Activer et utiliser l'évaluation des failles pour Google Cloud

L'évaluation des failles pour Google Cloud vous aide à découvrir les failles logicielles critiques et de gravité élevée sans installer d'agents dans les éléments suivants :

  • Exécuter des instances de VM Compute Engine
  • Nœuds dans les clusters GKE Standard
  • Conteneurs exécutés dans des clusters GKE Standard et GKE Autopilot

L'évaluation des failles pour Google Cloud fonctionne en clonant les disques de votre instance de VM environ toutes les 12 heures, en les installant dans une autre instance de VM sécurisée et en les évaluant avec le scanner SCALIBR. L'évaluation des failles pour Google Cloud analyse les systèmes de fichiers de l'hôte et du conteneur.

Le clone de l'instance de VM possède les propriétés suivantes :

  • Elle est créée dans la même région que l'instance de VM source.
  • Il est créé dans un projet appartenant à Google, ce qui n'augmente pas vos coûts.

Seules les instances de VM, les nœuds et les conteneurs en cours d'exécution sont analysés. Lorsqu'un résultat est créé, il reste à l'état ACTIVE pendant 25 heures. Si le problème est détecté à nouveau au cours de cette période de 25 heures, le compteur est réinitialisé et le résultat reste à l'état ACTIVE pendant 25 heures supplémentaires. Si le problème n'est pas détecté à nouveau dans un délai de 25 heures, il est défini sur INACTIVE.

Si l'instance de VM ou le nœud sont arrêtés, le résultat est défini sur INACTIVE après sa période de 25 heures, même si la faille n'a pas été corrigée.

Avant de commencer

Si vous avez configuré des périmètres VPC Service Controls, créez les règles d'entrée et de sortie requises.

Limites

Identité et autorisations du service

Le service d'évaluation des failles pour Google Cloud utilise des agents de service Security Command Center pour l'identité et l'autorisation d'accès aux ressources Google Cloud .

Pour les activations de Security Command Center au niveau de l'organisation, l'agent de service suivant est utilisé :

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Pour les activations de Security Command Center au niveau du projet, l'agent de service suivant est utilisé :

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Activer ou désactiver l'évaluation des failles pour Google Cloud

Par défaut, les organisations appartenant aux niveaux Premium ou Enterprise de Security Command Center ont l'évaluation des failles pour Google Cloud automatiquement activée pour toutes les instances de VM, dans la mesure du possible. Pour modifier ce paramètre, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Présentation des risques :

    Accéder à "Aperçu des risques"

  2. Sélectionnez une organisation pour activer l'évaluation des failles pour Google Cloud .

  3. Cliquez sur Paramètres.

  4. Dans la fiche Évaluation des failles, cliquez sur Gérer les paramètres.

  5. Dans l'onglet Google Cloud, activez ou désactivez l'évaluation des failles pour Google Cloud au niveau de l'organisation, du dossier ou du projet dans la colonne Évaluation des failles sans agent. Les niveaux inférieurs peuvent également être définis pour hériter de la valeur des niveaux supérieurs.

Résultats générés par l'évaluation des failles pour Google Cloud

Lorsque le service d'évaluation des failles pour Google Cloud détecte une faille logicielle sur une instance de VM Compute Engine, un nœud d'un cluster GKE ou un conteneur exécuté sur GKE, il génère un résultat dans Security Command Center.

Chaque résultat contient les informations suivantes, propres à la faille logicielle détectée :

  • Nom complet de la ressource de l'instance ou du cluster GKE concerné.
  • Si le résultat est lié à une charge de travail GKE, des informations sur l'objet concerné, telles que les suivantes :
    • CronJob
    • DaemonSet
    • Deployment
    • Job
    • Pod
    • ReplicationController
    • ReplicaSet
    • StatefulSet
  • Description de la faille, y compris les informations suivantes :
    • Le package logiciel contenant la faille et son emplacement
    • Informations issues de l'enregistrement CVE associé
    • Évaluation de l'impact et de l'exploitabilité de la faille par Mandiant
    • Évaluation de la gravité de la faille par Security Command Center
  • Un score d'exposition aux attaques pour vous aider à hiérarchiser les mesures correctives
  • Représentation visuelle du chemin qu'un pirate informatique pourrait emprunter pour accéder aux ressources de forte valeur exposées par la faille
  • Si disponible, les étapes à suivre pour résoudre le problème, y compris le correctif ou la mise à niveau de version que vous pouvez utiliser pour corriger la faille

Étant donné qu'une même faille peut être identifiée dans plusieurs conteneurs, les failles sont agrégées au niveau de la charge de travail GKE ou du pod. Dans un résultat, vous pouvez voir plusieurs valeurs dans un même champ, par exemple dans le champ files.elem.path.

Toutes les conclusions de l'évaluation des failles pour Google Cloud partagent les valeurs de propriété suivantes :

Catégorie
OS vulnerability
Software vulnerability
Classe
Vulnerability
Fournisseur de services cloud
Google Cloud
Source
Vulnerability Assessment

Conservation des résultats

Une fois résolus, les résultats générés par l'analyse des failles pour Google Cloud sont conservés pendant sept jours, puis supprimés. Les résultats de l'évaluation active des failles pour Google Cloudsont conservés indéfiniment.

Emplacement du package

L'emplacement du fichier d'une faille signalée dans les résultats fait référence à un fichier binaire ou à des fichiers de métadonnées de package. Les éléments listés dépendent de l'extracteur SCALIBR utilisé. Pour les failles détectées dans un conteneur, il s'agit du chemin d'accès à l'intérieur du conteneur.

Le tableau suivant présente des exemples d'emplacement de la faille affichés pour différents extracteurs SCALIBR.

Extracteur SCALIBR Emplacement du package
Paquet Debian (dpkg) /var/lib/dpkg/status
Binaire Go /usr/bin/google_osconfig_agent
archive Java /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar
PHP /var/www/html/vkumark/backend_api/composer.lock
Python /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA
Ruby /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec

Examiner les résultats dans la console

Vous pouvez consulter l'évaluation des failles pour les résultats Google Cloud dans la console Google Cloud . Avant de le faire, assurez-vous que votre compte principal dispose des rôles appropriés.

Pour examiner les résultats de l'évaluation des failles pour Google Cloud dans la console Google Cloud , procédez comme suit :

Standard ou Premium

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder

  2. Sélectionnez votre projet Google Cloud ou votre organisation.
  3. Dans la sous-section Nom à afficher pour la source de la section Filtres rapides, sélectionnez Évaluation des failles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  4. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  5. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  6. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.

Entreprise

  1. Dans la console Google Cloud , accédez à la page Résultats de Security Command Center.

    Accéder à la page "Résultats" du niveau Enterprise

  2. Sélectionnez votre Google Cloud organisation.
  3. Dans la section Aggregations (Agrégations), cliquez pour développer la sous-section Source Display Name (Nom à afficher de la source).
  4. Sélectionnez Évaluation des failles. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats provenant de cette source.
  5. Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau de détails du résultat s'ouvre et affiche l'onglet Résumé.
  6. Dans l'onglet Récapitulatif, examinez les détails du résultat, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les étapes à suivre pour corriger le résultat.
  7. Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.