A avaliação de vulnerabilidade para Google Cloud ajuda a descobrir vulnerabilidades de software críticas e de alta gravidade nas suas instâncias de VM do Compute Engine sem instalar agentes. Para isso, ele clona os discos de instâncias de VM aproximadamente a cada 12 horas, os monta em outra instância de VM segura e os avalia com o escaner SCALIBR.
A instância de VM de verificação tem as seguintes propriedades:
- Ela é criada na mesma região da instância de VM de origem.
- Ele é criado em um projeto do Google, então não aumenta seus custos.
Antes de começar
Se você tiver perímetros do VPC Service Controls configurados, crie as regras de entrada e saída necessárias.
Limitações
- Não há suporte para instâncias de VM com discos permanentes criptografados com chaves de criptografia fornecidas pelo cliente (CSEK) ou chaves de criptografia gerenciadas pelo cliente (CMEK).
- Somente as partições VFAT, EXT2 e EXT4 são verificadas.
- O agente de serviço do Security Command Center precisa ter acesso para listar instâncias de VM do projeto e clonar os discos em projetos do Google. Algumas configurações de segurança e política, como restrições de política da organização, podem interferir nesse acesso, impedindo a verificação.
Identidade e permissões do serviço
A avaliação de vulnerabilidade para Google Cloud serviço usa agentes de serviço do Security Command Center para identidade e permissão para acessar Google Cloud recursos.
Para ativações do Security Command Center no nível da organização, o seguinte agente de serviço é usado:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Para ativações do Security Command Center no nível do projeto, o seguinte agente de serviço é usado:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Ativar ou desativar a avaliação de vulnerabilidades para Google Cloud
Por padrão, as organizações que pertencem aos níveis Premium ou Enterprise do Security Command Center têm a avaliação de vulnerabilidade para Google Cloud ativada automaticamente em todas as instâncias de VM, sempre que possível. Para mudar essa configuração, faça o seguinte:
No console Google Cloud , acesse a página Visão geral do risco:
Selecione uma organização para ativar a avaliação de vulnerabilidades para Google Cloud in.
Clique em Configurações.
No card Avaliação de vulnerabilidade, clique em Gerenciar configurações.
Na guia Google Cloud, ative ou desative a avaliação de vulnerabilidades para Google Cloud no nível da organização, pasta ou projeto na coluna Avaliação de vulnerabilidade sem agente. Os níveis mais baixos também podem ser definidos para herdar o valor dos níveis mais altos.
Descobertas geradas pela avaliação de vulnerabilidade para Google Cloud
Quando a avaliação de vulnerabilidade do serviço Google Cloud detecta uma vulnerabilidade de software em uma instância de VM do Compute Engine, o serviço gera uma descoberta no Security Command Center em Google Cloud.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade detectada no software:
- O nome completo do recurso da instância afetada
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade e o local
- Informações do registro CVE associado
- Uma avaliação da Mandiant sobre o impacto e a vulnerabilidade a explorações
- Uma avaliação da gravidade da vulnerabilidade feita pelo Security Command Center
- Uma pontuação de exposição a ataques para ajudar a priorizar a correção
- Uma representação visual do caminho que um invasor pode seguir para acessar os recursos de alto valor expostos pela vulnerabilidade
- Se disponível, etapas que podem ser seguidas para corrigir o problema, incluindo o patch ou upgrade de versão que pode ser usado para resolver a vulnerabilidade
Todas as descobertas da avaliação de vulnerabilidade para Google Cloud compartilham os seguintes valores de propriedade:
- Categoria
OS vulnerabilitySoftware vulnerability- Turma
Vulnerability- Provedor de serviços de nuvem
Google Cloud- Origem
Vulnerability Assessment
Retenção de descobertas
Depois de resolvidas, as descobertas geradas pela Avaliação de vulnerabilidade para Google Cloud são retidas por sete dias e depois são excluídas. A avaliação de vulnerabilidade ativa para descobertas de Google Cloud é mantida por tempo indeterminado.
Localização do pacote
O local do arquivo de uma vulnerabilidade relatada nas descobertas se refere a um arquivo de metadados de pacote ou binário. O que é listado depende do extrator do SCALIBR que foi usado.
A tabela a seguir mostra alguns exemplos de local de vulnerabilidade mostrado para vários extratores do SCALIBR.
| Extrator SCALIBR | Localização do pacote |
|---|---|
Pacote Debian (dpkg) |
/var/lib/dpkg/status |
| Binário Go | /usr/bin/google_osconfig_agent |
| arquivo Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Analisar descobertas no console
É possível conferir a avaliação de vulnerabilidade para Google Cloud encontrados no console Google Cloud . Antes de fazer isso, verifique se o principal tem as funções adequadas.
Para analisar a avaliação de vulnerabilidades para Google Cloud descobertas no Google Cloud console, siga estas etapas:
Console doGoogle Cloud
- No Google Cloud console, acesse a página Descobertas do Security Command Center.
- Selecione o projeto ou a organização Google Cloud .
- Na seção Filtros rápidos, na subseção Nome de exibição da origem, selecione Avaliação de vulnerabilidade sem agente. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.
Console de operações de segurança
-
No console de operações de segurança, acesse a página Descobertas.
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/security-command-center/findings
Substitua
CUSTOMER_SUBDOMAINpelo seu identificador específico do cliente. - Na seção Agregações, clique para expandir a subseção Nome de exibição da origem.
- Selecione Avaliação de vulnerabilidades sem agente. Os resultados da consulta de descobertas são atualizados para mostrar apenas as descobertas dessa fonte.
- Para conferir os detalhes de uma descoberta específica, clique no nome dela na coluna Categoria. O painel de detalhes da descoberta é aberto e mostra a guia Resumo.
- Na guia Resumo, revise os detalhes da descoberta, incluindo informações sobre o que foi detectado, o recurso afetado e, se disponível, as etapas que podem ser realizadas para corrigir a descoberta.
- Opcional: para conferir a definição JSON completa da descoberta, clique na guia JSON.