Les failles logicielles sont des vulnérabilités pouvant entraîner une défaillance accidentelle du système ou une activité malveillante. Pour en savoir plus, consultez la page Rapports de failles.
Ce document explique comment configurer vos VM à l'aide de VM Manager et comment afficher les rapports de failles pour vos systèmes d'exploitation.
Avant de commencer
- Consultez les quotas d'OS Config.
- Configurez VM Manager.
-
Si ce n'est pas déjà fait, configurez l'authentification.
L'authentification est le processus permettant de valider votre identité pour accéder aux services et aux API Google Cloud.
Pour exécuter du code ou des exemples depuis un environnement de développement local, vous pouvez vous authentifier auprès de Compute Engine comme suit :
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Pour afficher les rapports de failles à l'aide de gcloud CLI ou de l'API : Lecteur de rapport de failles d'OS Config (
roles/osconfig.vulnerabilityReportViewer
) -
Pour afficher les rapports de failles à l'aide de la console Google Cloud, procédez comme suit :
-
Lecteur de rapports de failles d'OS Config (
roles/osconfig.vulnerabilityReportViewer
) - Lecteur d'inventaire d'OS (
roles/osconfig.inventoryViewer
)
-
Lecteur de rapports de failles d'OS Config (
-
Pour afficher les informations CVE dans la boîte de dialogue Informations sur l'instance de VM de la page "Patch", procédez comme suit :
- Lecteur des PatchDeployments (
roles/osconfig.patchDeploymentViewer
) - Lecteur des jobs d'application de correctifs (
roles/osconfig.patchJobViewer
)
- Lecteur des PatchDeployments (
- Utilisez la console Google Cloud, gcloud CLI ou l'API.
- Si vous êtes un utilisateur de niveau Premium de Security Command Center, utilisez le tableau de bord Security Command Center.
- Utilisez l'inventaire des éléments cloud
- Dans Google Cloud Console, accédez à la page Instances de VM.
- Cliquez sur le nom de l'instance pour laquelle vous souhaitez afficher les informations du système d'exploitation. La page Détails de l'instance s'affiche.
- Cliquez sur l'onglet Informations du système d'exploitation.
Pour afficher les données d'inventaire du système d'exploitation, vous devez activer VM Manager. Si la console Google Cloud vous invite à activer VM Manager, sélectionnez l'une des options suivantes :- Activer pour le projet en cours : active VM Manager pour toutes les VM du projet sélectionné.
- Activer pour cette VM : active VM Manager uniquement pour la VM sélectionnée.
- Consultez la liste des failles du système d'exploitation dans l'onglet Informations sur le système d'exploitation.
Pour afficher les rapports sur les failles pour les VM d'une zone spécifique, utilisez la commande
os-config vulnerability-reports list
.Par exemple, pour regrouper toutes les VM contenant des données d'inventaire, exécutez la commande suivante :
gcloud compute os-config vulnerability-reports list \ --location=ZONE
Remplacez
ZONE
par la zone où se trouve la VM.Exemple
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
Exemple de résultat :
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
Pour afficher le rapport des failles pour une VM spécifique, exécutez la commande
os-config vulnerability-reports describe
en spécifiant leINSTANCE_ID
renvoyé à l'étape précédente ou leINSTANCE_NAME
.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
Remplacez les éléments suivants :
VM_NAME
: nom de votre VMZONE
: zone où se trouve l'instance de VM.
Exemple
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
Exemple de résultat :
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
Pour afficher les rapports sur les failles des VM dans une zone spécifique, envoyez une requête
GET
à la méthodeprojects.locations.instances.vulnerabilityReports
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
Remplacez l'élément suivant :
PROJECT_ID
: ID de votre projet.ZONE
: zone où se trouvent les VM.
Pour afficher le rapport sur les failles pour une VM spécifique, envoyez une requête
GET
à la méthodeprojects.locations.instances.getVulnerabilityReport
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
Remplacez l'élément suivant :
PROJECT_ID
: ID de votre projet.ZONE
: zone où se trouve l'instance de VM.INSTANCE
: spécifiez l'ID d'instance ou le nom de votre VM.
- Configurez VM Manager.
- Dans votre projet Google Cloud, activez l'API Cloud Asset Inventory, Google Cloud CLI et attribuez des autorisations.
- Obtenez plus d'informations sur OS Inventory Management.
REST
Pour utiliser les exemples d'API REST de cette page dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud.
Systèmes d'exploitation compatibles
Pour obtenir la liste complète des systèmes d'exploitation et des versions compatibles avec les rapports de failles à l'aide de VM Manager, consultez la section Détails des systèmes d'exploitation.
Rôles et autorisations requis
Pour obtenir les autorisations nécessaires pour afficher les rapports de failles, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet :
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Outre ces rôles, pour accéder aux ressources Compute Engine à l'aide de la console Google Cloud, vous devez disposer d'un rôle comportant l'autorisation
compute.projects.get
sur le projet.Afficher les rapports sur les failles
Pour afficher les rapports de failles, vous pouvez utiliser l'une des options suivantes :
Afficher le rapport de faille à l'aide de la CLI gcloud ou de l'API
Utilisez l'une des méthodes suivantes pour afficher les rapports de failles de vos VM.
Console
Pour afficher les rapports de failles d'OS d'une VM à l'aide de la console Google Cloud, procédez comme suit :
gcloud
REST
Afficher les rapports de faille en utilisant le tableau de bord Security Command Center
Security Command Center est le service de signalement centralisé des failles et des menaces de Google Cloud.
Si vous êtes un utilisateur de niveau Premium de Security Command Center, vous pouvez accéder aux données de rapport de failles pour les systèmes d'exploitation qui s'exécutent sur des VM dans votre organisation.
Sur la page Résultats du tableau de bord Security Command Center, vous pouvez consulter les ID d'analyse des failles CVE (Common Vulnerabilities and Exposures, ou failles et expositions courantes) de toutes les failles identifiées qui affectent votre système d'exploitation.
Pour en savoir plus sur l'utilisation du tableau de bord Security Command Center pour accéder aux données de failles du système d'exploitation et les examiner, consultez VM Manager.
Afficher les données des rapports de faille depuis l'inventaire des éléments cloud
OS Inventory Management stocke et transfère les données des rapports d'inventaire et de failles vers l'inventaire des éléments cloud. Il s'agit d'un service d'inventaire de métadonnées qui vous permet d'afficher, de surveiller et d'analyser les éléments sur Google Cloud. Depuis l'inventaire des éléments cloud, vous pouvez interroger les informations et afficher les modifications dans les données.
Pour accéder aux données des rapports de failles et d'inventaire du système d'exploitation à partir de l'inventaire des éléments cloud, vous devez effectuer la configuration suivante :
Pour en savoir plus, consultez la section Afficher les données VM Manager.
Étapes suivantes
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/11/22 (UTC).
-