Google Cloud 용 취약점 평가를 사용하면 에이전트를 설치하지 않고도 Compute Engine VM 인스턴스에서 심각도가 높거나 심각한 소프트웨어 취약점을 발견할 수 있습니다. VM 인스턴스 디스크를 약 12시간마다 클론하고, 다른 보안 VM 인스턴스에 마운트하고, SCALIBR 스캐너로 평가합니다.
스캔 VM 인스턴스에는 다음과 같은 속성이 있습니다.
- 소스 VM 인스턴스와 동일한 리전에 생성됩니다.
- Google 소유 프로젝트에서 생성되므로 비용이 추가되지 않습니다.
시작하기 전에
VPC 서비스 제어 경계가 설정된 경우 필요한 이그레스 및 인그레스 규칙을 만듭니다.
제한사항
- 고객 제공 암호화 키 (CSEK) 또는 고객 관리 암호화 키 (CMEK)로 암호화된 영구 디스크가 있는 VM 인스턴스는 지원되지 않습니다.
- VFAT, EXT2, EXT4 파티션만 스캔됩니다.
- Security Command Center 서비스 에이전트는 프로젝트 VM 인스턴스를 나열하고 디스크를 Google 소유 프로젝트에 클론할 수 있는 액세스 권한이 필요합니다. 조직 정책 제약조건과 같은 일부 보안 및 정책 구성은 이 액세스를 방해하여 검사가 진행되지 못하게 할 수 있습니다.
서비스 ID 및 권한
AWS용 취약점 평가 서비스는 Google Cloud 리소스에 대한 ID 및 액세스 권한을 위해 Google Cloud Security Command Center 서비스 에이전트를 사용합니다.
Security Command Center의 조직 수준 활성화의 경우 다음 서비스 에이전트가 사용됩니다.
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Security Command Center의 프로젝트 수준 활성화에는 다음과 같은 서비스 에이전트가 사용됩니다.
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Google Cloud에 대한 취약점 평가 사용 설정 또는 사용 중지
기본적으로 Security Command Center의 프리미엄 또는 Enterprise 등급에 속한 조직의 경우 가능한 경우 모든 VM 인스턴스에 Google Cloud 용 취약점 평가가 자동으로 사용 설정됩니다. 이 설정을 변경하려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 위험 개요 페이지로 이동합니다.
Google Cloud 용 취약점 평가를 사용 설정할 조직을 선택합니다.
설정을 클릭합니다.
취약점 평가 카드에서 설정 관리를 클릭합니다.
Google Cloud 탭의 Agentless Vulnerability Assessment(에이전트 없는 취약점 평가) 열에서 조직, 폴더 또는 프로젝트 수준에서 취약점 평가를 사용 설정하거나 중지합니다. Google Cloud 하위 수준에서 상위 수준의 값을 상속하도록 설정할 수도 있습니다.
Vulnerability Assessment for Google Cloud에서 생성한 발견 항목
Google Cloud 용 취약점 평가 서비스가 Compute Engine VM 인스턴스에서 소프트웨어 취약점을 감지하면 이 서비스는 Google Cloud의 Security Command Center에 발견 항목을 생성합니다.
각 발견 항목에는 감지된 소프트웨어 취약점과 관련된 다음과 같은 고유한 정보가 포함됩니다.
- 영향을 받은 인스턴스의 전체 리소스 이름
- 다음 정보를 포함하여 취약점에 대한 설명입니다.
- 취약점이 포함된 소프트웨어 패키지 및 위치
- 연결된 CVE 레코드의 정보
- 취약점의 영향 및 익스플로잇 가능성에 대한 Mandiant의 평가
- Security Command Center의 취약점 심각도 평가
- 해결 우선순위를 선별하는 데 도움이 되는 공격 노출 점수
- 취약점으로 노출된 중요 리소스에 대해 공격자가 선택할 수 있는 경로의 시각적 표현
- 가능한 경우 취약점을 해결하는 데 사용할 수 있는 패치 또는 버전 업그레이드를 포함하여 문제를 해결하기 위해 취할 수 있는 조치
모든 취약점 평가 결과는 다음 속성 값을 공유합니다. Google Cloud
- 카테고리
OS vulnerabilitySoftware vulnerability- 클래스
Vulnerability- 클라우드 서비스 제공업체
Google Cloud- 소스
Vulnerability Assessment
발견 항목 보관
문제가 해결된 후에는 Vulnerability Assessment for Google Cloud 에서 생성된 결과가 7일 동안 보관되며 그 후에는 삭제됩니다. Google Cloud발견 항목의 활성 취약점 평가는 무기한 보관됩니다.
패키지 위치
결과에 보고된 취약점의 파일 위치는 바이너리 또는 패키지 메타데이터 파일을 나타냅니다. 표시되는 항목은 사용된 SCALIBR 추출기에 따라 다릅니다.
다음 표에는 다양한 SCALIBR 추출기에 표시된 취약점 위치의 몇 가지 예가 나와 있습니다.
| SCALIBR 추출기 | 패키지 위치 |
|---|---|
Debian 패키지 (dpkg) |
/var/lib/dpkg/status |
| Go 바이너리 | /usr/bin/google_osconfig_agent |
| 자바 보관 파일 | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
콘솔에서 발견 항목 검토
Google Cloud 발견 항목의 취약점 평가를 Google Cloud 콘솔에서 볼 수 있습니다. 이렇게 하기 전에 주 구성원에게 적절한 역할이 있는지 확인합니다.
콘솔에서 발견 항목의 취약점 평가를 검토하려면 다음 단계를 따르세요. Google Cloud Google Cloud
Google Cloud console
- Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.
- Google Cloud 프로젝트 또는 조직을 선택합니다.
- 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 Agentless Vulnerability Assessment를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.
Security Operations 콘솔
-
Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings
CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다. - 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
- 에이전트리스 취약점 평가를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
- 특정 발견 항목의 세부정보를 보려면 카테고리 열에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
- 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
- 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.