Google Cloud용 취약점 평가 사용 설정 및 사용

Google Cloud 에 대한 취약점 평가를 사용하면 다음에 에이전트를 설치하지 않고도 중요하고 심각도가 높은 소프트웨어 취약점을 발견할 수 있도록 도와줍니다.

• Compute Engine VM 인스턴스 실행
• GKE Standard 클러스터의 노드
• GKE Standard 및 GKE Autopilot 클러스터에서 실행되는 컨테이너

Google Cloud 에 대한 취약점 평가는 약 12시간마다 VM 인스턴스 디스크를 클론하고, 다른 보안 VM 인스턴스에 마운트한 후 SCALIBR 스캐너로 평가하는 방식으로 작동합니다. Google Cloud 에 대한 취약점 평가는 호스트 및 컨테이너 파일 시스템을 스캔합니다.

VM 인스턴스 클론에는 다음과 같은 속성이 있습니다.

• 소스 VM 인스턴스와 동일한 리전에 생성됩니다.
• Google 소유 프로젝트에서 생성되므로 비용이 추가되지 않습니다.

실행 중인 VM 인스턴스, 노드, 컨테이너만 스캔됩니다. 발견 항목이 생성되면 25시간 동안 ACTIVE 상태로 유지됩니다. 이 25시간 이내에 다시 감지되면 카운터가 재설정되고 발견 항목은 25시간 동안 ACTIVE 상태로 유지됩니다. 25시간 이내에 발견 항목이 다시 감지되지 않으면 발견 항목이 INACTIVE로 설정됩니다.

VM 인스턴스 또는 노드가 종료되면 취약점이 완화되지 않았더라도 25시간이 지난 후 발견 항목이 INACTIVE로 설정됩니다.

시작하기 전에

VPC 서비스 제어 경계가 설정되어 있는 경우 필요한 이그레스 및 인그레스 규칙을 만드세요.

제한사항

• 고객 제공 암호화 키(CSEK) 또는 고객 관리 암호화 키(CMEK)로 암호화된 영구 디스크가 있는 VM 인스턴스는 지원되지 않습니다.
• VFAT, EXT2, EXT4 파티션만 스캔됩니다.
• Security Command Center 서비스 에이전트는 프로젝트 VM 인스턴스를 나열하고 해당 디스크를 Google 소유 프로젝트에 클론할 수 있는 액세스 권한이 필요합니다. 조직 정책 제약조건과 같은 일부 보안 및 정책 구성은 이 액세스를 방해하여 스캔이 진행되지 못하게 할 수 있습니다.

서비스 ID 및 권한

Google Cloud 에 대한 취약점 평가 서비스는 Security Command Center 서비스 에이전트를 사용하여 ID 및 Google Cloud 리소스에 액세스할 수 있는 권한을 부여합니다.

Security Command Center의 조직 수준 활성화의 경우 다음 서비스 에이전트가 사용됩니다.

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

Security Command Center의 프로젝트 수준 활성화에는 다음 서비스 에이전트가 사용됩니다.

service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com

Google Cloud에 대한 취약점 평가 사용 설정 또는 사용 중지

기본적으로 Security Command Center의 프리미엄 또는 엔터프라이즈 등급에 속한 조직의 경우 가능한 경우 모든 VM 인스턴스를 대상으로 Google Cloud 에 대한 취약점 평가가 자동으로 사용 설정됩니다. 이 설정을 변경하려면 다음 단계를 완료하세요.

1. Google Cloud 콘솔에서 위험 개요 페이지로 이동합니다.

   위험 개요로 이동

2. Google Cloud 에 대한 취약점 평가를 사용 설정할 조직을 선택합니다.

3. 설정을 클릭합니다.

4. 취약점 평가 카드에서 설정 관리를 클릭합니다.

5. Google Cloud 탭에서 에이전트리스 취약점 평가 열의 조직, 폴더 또는 프로젝트 수준에서 Google Cloud 에 대한 취약점 평가를 사용 설정하거나 사용 중지합니다. 하위 수준에서 상위 수준의 값을 상속하도록 설정할 수도 있습니다.

Google Cloud에 대한 취약점 평가에서 생성한 발견 항목

Google Cloud 에 대한 취약점 평가 서비스가 Compute Engine VM 인스턴스, GKE 클러스터의 노드 또는 GKE에서 실행 중인 컨테이너에서 소프트웨어 취약점을 감지하면 이 서비스는 Security Command Center에 발견 항목을 생성합니다.

각 발견 항목에는 감지된 소프트웨어 취약점에 고유한 다음 정보가 포함됩니다.

• 영향을 받는 인스턴스 또는 GKE 클러스터의 전체 리소스 이름입니다.
• 발견 항목이 GKE 워크로드와 관련된 경우 다음과 같은 영향을 받는 객체에 관한 정보입니다.
  • CronJob
  • DaemonSet
  • Deployment
  • Job
  • Pod
  • ReplicationController
  • ReplicaSet
  • StatefulSet
• 다음 정보를 포함한 취약점에 대한 설명입니다.
  • 취약점이 포함된 소프트웨어 패키지 및 해당 위치
  • 연결된 CVE 레코드의 정보
  • 취약점의 영향 및 취약점 공격 가능성에 대한 Mandiant의 평가
  • Security Command Center에서 취약점 심각도에 대한 평가
• 해결 우선순위를 선별하는 데 도움이 되는 공격 노출 점수
• 취약점으로 노출된 중요 리소스에 대해 공격자가 선택할 수 있는 경로의 시각적 표현
• 가능한 경우 취약점을 해결하는 데 사용할 수 있는 패치 또는 버전 업그레이드를 포함하여 문제를 해결하기 위해 취할 수 있는 단계

동일한 취약점이 여러 컨테이너에서 식별될 수 있으므로 취약점은 GKE 워크로드 수준 또는 포드 수준에서 집계됩니다. 결과에는 단일 필드에 여러 값이 표시될 수 있습니다(예: files.elem.path 필드).

Google Cloud 에 대한 모든 취약점 평가 발견 항목은 다음 속성 값을 공유합니다.

카테고리

OS vulnerability

Software vulnerability

클래스

Vulnerability

클라우드 서비스 제공업체

Google Cloud

소스

Vulnerability Assessment

발견 항목 보관

문제가 해결된 후에는 Google Cloud 에 대한 취약점 평가에서 생성된 발견 항목이 7일 동안 보관되며 그 후에는 삭제됩니다. Google Cloud에 대한 활성 취약점 평가 발견 항목은 무기한 보관됩니다.

패키지 위치

발견 항목에 보고된 취약점의 파일 위치는 바이너리 또는 패키지 메타데이터 파일을 나타냅니다. 표시되는 내용은 사용된 SCALIBR 추출기에 따라 다릅니다. 컨테이너에서 발견된 취약점의 경우 컨테이너 내부의 경로입니다.

다음 표에서는 다양한 SCALIBR 추출기에 표시된 취약점 위치의 몇 가지 예를 보여줍니다.

콘솔에서 발견 항목 검토

Google Cloud 콘솔에서 Google Cloud 에 대한 취약점 평가 발견 항목을 확인할 수 있습니다. 이렇게 하기 전에 주 구성원에게 적절한 역할이 있는지 확인하세요.

Google Cloud 콘솔에서 Google Cloud 에 대한 취약점 평가 발견 항목을 검토하려면 다음 단계를 따르세요.