Le vulnerabilità del software sono punti deboli che possono causare un errore accidentale del sistema o generare attività dannose. Per maggiori informazioni, consulta Report sulle vulnerabilità.
Questo documento descrive come configurare le VM utilizzando VM Manager e visualizzare i report sulle vulnerabilità per i tuoi sistemi operativi.
Prima di iniziare
- Esamina le quote di configurazione del sistema operativo.
- Configura VM Manager.
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione è il processo mediante il quale viene verificata l'identità per l'accesso ai servizi e alle API Google Cloud.
Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi autenticarti in Compute Engine nel seguente modo.
Seleziona la scheda relativa a come prevedi di utilizzare gli esempi in questa pagina:
Console
Quando utilizzi la console Google Cloud per accedere ai servizi e alle API di Google Cloud, non devi configurare l'autenticazione.
gcloud
-
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
- Imposta una regione e una zona predefinite.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, devi utilizzare le credenziali che fornisci a gcloud CLI.
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
-
Sistemi operativi supportati
Per l'elenco completo dei sistemi operativi e delle versioni per cui puoi ricevere report sulle vulnerabilità utilizzando VM Manager, consulta Dettagli del sistema operativo.
Autorizzazioni e ruoli richiesti
Per ottenere le autorizzazioni necessarie per visualizzare i report sulle vulnerabilità, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:
-
Per visualizzare i report sulle vulnerabilità utilizzando gcloud CLI o l'API:
OS Config Vulnerability Report Viewer (
roles/osconfig.vulnerabilityReportViewer
) -
Per visualizzare i report sulle vulnerabilità utilizzando la console Google Cloud:
-
Visualizzatore report sulle vulnerabilità di configurazione del sistema operativo (
roles/osconfig.vulnerabilityReportViewer
) -
OS Inventory Viewer (
roles/osconfig.inventoryViewer
) (Visualizzatore inventario sistema operativo)
-
Visualizzatore report sulle vulnerabilità di configurazione del sistema operativo (
-
Per visualizzare le informazioni CVE nella finestra di dialogo Dettagli istanza VM nella pagina Patch:
-
Visualizzatore deployment patch (
roles/osconfig.patchDeploymentViewer
) -
Visualizzatore job patch (
roles/osconfig.patchJobViewer
)
-
Visualizzatore deployment patch (
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Oltre a questi ruoli, per accedere alle risorse di Compute Engine mediante la console Google Cloud devi avere un ruolo che contenga l'autorizzazione compute.projects.get
sul progetto.
Visualizza report sulle vulnerabilità
Per visualizzare i report sulle vulnerabilità, puoi utilizzare una delle seguenti opzioni:
- Utilizza la console Google Cloud, gcloud CLI o l'API.
- Se sei un utente di livello Premium di Security Command Center, utilizza la dashboard di Security Command Center.
- Utilizza Cloud Asset Inventory.
Visualizza il report sulle vulnerabilità utilizzando gcloud CLI o l'API
Utilizza uno dei seguenti metodi per visualizzare i report sulle vulnerabilità per le tue VM.
Console
Per visualizzare i report sulle vulnerabilità del sistema operativo per una VM utilizzando la console Google Cloud, segui questi passaggi:
- Nella console Google Cloud, vai alla pagina Istanze VM.
- Fai clic sul nome dell'istanza per la quale vuoi visualizzare le informazioni sul sistema operativo. Viene visualizzata la pagina Dettagli istanza.
- Fai clic sulla scheda Informazioni sul sistema operativo.
Per visualizzare i dati di inventario del sistema operativo, devi abilitare VM Manager. Se la console Google Cloud richiede di abilitare VM Manager, seleziona una delle seguenti opzioni:- Abilita per il progetto attuale: abilita VM Manager per tutte le VM nel progetto selezionato
- Abilita per questa VM: abilita VM Manager solo per la VM selezionata
- Esamina l'elenco delle vulnerabilità del sistema operativo nella scheda Informazioni sul sistema operativo.
gcloud
Per visualizzare i report sulle vulnerabilità per le VM in una zona specifica, utilizza il comando
os-config vulnerability-reports list
.Ad esempio, per elencare tutte le VM che dispongono di dati di inventario, esegui questo comando:
gcloud compute os-config vulnerability-reports list \ --location=ZONE
Sostituisci
ZONE
con la zona in cui si trova la VM.Esempio
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
Output di esempio
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
Per visualizzare il report sulle vulnerabilità per una VM specifica, esegui il comando
os-config vulnerability-reports describe
specificando il valoreINSTANCE_ID
restituito dal passaggio precedente oINSTANCE_NAME
.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
Sostituisci quanto segue:
VM_NAME
: il nome della VMZONE
: la zona in cui si trova l'istanza VM
Esempio
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
Output di esempio
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
REST
Per visualizzare i report sulle vulnerabilità per le VM in una zona specifica, crea una richiesta
GET
per il metodoprojects.locations.instances.vulnerabilityReports
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoZONE
: la zona in cui si trovano le VM
Per visualizzare il report sulle vulnerabilità per una VM specifica, crea una richiesta
GET
per il metodoprojects.locations.instances.getVulnerabilityReport
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progettoZONE
: la zona in cui si trova l'istanza VMINSTANCE
: specifica l'ID istanza o il nome della VM
Visualizza i report sulle vulnerabilità utilizzando la dashboard di Security Command Center
Security Command Center è il servizio centralizzato di Google Cloud per la segnalazione di vulnerabilità e minacce.
Se sei un utente di livello Premium di Security Command Center, puoi accedere ai dati dei report sulle vulnerabilità per i sistemi operativi in esecuzione sulle VM della tua organizzazione.
Nella pagina Risultati della dashboard di Security Command Center, puoi esaminare gli ID vulnerabilità ed esposizioni comuni (CVE) per tutte le vulnerabilità identificate che interessano il tuo sistema operativo.
Per informazioni sull'utilizzo della dashboard di Security Command Center per accedere ai dati sulle vulnerabilità del sistema operativo e analizzarli, consulta VM Manager.
Visualizzare i dati dei report sulle vulnerabilità da Cloud Asset Inventory
OS Inventory Management archivia e inoltra i dati dei report sull'inventario e sulle vulnerabilità a Cloud Asset Inventory. Cloud Asset Inventory è un servizio di inventario di metadati che consente di visualizzare, monitorare e analizzare asset in Google Cloud. Da Cloud Asset Inventory, puoi eseguire il polling delle informazioni e visualizzare le modifiche nei dati.
Per accedere ai dati dei report sull'inventario del sistema operativo e sulle vulnerabilità da Cloud Asset Inventory, devi completare la seguente configurazione:
- Configura VM Manager.
- Nel tuo progetto Google Cloud, abilita l'API Cloud Asset Inventory e Google Cloud CLI e assegna le autorizzazioni.
Per maggiori informazioni, consulta Visualizzazione dei dati di VM Manager.
Passaggi successivi
- Scopri di più sulla gestione dell'inventario del sistema operativo.