ソフトウェアの脆弱性は、偶発的なシステム障害や悪意のあるアクティビティを引き起こす可能性がある弱点です。詳細については、脆弱性レポートをご覧ください。
このドキュメントでは、VM Manager を使用して VM を設定し、オペレーティング システムの脆弱性レポートを表示する方法について説明します。
始める前に
- OS Config の割り当てを確認します。
- VM Manager を設定します。
-
まだ設定していない場合は、認証を設定します。認証とは、Google Cloud サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のように Compute Engine に対する認証を行います。
このページのサンプルをどのように使うかに応じて、タブを選択してください。
コンソール
Google Cloud コンソールを使用して Google Cloud サービスと API にアクセスする場合、認証を設定する必要はありません。
gcloud
-
Google Cloud CLI をインストールし、次のコマンドを実行して初期化します。
gcloud init
- デフォルトのリージョンとゾーンを設定します。
REST
このページの REST API サンプルをローカル開発環境で使用するには、gcloud CLI に指定した認証情報を使用します。
-
サポートされているオペレーティング システム
VM Manager を使用して脆弱性レポートを取得できるオペレーティング システムとバージョンの完全なリストについては、オペレーティング システムの詳細をご覧ください。
必要なロールと権限
脆弱性レポートを表示するために必要な権限を取得するには、プロジェクトに対して次の IAM ロールを付与するよう管理者に依頼してください。
- gcloud CLI または API を使用して脆弱性レポートを表示するには: OS 構成の脆弱性レポートの閲覧者(
roles/osconfig.vulnerabilityReportViewer) -
Google Cloud コンソールを使用して脆弱性レポートを表示するには:
-
OS 構成の脆弱性レポートの閲覧者(
roles/osconfig.vulnerabilityReportViewer) -
OS インベントリ閲覧者(
roles/osconfig.inventoryViewer)
-
OS 構成の脆弱性レポートの閲覧者(
-
パッチページの [VM インスタンスの詳細] ダイアログに CVE 情報を表示するには:
-
パッチデプロイ閲覧者(
roles/osconfig.patchDeploymentViewer) -
パッチジョブ閲覧者(
roles/osconfig.patchJobViewer)
-
パッチデプロイ閲覧者(
ロールの付与の詳細については、アクセスの管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
Google Cloud コンソールを使用して Compute Engine リソースにアクセスするには、これらのロールに加えて、プロジェクトに対して compute.projects.get 権限を持つロールが必要です。
脆弱性レポートを表示する
脆弱性レポートを表示するには、次のいずれかのオプションを使用できます。
- Google Cloud コンソール、gcloud CLI、または API を使用する。
- Security Command Center のダッシュボードを使用する(Security Command Center のプレミアム ティアユーザーの場合)。
- Cloud Asset Inventory を使用する。
gcloud CLI または API を使用して脆弱性レポートを表示する
VM の脆弱性レポートを表示するには、次のいずれかの方法を使用します。
コンソール
Google Cloud コンソールを使用して VM の OS 脆弱性レポートを表示するには、次の操作を行います。
- Google Cloud コンソールで [VM インスタンス] ページに移動します。
- OS 情報を表示するインスタンスの名前をクリックします。 [インスタンスの詳細] ページが表示されます。
- [OS 情報] タブをクリックします。
OS インベントリ データを表示するには、VM Manager を有効にする必要があります。 Google Cloud コンソールで VM Manager を有効にするように求められたら、次のいずれかのオプションを選択します。- 現在のプロジェクトに対して有効化: 選択したプロジェクト内のすべての VM に対して VM Manager を有効にします
- この VM に対して有効化: 選択した VM に対してのみ VM Manager を有効にする
- [OS 情報] タブで、OS の脆弱性のリストを確認する。
gcloud
特定のゾーンにおける VM の脆弱性レポートを表示するには、
os-config vulnerability-reports listコマンドを使用します。たとえば、インベントリ データを持つすべての VM を一覧表示するには、次のコマンドを実行します。
gcloud compute os-config vulnerability-reports list \ --location=ZONE
ZONEは、VM を配置するゾーンに置き換えます。例
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
出力例
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
特定の VM について脆弱性レポートを表示するには、前のステップで返された
INSTANCE_IDまたはINSTANCE_NAMEを指定してos-config vulnerability-reports describeコマンドを実行します。gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
次のように置き換えます。
VM_NAME: VM の名前ZONE: VM インスタンスを配置するゾーン
例
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
出力例
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
REST
特定のゾーンにおける VM の脆弱性レポートを表示するには、
projects.locations.instances.vulnerabilityReportsメソッドに対するGETリクエストを作成します。GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
次のように置き換えます。
PROJECT_ID: プロジェクト IDZONE: VM が配置されているゾーン
特定の VM について脆弱性レポートを表示するには、
projects.locations.instances.getVulnerabilityReportメソッドに対するGETリクエストを作成します。GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
次のように置き換えます。
PROJECT_ID: プロジェクト IDZONE: VM インスタンスを配置するゾーンINSTANCE: インスタンス ID または VM の名前
Security Command Center のダッシュボードを使用して脆弱性レポートを表示する
Security Command Center は、脆弱性と脅威の報告を一元的に行う Google Cloud のサービスです。
Security Command Center のプレミアム ティアユーザーは、組織内の VM で実行されているオペレーティング システムの脆弱性レポートデータにアクセスできます。
Security Command Center のダッシュボードの [検出結果] ページでは、オペレーティング システムに影響するすべての特定された脆弱性の共通脆弱性識別子(CVE ID)を確認できます。
Security Command Center ダッシュボードを使用して、オペレーティング システムの脆弱性データを確認する方法については、VM Manager をご覧ください。
Cloud Asset Inventory の脆弱性レポートデータを表示する
OS Inventory Management は、インベントリ データと脆弱性レポートデータを保存し、Cloud Asset Inventory に転送します。Cloud Asset Inventory は、Google Cloud 全体のアセットを表示、モニタリング、分析できるメタデータ インベントリ サービスです。Cloud Asset Inventory で情報をポーリングし、データの変更を表示できます。
Cloud Asset Inventory の OS インベントリと脆弱性レポートデータにアクセスするには、次の手順を完了する必要があります。
- VM Manager を設定します。
- Google Cloud プロジェクトで Cloud Asset Inventory API、Google Cloud CLI を有効にして、権限を割り当てます。
詳細については、VM Manager データの表示をご覧ください。
次のステップ
- OS Inventory Management の詳細を学習する。