  • Nœuds dans les clusters GKE Standard
  • Conteneurs exécutés dans des clusters GKE Standard et GKE Autopilot

L'évaluation des failles pour Google Cloud fonctionne en clonant les disques de votre instance de VM environ toutes les 12 heures, en les installant dans une autre instance de VM sécurisée et en les évaluant avec le scanner SCALIBR. L'évaluation des failles pour Google Cloud analyse les systèmes de fichiers hôte et de conteneur.

Le clone de l'instance de VM possède les propriétés suivantes :

  • Elle est créée dans la même région que l'instance de VM source.
  • Il est créé dans un projet appartenant à Google, ce qui n'augmente pas vos coûts.

Seules les instances de VM, les nœuds et les conteneurs en cours d'exécution sont analysés. Lorsqu'un résultat est créé, il reste à l'état ACTIVE pendant 25 heures. Si le problème est détecté à nouveau au cours de cette période de 25 heures, le compteur est réinitialisé et le résultat reste à l'état ACTIVE pendant 25 heures supplémentaires. Si le problème n'est pas détecté à nouveau dans un délai de 25 heures, il est défini sur INACTIVE.

Si l'instance ou le nœud de VM sont arrêtés, le résultat est défini sur INACTIVE après sa période de 25 heures, même si la faille n'a pas été atténuée.

Avant de commencer

Si vous avez configuré des périmètres VPC Service Controls, créez les règles d'entrée et de sortie requises.

Limites

  • Instances de VM avec des disques persistants chiffrés avec des clés de chiffrement gérées par le client (CMEK) et dont les clés se trouvent dans un emplacement global ou une clé multirégionale dans la même zone géographique que le disque.
  • Instances de VM avec des disques persistants chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK) et contenant des clés CMEK dans des projets situés dans des périmètres VPC Service Controls.
  • Instances de VM avec des disques persistants chiffrés avec des clés de chiffrement fournies par le client (CSEK)
  • Seules les partitions VFAT, EXT2 et EXT4 sont analysées.
  • L'agent de service Security Command Center doit pouvoir lister les instances de VM du projet et cloner leurs disques dans des projets appartenant à Google. Certaines configurations de sécurité et de règles, comme les contraintes de règles d'administration, peuvent interférer avec cet accès et empêcher l'analyse.

Identité et autorisations du service

Le service d'évaluation des failles pour Google Cloud utilise des agents de service Security Command Center pour l'identité et l'autorisation d'accès aux ressources Google Cloud .

Pour les activations de Security Command Center au niveau de l'organisation, l'agent de service suivant est utilisé :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Pour les activations de Security Command Center au niveau du projet, l'agent de service suivant est utilisé :

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Activer ou désactiver l'évaluation des failles pour Google Cloud

Par défaut, les organisations appartenant aux niveaux Premium ou Enterprise de Security Command Center ont l'évaluation des failles pour Google Cloud automatiquement activée pour toutes les instances de VM, dans la mesure du possible. Pour modifier ce paramètre, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Présentation des risques :

    Accéder à l'aperçu des risques

  2. Sélectionnez une organisation dans laquelle activer l'évaluation des failles pour Google Cloud.

  3. Cliquez sur Paramètres.

  4. Dans la section Évaluation des failles, cliquez sur Gérer les paramètres.

  5. Dans l'onglet Google Cloud, activez ou désactivez l'évaluation des failles pour Google Cloud au niveau de l'organisation, du dossier ou du projet dans la colonne Évaluation des failles sans agent. Les niveaux inférieurs peuvent également être définis pour hériter de la valeur des niveaux supérieurs.

Exécuter des analyses des failles pour les disques CMEK

Pour autoriser l'analyse des disques chiffrés avec CMEK par l'évaluation des failles pour Google Cloud , vous devez attribuer le rôle Cloud KMS CryptoKey Encrypter/Decrypter aux agents de service suivants :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Si vous disposez de l'agent de service suivant, vous devez également lui accorder des autorisations :

service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com

Configurer les autorisations au niveau des clés

  1. Accédez à la page Sécurité > Gestion des clés.
  2. Sélectionnez le trousseau de clés contenant la clé.
  3. Sélectionnez la clé.
  4. Dans le panneau d'informations, cliquez sur Autorisations.
  5. Saisissez le nom de l'agent de service que vous avez saisi dans le champ Nouveaux comptes principaux.
  6. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
  7. Cliquez sur Enregistrer.

Configurer les autorisations associées aux clés au niveau du projet

  1. Accédez à IAM et administration > IAM.
  2. Cliquez sur Accorder l'accès.
  3. Saisissez le nom de l'agent de service que vous avez saisi dans le champ Nouveaux comptes principaux.
  4. Dans le menu Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.

Résultats générés par l'évaluation des failles pour Google Cloud

Lorsque le service d'évaluation des failles pour Google Cloud détecte une faille logicielle sur une instance de VM Compute Engine, un nœud d'un cluster GKE ou un conteneur exécuté sur GKE, il génère un résultat dans Security Command Center.

Chaque résultat contient les informations suivantes, qui sont propres à la faille logicielle détectée :

  • Nom complet de la ressource de l'instance ou du cluster GKE concerné.
  • Si le résultat est lié à une charge de travail GKE, des informations sur l'objet concerné, telles que les suivantes :
    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet
  • Description de la faille, y compris les informations suivantes :
    • Le package logiciel contenant la faille et son emplacement
    • Informations issues de la fiche CVE associée
    • Évaluation de l'impact et de l'exploitabilité de la faille par Mandiant
    • Évaluation de la gravité de la faille par Security Command Center
  • Un score d'exposition aux attaques pour vous aider à hiérarchiser les mesures correctives
  • Représentation visuelle du chemin qu'un pirate informatique pourrait emprunter pour accéder aux ressources de forte valeur exposées par la faille
  • Si disponible, les étapes à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de version que vous pouvez utiliser pour corriger la faille

Étant donné qu'une même faille peut être identifiée dans plusieurs conteneurs, les failles sont agrégées au niveau de la charge de travail GKE ou du pod. Dans un résultat, vous pouvez voir plusieurs valeurs dans un même champ, par exemple dans le champ files.elem.path.

Toutes les conclusions de l'évaluation des failles pour Google Cloud partagent les valeurs de propriété suivantes :

Catégorie
OS vulnerability
Software vulnerability
Classe
Vulnerability
Fournisseur de services cloud
Google Cloud
Source
Vulnerability Assessment

Conservation des résultats

Une fois résolus, les résultats générés par l'analyse des failles pour Google Cloud sont conservés pendant sept jours, puis supprimés. Les résultats de l'évaluation active des failles pour Google Cloudsont conservés indéfiniment.

Emplacement du package

L'emplacement du fichier d'une faille signalée dans les résultats fait référence à un fichier binaire ou à des fichiers de métadonnées de package. Les éléments listés dépendent de l'extracteur SCALIBR qui a été utilisé. Pour les failles détectées dans un conteneur, il s'agit du chemin d'accès à l'intérieur du conteneur.

Le tableau suivant présente des exemples d'emplacement des failles affichés pour différents extracteurs SCALIBR.

Extracteur SCALIBR Emplacement du package
Paquet Debian (dpkg) /var/lib/dpkg/status
Binaire Go /usr/bin/google_osconfig_agent
archive Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Examiner les résultats dans la console

Vous pouvez consulter l'évaluation des failles pour les résultats Google Cloud dans la console Google Cloud . Avant de le faire, assurez-vous que votre compte principal dispose des rôles appropriés.

Pour examiner les résultats de l'évaluation des failles pour Google Cloud dans la console Google Cloud , procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Évaluation des failles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.