Penilaian Kerentanan untuk Google Cloud membantu Anda menemukan kerentanan software dengan tingkat keparahan tinggi dan kritis tanpa menginstal agen di:
- Menjalankan instance VM Compute Engine
- Node di cluster GKE Standard
- Container yang berjalan di cluster GKE Standard dan GKE Autopilot
Penilaian Kerentanan untuk Google Cloud berfungsi dengan meng-clone disk instance VM Anda kira-kira setiap 12 jam, memasangnya di instance VM aman lainnya, dan menilainya dengan pemindai SCALIBR. Penilaian Kerentanan untuk pemindaian Google Cloud memindai sistem file host dan container.
Clone instance VM memiliki properti berikut:
- Snapshot dibuat di region yang sama dengan instance VM sumber.
- Karena dibuat di project milik Google, akun ini tidak menambah biaya Anda.
Hanya instance VM, node, dan container yang sedang berjalan yang dipindai. Saat temuan
dibuat, temuan tersebut akan tetap dalam status ACTIVE selama 25 jam. Jika terdeteksi lagi dalam jangka waktu 25 jam ini, penghitung akan direset dan temuan akan tetap dalam status ACTIVE selama 25 jam lagi.
Jika temuan tidak terdeteksi lagi dalam periode 25 jam, temuan akan disetel ke INACTIVE.
Jika instance VM atau node dimatikan, temuan akan disetel ke INACTIVE setelah
periode 25 jamnya, meskipun kerentanan tidak diatasi.
Sebelum memulai
Jika Anda telah menyiapkan perimeter Kontrol Layanan VPC, buat aturan traffic keluar dan traffic masuk yang diperlukan.
Batasan
- Instance VM dengan persistent disk yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan (CSEK) atau kunci enkripsi yang dikelola pelanggan (CMEK) tidak didukung.
- Hanya partisi VFAT, EXT2, dan EXT4 yang dipindai.
- Agen layanan Security Command Center memerlukan akses untuk mencantumkan instance VM project dan meng-clone disknya ke project milik Google. Beberapa konfigurasi keamanan dan kebijakan seperti batasan kebijakan organisasi dapat mengganggu akses ini, sehingga mencegah pemindaian dilakukan.
Identitas dan izin layanan
Layanan Penilaian Kerentanan untuk Google Cloud menggunakan agen layanan Security Command Center untuk identitas dan izin guna mengakses Google Cloud resource.
Untuk aktivasi Security Command Center level organisasi, agen layanan berikut digunakan:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Untuk aktivasi level project pada Security Command Center, agen layanan berikut digunakan:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Mengaktifkan atau menonaktifkan Penilaian Kerentanan untuk Google Cloud
Secara default, organisasi yang termasuk dalam paket Premium atau Enterprise Security Command Center akan mengaktifkan Penilaian Kerentanan secara otomatis untuk semua instance VM jika memungkinkan. Google Cloud Untuk mengubah setelan ini, selesaikan langkah-langkah berikut:
Di konsol Google Cloud , buka halaman Risk Overview:
Pilih organisasi untuk mengaktifkan Penilaian Kerentanan di Google Cloud .
Klik Setelan.
Di kartu Vulnerability Assessment, klik Kelola setelan.
Di tab Google Cloud, aktifkan atau nonaktifkan Penilaian Kerentanan untuk Google Cloud di tingkat organisasi, folder, atau project dari kolom Penilaian Kerentanan Tanpa Agen. Tingkat yang lebih rendah juga dapat ditetapkan untuk mewarisi nilai dari tingkat yang lebih tinggi.
Temuan yang dihasilkan oleh Penilaian Kerentanan untuk Google Cloud
Saat mendeteksi kerentanan software pada instance VM Compute Engine, node di cluster GKE, atau container yang berjalan di GKE, layanan Penilaian Kerentanan untuk Google Cloud akan membuat temuan di Security Command Center.
Setiap temuan berisi informasi berikut yang unik untuk kerentanan software yang terdeteksi:
- Nama lengkap resource instance atau cluster GKE yang terpengaruh.
- Jika temuan terkait dengan workload GKE, informasi tentang objek yang terpengaruh, seperti berikut:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Deskripsi kerentanan, termasuk informasi berikut:
- Paket software yang berisi kerentanan, dan lokasinya
- Informasi dari data CVE terkait
- Penilaian dari Mandiant tentang dampak dan eksploitabilitas kerentanan
- Penilaian dari Security Command Center tentang tingkat keparahan kerentanan
- Skor eksposur serangan untuk membantu Anda memprioritaskan perbaikan
- Representasi visual jalur yang mungkin diambil penyerang untuk mengakses resource bernilai tinggi yang terekspos oleh kerentanan
- Jika tersedia, langkah-langkah yang dapat Anda lakukan untuk memperbaiki masalah, termasuk patch atau upgrade versi yang dapat Anda gunakan untuk mengatasi kerentanan
Karena kerentanan yang sama dapat diidentifikasi di beberapa container, kerentanan dikelompokkan di tingkat workload GKE atau tingkat Pod.
Dalam temuan, Anda mungkin melihat beberapa nilai dalam satu kolom, misalnya
di kolom files.elem.path.
Semua temuan Penilaian Kerentanan untuk Google Cloud berbagi nilai properti berikut:
- Kategori
OS vulnerabilitySoftware vulnerability- Class
Vulnerability- Penyedia layanan Cloud
Google Cloud- Sumber
Vulnerability Assessment
Retensi temuan
Setelah diselesaikan, temuan yang dihasilkan oleh Penilaian Kerentanan untuk Google Cloud akan dipertahankan selama 7 hari, lalu dihapus. Penilaian Kerentanan Aktif untuk temuan Google Cloud dipertahankan tanpa batas.
Lokasi paket
Lokasi file kerentanan yang dilaporkan dalam temuan merujuk ke file biner atau metadata paket. Apa yang tercantum bergantung pada pengekstrakan SCALIBR yang telah digunakan. Untuk kerentanan yang ditemukan dalam container, ini adalah jalur di dalam container.
Tabel berikut menunjukkan beberapa contoh lokasi kerentanan yang ditampilkan untuk berbagai ekstraktor SCALIBR.
| Ekstraktor SCALIBR | Lokasi paket |
|---|---|
Paket Debian (dpkg) |
/var/lib/dpkg/status |
| Buka biner | /usr/bin/google_osconfig_agent |
| Arsip Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Meninjau temuan di konsol
Anda dapat melihat hasil Penilaian Kerentanan untuk Google Cloud di konsol Google Cloud . Sebelum melakukannya, pastikan akun utama Anda memiliki peran yang sesuai.
Untuk meninjau hasil Penilaian Kerentanan untuk Google Cloud di konsol Google Cloud , ikuti langkah-langkah berikut:
Standar atau Premium
- Di konsol Google Cloud , buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Vulnerability Assessment. Hasil kueri temuan diperbarui untuk menampilkan hanya temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Enterprise
- Di konsol Google Cloud , buka halaman Temuan di Security Command Center.
- Pilih Google Cloud organisasi Anda.
- Di bagian Aggregations, klik untuk meluaskan subbagian Source Display Name.
- Pilih Vulnerability Assessment. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.