软件漏洞可能会导致意外的系统故障或恶意活动。如需了解详情,请参阅漏洞报告。
本文档介绍了如何使用虚拟机管理器设置虚拟机,并查看操作系统的漏洞报告。
准备工作
- 查看 OS Config 配额。
- 设置虚拟机管理器。
-
如果您尚未设置身份验证,请进行设置。身份验证是通过其进行身份验证以访问 Google Cloud 服务和 API 的过程。如需从本地开发环境运行代码或示例,您可以选择以下任一选项向 Compute Engine 进行身份验证:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
- 使用 gcloud CLI 或 API 查看漏洞报告:OS Config Vulnerability Report Viewer (
roles/osconfig.vulnerabilityReportViewer
) -
使用 Google Cloud 控制台查看漏洞报告:
-
OS Config Vulnerability Report Viewer (
roles/osconfig.vulnerabilityReportViewer
) -
OS Inventory Viewer (
roles/osconfig.inventoryViewer
)
-
OS Config Vulnerability Report Viewer (
-
在“修补”页面上的虚拟机实例详情对话框中查看 CVE 信息:
-
Patch Deployment Viewer (
roles/osconfig.patchDeploymentViewer
) -
Patch Job Viewer (
roles/osconfig.patchJobViewer
)
-
Patch Deployment Viewer (
- 使用 Google Cloud 控制台、gcloud CLI 或 API。
- 如果您是 Security Command Center 高级层级用户,请使用 Security Command Center 信息中心。
- 使用 Cloud Asset Inventory。
- 在 Google Cloud 控制台中,打开虚拟机实例页面。
- 点击您要查看其操作系统信息的实例的名称。系统会显示实例详情页面。
- 点击操作系统信息标签页。
如需查看操作系统清点数据,您必须启用虚拟机管理器。如果 Google Cloud 控制台提示您启用虚拟机管理器,请选择以下选项之一:- 为当前项目启用:为所选项目中的所有虚拟机启用虚拟机管理器
- 为此虚拟机启用:仅为所选虚拟机启用虚拟机管理器
- 查看操作系统信息标签页中的操作系统漏洞列表。
如需查看特定可用区中虚拟机的漏洞报告,请使用
os-config vulnerability-reports list
命令。例如,如需列出具有清点数据的所有虚拟机,请运行以下命令:
gcloud compute os-config vulnerability-reports list \ --location=ZONE
将
ZONE
替换为虚拟机所在的可用区。示例
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
输出示例
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
如需查看特定虚拟机的漏洞报告,请运行
os-config vulnerability-reports describe
命令,指定上一步中返回的INSTANCE_ID
或者INSTANCE_NAME
。gcloud compute os-config vulnerability-reports describe VM_NAME \ --location=ZONE
请替换以下内容:
VM_NAME
:您的虚拟机的名称ZONE
:虚拟机实例所在的区域
示例
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
输出示例
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
如需查看特定可用区中虚拟机的漏洞报告,请创建对
projects.locations.instances.vulnerabilityReports
方法的GET
请求。GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports
请替换以下内容:
PROJECT_ID
:您的项目 IDZONE
:虚拟机所在的可用区
如需查看特定虚拟机的漏洞报告,请创建对
projects.locations.instances.getVulnerabilityReport
方法的GET
请求。GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
请替换以下内容:
PROJECT_ID
:您的项目 IDZONE
:虚拟机实例所在的区域INSTANCE
:指定虚拟机的实例 ID 或名称
- 设置虚拟机管理器。
- 在您的 Google Cloud 项目上,启用 Cloud Asset Inventory API、Google Cloud CLI 并分配权限。
- 详细了解 OS Inventory Management。
REST
如需在本地开发环境中使用本页面上的 REST API 示例,请使用您提供给 gcloud CLI 的凭据。
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
如需了解详情,请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。
支持的操作系统
如需查看您可以使用虚拟机管理器获取其漏洞报告的操作系统和版本的完整列表,请参阅操作系统详细信息。
所需的角色和权限
如需获得查看漏洞报告所需的权限,请让您的管理员为您授予项目的以下 IAM 角色:
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
除了这些角色之外,如需使用 Google Cloud 控制台访问 Compute Engine 资源,您必须拥有一个可提供项目的
compute.projects.get
权限的角色。查看漏洞报告
如需查看漏洞报告,您可以使用以下任一选项:
使用 gcloud CLI 或 API 查看漏洞报告
使用以下任一方法查看虚拟机的漏洞报告。
控制台
如需使用 Google Cloud 控制台查看虚拟机的操作系统漏洞报告,请执行以下步骤:
gcloud
REST
使用 Security Command Center 信息中心查看漏洞报告
Security Command Center 是 Google Cloud 的集中式漏洞和威胁报告服务。
如果您是 Security Command Center 高级层级用户,则可以访问在您组织的虚拟机上运行的操作系统的漏洞报告数据。
在 Security Command Center 信息中心的发现结果页面上,您可以查看影响操作系统的所有已识别漏洞的常见漏洞和披露 (CVE) ID。
如需了解如何使用 Security Command Center 信息中心访问和查看操作系统漏洞数据,请参阅虚拟机管理器。
查看来自 Cloud Asset Inventory 的漏洞报告数据
OS Inventory Management 会存储清点和漏洞报告数据,并将其转发到 Cloud Asset Inventory。Cloud Asset Inventory 是一种元数据清点服务,可让您查看、监控和分析整个 Google Cloud 中的资产。借助 Cloud Asset Inventory,您可以轮询信息并查看数据中的更改。
如需从 Cloud Asset Inventory 访问操作系统清点和漏洞报告数据,您需要完成以下设置:
如需了解详情,请参阅查看虚拟机管理器数据。
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-12-22。
-