소프트웨어 취약점은 우발적인 시스템 오류를 일으키거나 악의적인 활동을 유발할 수 있는 약점을 말합니다. 자세한 내용은 취약점 보고서를 참조하세요.
이 문서에서는 VM Manager를 사용하여 VM을 설정하고 운영체제의 취약점 보고서를 확인하는 방법을 설명합니다.
시작하기 전에
- OS 구성 할당량을 검토합니다.
- VM Manager 설정
-
아직 인증을 설정하지 않았다면 설정합니다.
인증은 Google Cloud 서비스 및 API에 액세스하기 위해 ID를 확인하는 프로세스입니다.
로컬 개발 환경에서 코드 또는 샘플을 실행하려면 다음과 같이 Compute Engine에 인증하면 됩니다.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
gcloud CLI 또는 API를 사용하여 취약점 보고서 열람하기:
OS 구성 취약점 보고서 뷰어(
roles/osconfig.vulnerabilityReportViewer
) -
Google Cloud 콘솔을 사용하여 취약점 보고서 열람하기:
-
OS 구성 취약점 보고서 뷰어(
roles/osconfig.vulnerabilityReportViewer
) -
OS 인벤토리 뷰어(
roles/osconfig.inventoryViewer
)
-
OS 구성 취약점 보고서 뷰어(
-
패치 페이지의 VM 인스턴스 세부정보 대화상자에서 CVE 정보 열람하기:
-
PatchDeployment 뷰어(
roles/osconfig.patchDeploymentViewer
) -
패치 작업 뷰어(
roles/osconfig.patchJobViewer
)
-
PatchDeployment 뷰어(
- Google Cloud 콘솔, gcloud CLI 또는 API를 사용합니다.
- Security Command Center 프리미엄 등급 사용자는 Security Command Center 대시보드를 사용합니다.
- Cloud 애셋 인벤토리 사용
- Google Cloud 콘솔에서 VM 인스턴스 페이지로 이동합니다.
- OS 정보를 보려는 인스턴스 이름을 클릭합니다. 인스턴스 세부정보 페이지가 나타납니다.
- OS 정보 탭을 클릭합니다.
OS 인벤토리 데이터를 보려면 VM Manager를 사용 설정해야 합니다. Google Cloud 콘솔에 VM Manager를 사용 설정하라는 메시지가 표시되면 다음 옵션 중 하나를 선택합니다.- 현재 프로젝트에 사용 설정: 선택한 프로젝트의 모든 VM에 VM Manager를 사용 설정합니다.
- 이 VM에 사용 설정: 선택한 VM에만 VM Manager를 사용 설정합니다.
- OS 정보 탭에서 OS 취약점 목록을 검토합니다.
특정 영역에서 VM의 취약점 보고서를 보려면
os-config vulnerability-reports list
명령어를 사용합니다.예를 들어 인벤토리 데이터가 있는 모든 VM을 나열하려면 다음 명령어를 실행합니다.
gcloud compute os-config vulnerability-reports list \ --location=ZONE
ZONE
을 VM이 있는 영역으로 바꿉니다.예시
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
출력 예
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
특정 VM의 취약점 보고서를 보려면
os-config vulnerability-reports describe
명령어를 실행하고 이전 단계에서 반환된INSTANCE_ID
또는INSTANCE_NAME
을 지정합니다.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
다음을 바꿉니다.
VM_NAME
: VM의 이름ZONE
: VM 인스턴스가 있는 영역
예시
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
출력 예
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
특정 영역에 있는 VM의 취약점 보고서를 보려면
projects.locations.instances.vulnerabilityReports
메서드에 대해GET
요청을 만듭니다.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
다음을 바꿉니다.
PROJECT_ID
: 프로젝트 IDZONE
: VM이 있는 영역
특정 VM의 취약점 보고서를 보려면
projects.locations.instances.getVulnerabilityReport
메서드에 대해GET
요청을 만듭니다.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
다음을 바꿉니다.
PROJECT_ID
: 프로젝트 IDZONE
: VM 인스턴스가 있는 영역INSTANCE
: 인스턴스 ID 또는 VM의 이름 지정
- VM Manager 설정
- Google Cloud 프로젝트에서 Cloud Asset Inventory API, Google Cloud CLI를 사용 설정하고 권한을 할당합니다.
- OS 인벤토리 관리에 대해 자세히 알아보기
REST
로컬 개발 환경에서 이 페이지의 REST API 샘플을 사용하려면 gcloud CLI에 제공하는 사용자 인증 정보를 사용합니다.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
자세한 내용은 Google Cloud 인증 문서의 REST 사용 인증을 참조하세요.
지원되는 운영체제
VM Manager를 사용하여 취약점 보고서를 가져올 수 있는 운영체제와 버전의 전체 목록은 운영체제 세부정보를 참조하세요.
필수 역할 및 권한
취약점 보고서를 보는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
Google Cloud 콘솔을 사용하여 Compute Engine 리소스에 액세스하려면 이러한 역할 외에도 프로젝트에 대한
compute.projects.get
권한이 있는 역할이 있어야 합니다.취약점 보고서 보기
취약점 보고서를 보려면 다음 옵션을 사용하면 됩니다.
gcloud CLI 또는 API를 사용하여 취약점 보고서 보기
다음 방법 중 하나를 사용하여 VM의 취약점 보고서를 확인합니다.
콘솔
Google Cloud 콘솔을 사용하여 VM의 OS 취약점 보고서를 보려면 다음 단계를 수행합니다.
gcloud
REST
Security Command Center 대시보드를 사용하여 취약점 보고서 보기
Security Command Center는 Google Cloud의 중앙 집중식 취약점 및 위협 보고 서비스입니다.
Security Command Center 프리미엄 등급 사용자는 조직 전체의 VM에서 실행 중인 운영체제에 대한 취약점 보고서 데이터에 액세스할 수 있습니다.
Security Command Center 대시보드의 발견 항목 탭에서 운영체제에 영향을 주는 모든 식별된 취약점의 Common Vulnerabilities and Exposures(CVE) ID를 검토할 수 있습니다.
Security Command Center 대시보드를 사용하여 운영체제 취약점 데이터에 액세스하고 검토하는 방법은 VM Manager를 참조하세요.
Cloud 애셋 인벤토리의 취약점 보고서 데이터 보기
OS 인벤토리 관리는 인벤토리 및 취약점 보고서 데이터를 저장하고 Cloud 애셋 인벤토리에 전달합니다. Cloud 애셋 인벤토리는 Google Cloud 간에 애셋을 확인, 모니터, 분석할 수 있게 해주는 메타데이터 인벤토리 서비스입니다. Cloud 애셋 인벤토리에서 정보를 폴링하고 데이터의 변경사항을 확인할 수 있습니다.
Cloud 애셋 인벤토리에서 OS 인벤토리 및 취약점 보고서 데이터에 액세스하려면 다음 설정을 완료해야 합니다.
자세한 내용은 VM Manager 데이터 보기를 참조하세요.
다음 단계
달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.
최종 업데이트: 2024-09-05(UTC)
-