Consulta el informes de vulnerabilidades

Las vulnerabilidades del software son debilidades que pueden provocar una falla accidental del sistema o provocar actividad maliciosa. Para obtener más información, consulta Informes de vulnerabilidades.

En este documento, se describe cómo configurar tus VMs mediante VM Manager y ver los informes de vulnerabilidades para tus sistemas operativos.

Antes de empezar

  • Revisa las cuotas de configuración del SO.
  • Configura VM Manager.
  • Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando: 

      gcloud init
    2. Set a default region and zone.

      3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando: 

        gcloud init

      Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.

Sistemas operativos compatibles

Para obtener una lista completa de los sistemas operativos y las versiones de los que puedes obtener informes de vulnerabilidades con VM Manager, consulta Detalles de los sistemas operativos.

Roles y permisos requeridos

Para obtener los permisos que necesitas para ver los informes de vulnerabilidades, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Además de estos roles, para acceder a los recursos de Compute Engine mediante la consola de Google Cloud, debes tener un rol que contenga el permiso compute.projects.get en el proyecto.

Consulta el informes de vulnerabilidades

Para ver los informes de vulnerabilidades, usa cualquiera de las siguientes opciones:

Visualiza el informe de vulnerabilidad mediante el gcloud CLI o la API

Usa uno de los siguientes métodos para ver los informes de vulnerabilidades de tus VMs.

Console

Para ver los informes de vulnerabilidades del SO de una VM mediante la consola de Google Cloud, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Instancias de  VM.

    Ir a Instancias de VM

  2. Haz clic en el nombre de la instancia de la que deseas ver la información del SO. Aparecerá la página Detalles de la instancia.
  3. Haz clic en la pestaña Información del SO.
    Para ver los datos de inventario del SO, debes habilitar VM Manager. Si la consola de Google Cloud te solicita que habilites VM Manager, selecciona una de las siguientes opciones:
    • Habilitar para el proyecto actual: habilita VM Manager para todas las VM del proyecto seleccionado.
    • Habilitar para esta VM: habilita VM Manager solo para la VM seleccionada
  4. Revisa la lista de vulnerabilidades del SO en la pestaña Información del SO.

gcloud

  • Para ver los informes de vulnerabilidades de las VM en una zona específica, usa el comando os-config vulnerability-reports list.

    Por ejemplo, para generar una lista de todas las VM que tienen datos de inventario, ejecuta el siguiente comando:

    gcloud compute os-config vulnerability-reports list \
   --location=ZONE

    Reemplaza ZONE por la zona en la que se encuentra la VM.

    Ejemplo

    gcloud compute os-config vulnerability-reports list \
   --location=us-west2-a

    Ejemplo de resultado

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
29255009728795105   2                    2021-04-13T19:10:10.303046Z
307058717116242358  1                    2021-04-13T19:10:10.303046Z

  • Para ver el informe de vulnerabilidades de una VM específica, ejecuta el comando os-config vulnerability-reports describe que especifica el INSTANCE_ID que se mostró en el paso anterior o el INSTANCE_NAME.

    gcloud compute os-config vulnerability-reports describe VM_NAME \
   --location=ZONE

    Reemplaza lo siguiente:

    • VM_NAME es el nombre de tu VM.
    • ZONE: La zona en la que se encuentra la instancia de VM

    Ejemplo

    gcloud compute os-config vulnerability-reports describe vm1-centos \
   --location=us-west2-a

    Ejemplo de resultado

    ┌───────────────────────────────────────────────────────────────────┐
│                          Vulnerabilities                          │
├──────────────────┬──────────┬───────────────┬─────────────────────┤
│       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
├──────────────────┼──────────┼───────────────┼─────────────────────┤
│ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
│ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
│ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
│ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
│ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
│ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
└──────────────────┴──────────┴───────────────┴─────────────────────┘
name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
updateTime: '2021-05-11T22:29:50'

REST

  • Para ver los informes de vulnerabilidades de las VM en una zona específica, crea una solicitud GET para el método projects.locations.instances.vulnerabilityReports.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID de tu proyecto
    • ZONE: Es la zona en la que se encuentran las VMs.

  • Para ver el informe de vulnerabilidades de una VM específica, crea una solicitud GET para el método projects.locations.instances.getVulnerabilityReport.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID de tu proyecto
    • ZONE: La zona en la que se encuentra la instancia de VM
    • INSTANCE: Especifica el ID de instancia o el nombre de tu VM.

Consulta los informes de vulnerabilidades con el panel de Security Command Center

Security Command Center es el servicio centralizado de informes de vulnerabilidades y amenazas de Google Cloud.

Si eres un usuario del nivel Premium de Security Command Center, puedes acceder a los datos de informes de vulnerabilidades de los sistemas operativos que se ejecutan en las VMs de toda tu organización.

En la pestaña Resultados del panel de Security Command Center, puedes revisar los ID de vulnerabilidades y riesgos comunes (CVE) de todas las vulnerabilidades identificadas que afectan a tu sistema operativo.

Si deseas obtener información sobre el uso del panel de Security Command Center para acceder y revisar los datos de vulnerabilidades del sistema operativo, consulta VM Manager.

Visualiza los datos de informes de vulnerabilidades de Cloud Asset Inventory

OS Inventory Management almacena y reenvía datos de informes de inventario y vulnerabilidades a Cloud Asset Inventory. Cloud Asset Inventory es un servicio de inventario de metadatos que te permite ver, supervisar y analizar elementos en Google Cloud. En Cloud Asset Inventory, puedes consultar la información y ver los cambios en los datos.

Para acceder al inventario de SO y a los datos de informes de vulnerabilidad desde Cloud Asset Inventory, debes completar la siguiente configuración:

Para obtener más información, consulta Visualiza los datos de VM Manager.

¿Qué sigue?