Visualizzare i report sulle vulnerabilità

Le vulnerabilità del software sono debolezze che possono causare un guasto accidentale del sistema o attività dannose. Per ulteriori informazioni, vedi Report sulle vulnerabilità.

Questo documento descrive come configurare le VM utilizzando VM Manager e visualizzare i report sulle vulnerabilità per i sistemi operativi.

Prima di iniziare

  • Esamina le quote di OS Config.
  • Configura VM Manager.
  • Se non l'hai già fatto, configura l'autenticazione. Autenticazione è Il processo di verifica dell'identità per l'accesso ai servizi e alle API di Google Cloud. Per eseguire codice o esempi da un ambiente di sviluppo locale, puoi eseguire l'autenticazione Compute Engine come segue.

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Install the Google Cloud CLI, then initialize it by running the following command: 

      gcloud init
    2. Set a default region and zone.

      3. REST

      Per utilizzare gli esempi dell'API REST in questa pagina in un ambiente di sviluppo locale, utilizza le credenziali fornite a gcloud CLI.

        Install the Google Cloud CLI, then initialize it by running the following command: 

        gcloud init

      Per ulteriori informazioni, vedi Esegui l'autenticazione per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud.

Sistemi operativi supportati

Per l'elenco completo dei sistemi operativi e delle versioni per cui puoi sulle vulnerabilità usando VM Manager, consulta Dettagli del sistema operativo.

Ruoli e autorizzazioni richiesti

Per ottenere le autorizzazioni necessarie per visualizzare i report sulle vulnerabilità, chiedi all'amministratore di concederti seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Oltre a questi ruoli, per accedere alle risorse Compute Engine mediante nella console Google Cloud, devi avere un ruolo Autorizzazione compute.projects.get per il progetto.

Visualizzare i report sulle vulnerabilità

Per visualizzare i report sulle vulnerabilità, puoi utilizzare una delle seguenti opzioni:

Visualizza il report sulle vulnerabilità utilizzando gcloud CLI o l'API

Utilizza uno dei seguenti metodi per visualizzare i report sulle vulnerabilità per le tue VM.

Console

Per visualizzare i report sulle vulnerabilità del sistema operativo per una VM utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza per la quale vuoi visualizzare le informazioni sul sistema operativo. Viene visualizzata la pagina Dettagli istanza.
  3. Fai clic sulla scheda Informazioni sul sistema operativo.
    Per visualizzare i dati dell'inventario del sistema operativo, devi attivare VM Manager. Se la console Google Cloud ti chiede di abilitare VM Manager, seleziona una delle seguenti opzioni:
    • Abilita per il progetto attuale: abilita VM Manager per tutti VM nel progetto selezionato
    • Abilita per questa VM: abilita VM Manager solo per VM selezionata
  4. Esamina l'elenco delle vulnerabilità del sistema operativo nella scheda Informazioni sul sistema operativo.

gcloud

  • Per visualizzare i report sulle vulnerabilità per le VM in una zona specifica, utilizza il comando os-config vulnerability-reports list.

    Ad esempio, per elencare tutte le VM con dati di inventario, esegui seguente comando:

    gcloud compute os-config vulnerability-reports list \
   --location=ZONE

    Sostituisci ZONE con la zona in cui si trova la VM.

    Esempio

    gcloud compute os-config vulnerability-reports list \
   --location=us-west2-a

    Output di esempio

    INSTANCE_ID         VULNERABILITY_COUNT  UPDATE_TIME
29255009728795105   2                    2021-04-13T19:10:10.303046Z
307058717116242358  1                    2021-04-13T19:10:10.303046Z

  • Per visualizzare il report sulle vulnerabilità per una VM specifica, esegui Comando os-config vulnerability-reports describe specificando INSTANCE_ID restituito nel passaggio precedente o INSTANCE_NAME.

    gcloud compute os-config vulnerability-reports describe VM_NAME \
   --location=ZONE

    Sostituisci quanto segue:

    • VM_NAME: il nome della VM
    • ZONE: la zona in cui si trova l'istanza VM

    Esempio

    gcloud compute os-config vulnerability-reports describe vm1-centos \
   --location=us-west2-a

    Output di esempio

    ┌───────────────────────────────────────────────────────────────────┐
│                          Vulnerabilities                          │
├──────────────────┬──────────┬───────────────┬─────────────────────┤
│       CVE        │ SEVERITY │ CVSS_V3_SCORE │     CREATE_TIME     │
├──────────────────┼──────────┼───────────────┼─────────────────────┤
│ CVE-2012-6655    │ LOW      │ 3.3           │ 2021-04-29T22:19:53 │
│ CVE-2016-1585    │ MEDIUM   │ 9.8           │ 2021-04-29T22:19:53 │
│ CVE-2016-2781    │ LOW      │ 6.5           │ 2021-04-29T22:19:53 │
│ CVE-2019-7306    │ LOW      │ 7.5           │ 2021-04-29T22:19:53 │
│ CVE-2020-13776   │ LOW      │ 6.7           │ 2021-04-29T22:19:53 │
│ CVE-2021-31879   │ MEDIUM   │ 6.1           │ 2021-05-05T06:11:53 │
└──────────────────┴──────────┴───────────────┴─────────────────────┘
name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport
updateTime: '2021-05-11T22:29:50'

REST

  • Per visualizzare i report sulle vulnerabilità per le VM in una zona specifica, crea una richiesta GET al Metodo projects.locations.instances.vulnerabilityReports.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/–/vulnerabilityReports

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • ZONE: la zona in cui le VM si trovano

  • Per visualizzare il report sulle vulnerabilità per una VM specifica, crea una richiesta GET al metodo projects.locations.instances.getVulnerabilityReport.

    GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport

    Sostituisci quanto segue:

    • PROJECT_ID: il tuo ID progetto
    • ZONE: la zona in cui si trova l'istanza VM
    • INSTANCE: specifica l'istanza ID o il nome della tua VM

Visualizza i report sulle vulnerabilità utilizzando la dashboard di Security Command Center

Security Command Center è il servizio centralizzato di Google Cloud per la segnalazione di vulnerabilità e minacce.

Se sei un Security Command Center utente del livello Premium, puoi: accedere ai dati del report sulle vulnerabilità per i sistemi operativi in esecuzione sulle VM della tua organizzazione.

Nella pagina Risultati della dashboard di Security Command Center, puoi esaminare gli ID CVE (Common Vulnerabilities and Exposures) di tutte le vulnerabilità identificate che interessano il tuo sistema operativo.

Per informazioni sull'utilizzo della dashboard di Security Command Center per accedere ed esaminare dati sulle vulnerabilità del sistema operativo, consulta VM Manager.

Visualizzare i dati dei report sulle vulnerabilità da Cloud Asset Inventory

OS Inventory Management archivia e inoltra i dati dei report su inventari e vulnerabilità Cloud Asset Inventory. Cloud Asset Inventory è un servizio di inventario di metadati che consente di visualizzare, monitorare e analizzare le risorse in Google Cloud. Da Cloud Asset Inventory, puoi eseguire il polling delle informazioni e visualizzare le modifiche apportate ai dati.

Per accedere ai dati dell'inventario del sistema operativo e dei report sulle vulnerabilità da Cloud Asset Inventory, devi completare la seguente configurazione:

Per ulteriori informazioni, consulta Visualizzazione dei dati di VM Manager.

Passaggi successivi