A avaliação de vulnerabilidades para Google Cloud ajuda você a descobrir vulnerabilidades de software críticas e de alta gravidade sem instalar agentes nos seguintes itens:
- Execução de instâncias de VM do Compute Engine
- Nós em clusters do GKE Standard
- Contêineres em execução em clusters do GKE Standard e do GKE Autopilot
A avaliação de vulnerabilidades para Google Cloud clona os discos da instância de VM aproximadamente a cada 12 horas, monta-os em outra instância de VM segura e os avalia com o scanner SCALIBR. A Avaliação de vulnerabilidades para Google Cloud verifica os sistemas de arquivos do host e do contêiner.
O clone da instância de VM tem as seguintes propriedades:
- Ela é criada na mesma região da instância de VM de origem.
- Ele é criado em um projeto do Google, então não aumenta seus custos.
Somente instâncias de VM, nós e contêineres em execução são verificados. Quando uma descoberta é criada, ela permanece no estado ACTIVE por 25 horas. Se ele for detectado novamente dentro desse período de 25 horas, o contador será redefinido e a descoberta permanecerá no estado ACTIVE por mais 25 horas.
Se a descoberta não for detectada novamente dentro do período de 25 horas, ela será definida como INACTIVE.
Se a instância de VM ou o nó for desligado, a descoberta será definida como INACTIVE após o período de 25 horas, mesmo que a vulnerabilidade não tenha sido mitigada.
Antes de começar
Se você tiver perímetros do VPC Service Controls configurados, crie as regras de saída e entrada necessárias.
Limitações
- Não há suporte para instâncias de VM com discos permanentes criptografados com chaves de criptografia fornecidas pelo cliente (CSEK) ou chaves de criptografia gerenciadas pelo cliente (CMEK).
- Somente partições VFAT, EXT2 e EXT4 são verificadas.
- O agente de serviço do Security Command Center precisa de acesso para listar instâncias de VM do projeto e clonar os discos delas em projetos do Google. Algumas configurações de segurança e política, como restrições de política da organização, podem interferir nesse acesso e impedir a verificação.
Identidade e permissões do serviço
O serviço de verificação de vulnerabilidades para Google Cloud usa agentes de serviço do Security Command Center para identidade e permissão de acesso a recursos Google Cloud .
Para ativações do Security Command Center no nível da organização, o seguinte agente de serviço é usado:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Para ativações do Security Command Center no nível do projeto, o seguinte agente de serviço é usado:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Ativar ou desativar a avaliação de vulnerabilidades para Google Cloud
Por padrão, as organizações que pertencem aos níveis Premium ou Enterprise do Security Command Center têm a Avaliação de vulnerabilidades para Google Cloud ativada automaticamente em todas as instâncias de VM sempre que possível. Para mudar essa configuração, faça o seguinte:
No console Google Cloud , acesse a página Visão geral de risco:
Selecione uma organização para ativar a avaliação de vulnerabilidades em Google Cloud .
Clique em Configurações.
No card Avaliação de vulnerabilidades, clique em Gerenciar configurações.
Na guia Google Cloud, ative ou desative a avaliação de vulnerabilidades para Google Cloud no nível da organização, pasta ou projeto na coluna Avaliação de vulnerabilidades sem agente. Os níveis mais baixos também podem ser definidos para herdar o valor de níveis mais altos.
Descobertas geradas pela Avaliação de vulnerabilidades para Google Cloud
Quando a Avaliação de vulnerabilidades para o serviço Google Cloud detecta uma vulnerabilidade de software em uma instância de VM do Compute Engine, um nó em um cluster do GKE ou um contêiner em execução no GKE, o serviço gera uma descoberta no Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detectada:
- O nome completo do recurso da instância ou do cluster do GKE afetado.
- Se a descoberta estiver relacionada a uma carga de trabalho do GKE, informações sobre o objeto afetado, como:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade e a localização dela.
- Informações do registro de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração da vulnerabilidade
- Uma avaliação do Security Command Center sobre a gravidade da vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar você a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir até os recursos de alto valor expostos pela vulnerabilidade
- Se disponíveis, etapas que você pode seguir para corrigir o problema, incluindo o patch ou upgrade de versão que pode ser usado para resolver a vulnerabilidade
Como a mesma vulnerabilidade pode ser identificada em vários contêineres, elas são agregadas no nível da carga de trabalho do GKE ou do pod.
Em uma descoberta, é possível encontrar vários valores em um único campo, por exemplo, no campo files.elem.path.
Todas as descobertas da Avaliação de vulnerabilidades para Google Cloud compartilham os seguintes valores de propriedade:
- Categoria
OS vulnerabilitySoftware vulnerability- Turma
Vulnerability- Provedor de serviços de nuvem
Google Cloud- Origem
Vulnerability Assessment
Retenção de descobertas
Depois de resolvidos, os resultados gerados pela Avaliação de vulnerabilidades para Google Cloud são mantidos por sete dias e depois excluídos. As descobertas da Avaliação de vulnerabilidade ativa para Google Cloudsão mantidas por tempo indeterminado.
Localização do pacote
O local do arquivo de uma vulnerabilidade informada em descobertas se refere a um binário ou a arquivos de metadados de pacote. O que é listado depende do extrator SCALIBR que foi usado. Para vulnerabilidades encontradas em um contêiner, este é o caminho dentro do contêiner.
A tabela a seguir mostra exemplos do local da vulnerabilidade para vários extratores do SCALIBR.
| Extrator SCALIBR | Localização do pacote |
|---|---|
Pacote Debian (dpkg) |
/var/lib/dpkg/status |
| Binário Go | /usr/bin/google_osconfig_agent |
| arquivo Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Analisar descobertas no console
É possível conferir as descobertas da Avaliação de vulnerabilidades para Google Cloud no console Google Cloud . Antes de fazer isso, verifique se o principal tem as funções adequadas.
Para analisar as descobertas da avaliação de vulnerabilidades para Google Cloud no console do Google Cloud , siga estas etapas:
Padrão ou Premium
- No console do Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione o projeto Google Cloud ou a organização.
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidades. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Enterprise
- No console do Google Cloud , acesse a página Descobertas do Security Command Center.
- Selecione sua Google Cloud organização.
- Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
- Selecione Avaliação de vulnerabilidades. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para ver os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que você pode seguir para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.