La valutazione delle vulnerabilità per Google Cloud ti aiuta a scoprire vulnerabilità del software critiche e di gravità elevata senza installare agenti in:
- Esecuzione di istanze VM di Compute Engine
- Nodi nei cluster GKE Standard
- Container in esecuzione nei cluster GKE Standard e GKE Autopilot
La valutazione delle vulnerabilità per Google Cloud funziona clonando i dischi dell'istanza VM circa ogni 12 ore, montandoli in un'altra istanza VM sicura e valutandoli con lo scanner SCALIBR. La valutazione delle vulnerabilità per le scansioni Google Cloud analizza i file system dell'host e del container.
Il clone dell'istanza VM ha le seguenti proprietà:
- Viene creato nella stessa regione dell'istanza VM di origine.
- Viene creato in un progetto di proprietà di Google, quindi non aumenta i costi.
Vengono analizzate solo le istanze VM, i nodi e i container in esecuzione. Quando viene creato un risultato, rimane nello stato ACTIVE per 25 ore. Se viene rilevato di nuovo entro questo periodo di 25 ore, il contatore viene reimpostato e il problema rimane nello stato ACTIVE per altre 25 ore.
Se il problema non viene rilevato di nuovo entro il periodo di 25 ore, lo stato del problema viene impostato su INACTIVE.
Se l'istanza VM o il nodo viene arrestato, il risultato viene impostato su INACTIVE dopo
il periodo di 25 ore, anche se la vulnerabilità non è stata mitigata.
Prima di iniziare
Se hai configurato perimetri di Controlli di servizio VPC, crea le regole di uscita e di ingresso richieste.
Limitazioni
- Le istanze VM con dischi permanenti criptati con chiavi di crittografia fornite dal cliente (CSEK) o chiavi di crittografia gestite dal cliente (CMEK) non sono supportate.
- Vengono scansionate solo le partizioni VFAT, EXT2 ed EXT4.
- L'agente di servizio Security Command Center richiede l'accesso per elencare le istanze VM del progetto e clonare i relativi dischi nei progetti di proprietà di Google. Alcune configurazioni di sicurezza e criteri, come i vincoli dei criteri dell'organizzazione, possono interferire con questo accesso, impedendo la scansione.
Identità di servizio e autorizzazioni
Il servizio Vulnerability Assessment per Google Cloud utilizza gli agenti di servizio Security Command Center per l'identità e l'autorizzazione di accesso alle risorse Google Cloud .
Per le attivazioni a livello di organizzazione di Security Command Center, viene utilizzato il seguente agente di servizio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Per le attivazioni di Security Command Center a livello di progetto, viene utilizzato il seguente service agent:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Attivare o disattivare la valutazione delle vulnerabilità per Google Cloud
Per impostazione predefinita, le organizzazioni che appartengono ai livelli Premium o Enterprise di Security Command Center hanno Vulnerability Assessment per Google Cloud abilitato automaticamente per tutte le istanze VM ove possibile. Per modificare questa impostazione:
Nella console Google Cloud , vai alla pagina Panoramica dei rischi:
Seleziona un'organizzazione per abilitare la valutazione delle vulnerabilità per Google Cloud .
Fai clic su Impostazioni.
Nella scheda Valutazione delle vulnerabilità, fai clic su Gestisci impostazioni.
Nella scheda Google Cloud, abilita o disabilita la valutazione delle vulnerabilità per Google Cloud a livello di organizzazione, cartella o progetto dalla colonna Valutazione delle vulnerabilità senza agenti. I livelli inferiori possono anche essere impostati per ereditare il valore dai livelli superiori.
Risultati generati da Vulnerability Assessment per Google Cloud
Quando il servizio Vulnerability Assessment per Google Cloud rileva una vulnerabilità software su un'istanza VM Compute Engine, un nodo in un cluster GKE o un container in esecuzione su GKE, il servizio genera un risultato in Security Command Center.
Ogni risultato contiene le seguenti informazioni univoche per la vulnerabilità del software rilevata:
- Il nome completo della risorsa dell'istanza o del cluster GKE interessato.
- Se il risultato è correlato a un workload GKE, informazioni
sull'oggetto interessato, ad esempio:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Una descrizione della vulnerabilità, incluse le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità e la sua posizione
- Informazioni del record CVE associato
- Una valutazione di Mandiant dell'impatto e della sfruttabilità della vulnerabilità
- Una valutazione di Security Command Center della gravità della vulnerabilità
- Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte dalla vulnerabilità
- Se disponibili, i passaggi che puoi seguire per risolvere il problema, inclusa la patch o l'upgrade della versione che puoi utilizzare per risolvere la vulnerabilità
Poiché la stessa vulnerabilità può essere identificata in più container,
le vulnerabilità vengono aggregate a livello di carico di lavoro GKE o di pod.
In un risultato, potresti visualizzare più valori in un singolo campo, ad esempio
nel campo files.elem.path.
Tutti i risultati della valutazione delle vulnerabilità per Google Cloud condividono i seguenti valori delle proprietà:
- Categoria
OS vulnerabilitySoftware vulnerability- Classe
Vulnerability- Provider di servizi cloud
Google Cloud- Origine
Vulnerability Assessment
Conservazione dei risultati
Una volta risolte, le vulnerabilità generate da Vulnerability Assessment per Google Cloud vengono conservate per 7 giorni, dopodiché vengono eliminate. I risultati della valutazione attiva delle vulnerabilità per Google Cloudvengono conservati a tempo indeterminato.
Località pacchetto
La posizione del file di una vulnerabilità segnalata nei risultati si riferisce a un file binario o ai file di metadati del pacchetto. Gli elementi elencati dipendono dall'estrattore SCALIBR utilizzato. Per le vulnerabilità trovate in un container, questo è il percorso all'interno del container.
La seguente tabella mostra alcuni esempi della posizione della vulnerabilità visualizzata per vari estrattori SCALIBR.
| Estrattore SCALIBR | Località pacchetto |
|---|---|
Pacchetto Debian (dpkg) |
/var/lib/dpkg/status |
| Vai al binario | /usr/bin/google_osconfig_agent |
| archivio Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Esaminare i risultati nella console
Puoi visualizzare i risultati della valutazione delle vulnerabilità per Google Cloud nella console Google Cloud . Prima di procedere, assicurati che l'entità disponga dei ruoli appropriati.
Per esaminare i risultati della valutazione delle vulnerabilità per Google Cloud nella console Google Cloud , segui questi passaggi:
Standard o Premium
- Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud .
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.
Aziende
- Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona la tua Google Cloud organizzazione.
- Nella sezione Aggregazioni, fai clic per espandere la sottosezione Nome visualizzato origine.
- Seleziona Valutazione delle vulnerabilità. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il riquadro dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.