Consulta el informes de vulnerabilidades

Las vulnerabilidades del software son debilidades que pueden provocar una falla accidental del sistema o provocar actividad maliciosa. Para obtener más información, consulta Informes de vulnerabilidades.

En este documento, se describe cómo configurar tus VMs mediante VM Manager y ver los informes de vulnerabilidades para tus sistemas operativos.

Antes de empezar

  • Revisa las cuotas de configuración del SO.
  • Configura VM Manager.
  • Si aún no lo hiciste, configura la autenticación. La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init
    2. Set a default region and zone.
    3. REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        Install the Google Cloud CLI, then initialize it by running the following command:

        gcloud init

      Si deseas obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud.

Sistemas operativos compatibles

Para obtener una lista completa de los sistemas operativos y las versiones de los que puedes obtener informes de vulnerabilidades con VM Manager, consulta Detalles de los sistemas operativos.

Roles y permisos requeridos

Para obtener los permisos que necesitas para ver los informes de vulnerabilidades, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Además de estos roles, para acceder a los recursos de Compute Engine mediante la consola de Google Cloud, debes tener un rol que contenga el permiso compute.projects.get en el proyecto.

Consulta el informes de vulnerabilidades

Para ver los informes de vulnerabilidades, usa cualquiera de las siguientes opciones:

Visualiza el informe de vulnerabilidad mediante el gcloud CLI o la API

Usa uno de los siguientes métodos para ver los informes de vulnerabilidades de tus VMs.

Console

Para ver los informes de vulnerabilidades del SO de una VM mediante la consola de Google Cloud, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Instancias de  VM.

    Ir a Instancias de VM

  2. Haz clic en el nombre de la instancia de la que deseas ver la información del SO. Aparecerá la página Detalles de la instancia.
  3. Haz clic en la pestaña Información del SO.
    Para ver los datos de inventario del SO, debes habilitar VM Manager. Si la consola de Google Cloud te solicita que habilites VM Manager, selecciona una de las siguientes opciones:
    • Habilitar para el proyecto actual: habilita VM Manager para todas las VM del proyecto seleccionado.
    • Habilitar para esta VM: habilita VM Manager solo para la VM seleccionada
  4. Revisa la lista de vulnerabilidades del SO en la pestaña Información del SO.

gcloud

  • Para ver los informes de vulnerabilidades de las VM en una zona específica, usa el comando os-config vulnerability-reports list.

    Por ejemplo, para generar una lista de todas las VM que tienen datos de inventario, ejecuta el siguiente comando:

    gcloud compute os-config vulnerability-reports list \
       --location=ZONE
    

    Reemplaza ZONE por la zona en la que se encuentra la VM.

    Ejemplo

    gcloud compute os-config vulnerability-reports list \
       --location=us-west2-a
    

    Resultado de ejemplo

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
    29255009728795105   2                    2021-04-13T19:10:10.303046Z
    307058717116242358  1                    2021-04-13T19:10:10.303046Z
    
  • Para ver el informe de vulnerabilidades de una VM específica, ejecuta el comando os-config vulnerability-reports describe que especifica el INSTANCE_ID que se mostró en el paso anterior o el INSTANCE_NAME.

    gcloud compute os-config vulnerability-reports describe VM_NAME \
       --location=ZONE
    

    Reemplaza lo siguiente:

    • VM_NAME es el nombre de tu VM.
    • ZONE: La zona en la que se encuentra la instancia de VM

    Ejemplo

    gcloud compute os-config vulnerability-reports describe vm1-centos \
       --location=us-west2-a
    

    Resultado de ejemplo

    ┌───────────────────────────────────────────────────────────────────┐
    │                          Vulnerabilities                          │
    ├──────────────────┬──────────┬───────────────┬─────────────────────┤
    │       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
    ├──────────────────┼──────────┼───────────────┼─────────────────────┤
    │ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
    │ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
    │ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
    │ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
    │ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
    │ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
    └──────────────────┴──────────┴───────────────┴─────────────────────┘
    name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
    updateTime: '2021-05-11T22:29:50'
    

REST

  • Para ver los informes de vulnerabilidades de las VM en una zona específica, crea una solicitud GET para el método projects.locations.instances.vulnerabilityReports.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID de tu proyecto
    • ZONE: Es la zona en la que se encuentran las VMs.
  • Para ver el informe de vulnerabilidades de una VM específica, crea una solicitud GET para el método projects.locations.instances.getVulnerabilityReport.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
    

    Reemplaza lo siguiente:

    • PROJECT_ID: el ID de tu proyecto
    • ZONE: La zona en la que se encuentra la instancia de VM
    • INSTANCE: Especifica el ID de instancia o el nombre de tu VM.

Consulta los informes de vulnerabilidades con el panel de Security Command Center

Security Command Center es el servicio centralizado de informes de vulnerabilidades y amenazas de Google Cloud.

Si eres un usuario del nivel Premium de Security Command Center, puedes acceder a los datos de informes de vulnerabilidades de los sistemas operativos que se ejecutan en las VMs de toda tu organización.

En la pestaña Resultados del panel de Security Command Center, puedes revisar los ID de vulnerabilidades y riesgos comunes (CVE) de todas las vulnerabilidades identificadas que afectan a tu sistema operativo.

Si deseas obtener información sobre el uso del panel de Security Command Center para acceder y revisar los datos de vulnerabilidades del sistema operativo, consulta VM Manager.

Visualiza los datos de informes de vulnerabilidades de Cloud Asset Inventory

OS Inventory Management almacena y reenvía datos de informes de inventario y vulnerabilidades a Cloud Asset Inventory. Cloud Asset Inventory es un servicio de inventario de metadatos que te permite ver, supervisar y analizar elementos en Google Cloud. En Cloud Asset Inventory, puedes consultar la información y ver los cambios en los datos.

Para acceder al inventario de SO y a los datos de informes de vulnerabilidad desde Cloud Asset Inventory, debes completar la siguiente configuración:

Para obtener más información, consulta Visualiza los datos de VM Manager.

¿Qué sigue?