Vulnerabilidades de software são pontos fracos que podem causar uma falha acidental do sistema ou resultar em uma atividade mal-intencionada. Para mais informações, consulte Relatórios de vulnerabilidade.
Neste documento, descrevemos como configurar suas VMs usando o VM Manager e visualizar os relatórios de vulnerabilidade dos seus sistemas operacionais.
Antes de começar
- Revise as cotas de configuração do SO.
- Configure o VM Manager.
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud.
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine da seguinte maneira.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
-
Para ver os relatórios de vulnerabilidade usando a CLI ou a API gcloud:
Leitor de relatórios de vulnerabilidade de configuração do SO (
roles/osconfig.vulnerabilityReportViewer
) -
Para conferir os relatórios de vulnerabilidade usando o console do Google Cloud:
-
Leitor de relatórios de vulnerabilidades de configuração do SO (
roles/osconfig.vulnerabilityReportViewer
) -
Visualizador de inventário do SO (
roles/osconfig.inventoryViewer
)
-
Leitor de relatórios de vulnerabilidades de configuração do SO (
-
Para visualizar informações de CVE na caixa de diálogo Detalhes da instância de VM na página de patch:
-
Visualizador do PatchDeployment (
roles/osconfig.patchDeploymentViewer
) -
Leitor de jobs de patch (
roles/osconfig.patchJobViewer
)
-
Visualizador do PatchDeployment (
- Use o console do Google Cloud, a gcloud CLI ou a REST.
- Se você for um usuário do nível Premium do Security Command Center, use o painel do Security Command Center.
- Usar o Inventário de recursos do Cloud
- No console do Google Cloud, acesse a página Instâncias de VMs.
- Clique no nome da instância com as informações do SO que você quer ver. A página Detalhes da instância é exibida.
- Clique na guia Informações do SO.
Para visualizar os dados de inventário do SO, é preciso ativar o VM Manager. Se o console do Google Cloud solicitar a ativação do VM Manager, selecione uma das seguintes opções:- Ativar para o projeto atual: ativa o VM Manager para todas as VMs no projeto selecionado.
- Ativar para esta VM: ativa o VM Manager apenas para a VM selecionada
- Consulte a lista de vulnerabilidades do SO na guia Informações do SO.
Para visualizar os relatórios de vulnerabilidade das VMs em uma zona específica, use o comando
os-config vulnerability-reports list
.Por exemplo, para listar todas as VMs que têm dados de inventário, execute o seguinte comando:
gcloud compute os-config vulnerability-reports list \ --location=ZONE
Substitua
ZONE
pela zona em que a VM está localizada.Exemplo
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
Exemplo de saída
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
Para visualizar o relatório de vulnerabilidade de uma VM específica, execute o comando
os-config vulnerability-reports describe
especificando oINSTANCE_ID
retornado da etapa anterior ouINSTANCE_NAME
.gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
Substitua:
VM_NAME
: o nome da VM.ZONE
: a zona em que a instância de VM está localizada.
Exemplo
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
Exemplo de saída
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
Para visualizar os relatórios de vulnerabilidade de VMs em uma zona específica, crie uma solicitação
GET
para o métodoprojects.locations.instances.vulnerabilityReports
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
Substitua:
PROJECT_ID
: ID do projeto;ZONE
: a zona em que as VMs estão localizadas
Para visualizar o relatório de vulnerabilidade de uma VM específica, crie uma solicitação
GET
para o métodoprojects.locations.instances.getVulnerabilityReport
.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
Substitua:
PROJECT_ID
: ID do projeto;ZONE
: a zona em que a instância de VM está localizada.INSTANCE
: especifique o código da instância ou o nome da sua VM.
- Configure o VM Manager.
- No projeto do Google Cloud, ative a API Cloud Asset Inventory, Google Cloud CLI e atribua permissões.
- Saiba mais sobre o Gerenciamento de inventário do SO.
REST
Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.
Sistemas operacionais compatíveis
Para ver a lista completa de sistemas operacionais e versões em que você pode receber relatórios de vulnerabilidade usando o VM Manager, consulte Detalhes do sistema operacional.
Papéis e permissões necessárias
Para ter as permissões necessárias para ver os relatórios de vulnerabilidade, peça ao administrador para conceder a você os seguintes papéis de IAM no projeto:
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Além desses papéis, para acessar os recursos do Compute Engine usando o console do Google Cloud, você precisa ter um papel que contenha a permissão
compute.projects.get
no projeto.Ver relatórios de vulnerabilidade
Para exibir relatórios de vulnerabilidade, você pode usar as seguintes opções:
Ver relatório de vulnerabilidade usando a ferramenta CLI gcloud ou a API
Use um dos métodos a seguir para ver relatórios de vulnerabilidade das suas VMs.
Console
Para ver os relatórios de vulnerabilidade do SO de uma VM usando o console do Google Cloud, siga estas etapas:
gcloud
REST
Ver relatórios de vulnerabilidade usando o painel do Security Command Center
O Security Command Center é o serviço centralizado de vulnerabilidade e relatórios de ameaças do Google Cloud.
Se você for um usuário de nível Premium do Security Command Center, será possível acessar dados de relatórios de vulnerabilidade dos sistemas operacionais em execução nas VMs em toda a organização.
Na página Descobertas, no painel do Security Command Center, é possível revisar os IDs de vulnerabilidades e exposições comuns (CVE, na sigla em inglês) de todas as vulnerabilidades identificadas que afetam seu sistema operacional.
Para informações sobre como usar o painel do Security Command Center para acessar e analisar os dados de vulnerabilidade do sistema operacional, consulte VM Manager.
Ver dados dos relatórios de vulnerabilidade do Cloud Asset Inventory
O Gerenciamento de inventário do SO armazena e encaminha dados do relatório de inventário e vulnerabilidades para o Inventário de recursos do Cloud. O Inventário de recursos do Cloud é um serviço de inventário de metadados que permite visualizar, monitorar e analisar recursos no Google Cloud. No Inventário de recursos do Cloud, é possível pesquisar as informações e visualizar as alterações nos dados.
Para acessar os dados de inventário do SO e relatório de vulnerabilidade do Inventário de recursos do Cloud, é necessário concluir a seguinte configuração:
Para mais informações, consulte Como visualizar dados do VM Manager.
A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2024-11-21 UTC.
-