安全漏洞評估 Google Cloud 可協助您找出重大和高嚴重程度的軟體安全漏洞,且無須在下列項目中安裝代理程式:
- 執行 Compute Engine VM 執行個體
- GKE Standard 叢集中的節點
- 在 GKE Standard 和 GKE Autopilot 叢集中執行的容器
安全漏洞評估 Google Cloud 的運作方式是每隔約 12 小時複製 VM 執行個體磁碟、將磁碟掛接至另一個安全 VM 執行個體,然後使用 SCALIBR 掃描器評估磁碟。Vulnerability Assessment 會 Google Cloud 掃描 主機和容器檔案系統。
VM 執行個體副本具有下列屬性:
- 這個執行個體與來源 VM 執行個體位於相同區域。
- 這項資源是在 Google 擁有的專案中建立,因此不會增加您的費用。
系統只會掃描正在執行的 VM 執行個體、節點和容器。發現結果建立後,會處於 ACTIVE 狀態 25 小時。如果在這 25 小時內再次偵測到追蹤器,計時器就會重設,追蹤器也會在 ACTIVE 狀態下再停留 25 小時。如果在 25 小時內未再次偵測到該發現項目,系統會將該項目設為 INACTIVE。
如果 VM 執行個體或節點關機,即使弱點未獲得緩解,系統仍會在 25 小時後將發現項目設為 INACTIVE。
事前準備
如果已設定 VPC Service Controls 範圍,請建立必要的輸出和輸入規則。
限制
- 不支援使用客戶提供的加密金鑰 (CSEK) 或客戶自行管理的加密金鑰 (CMEK) 加密永久磁碟的 VM 執行個體。
- 系統只會掃描 VFAT、EXT2 和 EXT4 分割區。
- Security Command Center 服務代理程式需要存取權,才能列出專案 VM 執行個體,並將磁碟複製到 Google 擁有的專案。部分安全性與政策設定 (例如機構政策限制) 可能會干擾這項存取權,導致掃描無法進行。
服務身分和權限
Google Cloud 服務的安全漏洞評估功能會使用 Security Command Center 服務代理程式,取得存取 Google Cloud 資源的身分和權限。
在機構層級啟用 Security Command Center 時,系統會使用下列服務代理程式:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
如果在專案層級啟用 Security Command Center,系統會使用下列服務代理程式:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
啟用或停用「 Google Cloud」的安全漏洞評估功能
根據預設,凡是屬於 Security Command Center 進階或 Enterprise 層級的機構,系統都會盡可能為所有 VM 執行個體自動啟用「漏洞評估」 Google Cloud 。如要變更這項設定,請完成下列步驟:
前往 Google Cloud 控制台的「風險總覽」頁面:
選取要啟用安全漏洞評估功能的機構 Google Cloud 。
按一下「設定」。
在「弱點評估」資訊卡中,按一下「管理設定」。
在「Google Cloud」分頁中,從「無代理程式安全漏洞評估」欄啟用或停用機構、資料夾或專案層級的 Vulnerability Assessment。 Google Cloud 您也可以將較低層級設為沿用較高層級的值。
安全漏洞評估為 Google Cloud產生的發現項目
當「安全漏洞評估」 Google Cloud 服務在 Compute Engine VM 執行個體、GKE 叢集中的節點,或在 GKE 上執行的容器中偵測到軟體安全漏洞時,該服務會在 Security Command Center 中產生發現項目。
每個發現項目都包含下列資訊,這些資訊是偵測到的軟體安全漏洞特有:
- 受影響執行個體或 GKE 叢集的完整資源名稱。
- 如果發現項目與 GKE 工作負載相關,則會提供受影響物件的資訊,例如:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- 安全漏洞說明,包括下列資訊:
- 含有安全漏洞的軟體套件,以及該套件的位置
- 相關聯 CVE 記錄中的資訊
- Mandiant 對安全漏洞影響和可利用性的評估
- Security Command Center 對安全漏洞嚴重程度的評估
- 受攻擊風險分數,協助您優先處理補救措施
- 以視覺化方式呈現攻擊者可能採取的路徑,藉此存取因漏洞而暴露的高價值資源
- 如果有的話,請提供修正問題的步驟,包括可用來解決安全漏洞的修補程式或版本升級
由於多個容器中可能會出現相同的安全漏洞,因此安全漏洞會匯總至 GKE 工作負載層級或 Pod 層級。在調查結果中,您可能會在單一欄位中看到多個值,例如 files.elem.path 欄位。
所有「弱點評估」 Google Cloud 發現項目都具有下列屬性值:
- 類別
OS vulnerabilitySoftware vulnerability- 類別
Vulnerability- 雲端服務供應商
Google Cloud- 來源
Vulnerability Assessment
發現項目保留期限
解決問題後,系統會保留弱點評估產生的調查結果 7 天,之後就會刪除。 Google Cloud 系統會無限期保留「主動式安全漏洞評估」的發現項目。 Google Cloud
套件位置
調查結果中回報的安全漏洞檔案位置是指二進位檔或套件中繼資料檔案。顯示的內容取決於使用的 SCALIBR 擷取器。如果是容器中發現的安全漏洞,這是容器內的路徑。
下表列出一些範例,說明各種 SCALIBR 擷取器顯示的安全性弱點位置。
| SCALIBR 擷取器 | 套件位置 |
|---|---|
Debian 套件 (dpkg) |
/var/lib/dpkg/status |
| Go 二進位檔 | /usr/bin/google_osconfig_agent |
| Java 封存檔 | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
在控制台中查看發現項目
您可以在 Google Cloud 控制台中查看 Google Cloud 發現項目的安全漏洞評估結果。請先確認主體具有適當角色,再進行這項操作。
如要在 Google Cloud 控制台中查看 Vulnerability Assessment 的 Google Cloud 發現項目,請按照下列步驟操作:
標準或進階
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 專案或機構。
- 在「快速篩選器」部分的「來源顯示名稱」子部分中,選取「弱點評估」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁標籤。
Enterprise
- 在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
- 選取 Google Cloud 機構。
- 在「匯總」部分中,按一下展開「來源顯示名稱」子部分。
- 選取「安全漏洞評估」。發現項目查詢結果會更新,只顯示來自這個來源的發現項目。
- 如要查看特定發現項目的詳細資料,請按一下「類別」欄中的發現項目名稱。 系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。
- 在「摘要」分頁中,查看發現項目的詳細資料,包括偵測到的內容、受影響的資源,以及 (如有) 可採取哪些步驟來修正發現項目。
- 選用:如要查看調查結果的完整 JSON 定義,請按一下「JSON」JSON分頁。