本页面概述了启用 Security Command Center 时发生的激活过程。它旨在解答常见问题:
- 启用 Security Command Center 后会出现什么情况?
- 为什么首次扫描开始之前会有延迟?
- 首次扫描和持续扫描预计需要多少运行时间?
- 更改资源和设置对性能有何影响?
概览
首次启用 Security Command Center 时,必须先完成激活流程,然后 Security Command Center 才能开始扫描资源。然后,必须完成扫描,才能看到适用于您的 Google Cloud 环境的一组完整发现结果。
激活过程和扫描需要多长时间取决于多种因素,包括环境中的资产和资源数量,以及 Security Command Center 是在组织级层还是在项目级层激活的。
进行组织级激活时,Security Command Center 必须为组织中的每个项目重复激活流程中的某些步骤。根据组织中的项目数量,激活过程所需的时间可能从几分钟到几小时不等。对于项目数超过 10 万个、每个项目中有很多资源以及其他复杂因素的组织,启用和初始扫描可能需要长达 24 小时或更长时间才能完成。
通过在项目级激活 Security Command Center 后,激活过程会明显加快,因为激活过程仅限于激活 Security Command Center 的单个项目。
以下部分讨论了在启动扫描、处理设置更改以及扫描运行时期间可能会造成延迟的因素。
拓扑
下图简要介绍了初始配置和启用过程。
初始配置延迟时间
在扫描开始之前,Security Command Center 会发现您的资源并将其编入索引。
已编入索引的服务包括 App Engine、BigQuery、Cloud SQL、Cloud Storage、Compute Engine、Identity and Access Management 和 Google Kubernetes Engine。
对于 Security Command Center 的项目级激活,发现和索引仅限于激活 Security Command Center 的单个项目。
对于组织级激活,Security Command Center 会发现整个组织中的资源并将其编入索引。
在执行此初始配置流程期间,我们会执行两个关键步骤。
资源扫描
Security Command Center 执行初始资源扫描,以识别项目、文件夹、文件、集群、身份和访问权限政策、注册的用户和其他资源的总数、位置和状态。此过程通常在几分钟内完成。
API 激活
发现资源时,Security Command Center 启用运行 Security Health Analytics、Event Threat Detection、Container Threat Detection 和 Web Security Scanner 所需的 Google Cloud 部分。部分检测服务需要在受保护的项目上启用特定的 API 才能正常运行。
在项目级激活 Security Command Center 后,API 激活通常不到一分钟时间。
通过组织级激活,Security Command Center 会遍历您选择进行扫描的所有项目,以启用必要的 API。
组织中的项目数量基本上决定了初始配置和启用流程的时间长度。由于必须逐一为项目激活 API,因此 API 激活是最耗时的任务,尤其是项目数量超过 10 万个的组织。
跨项目启用服务所需的时间是线性增长的。这表示在项目数量 3 万个的组织中启用服务和安全设置需要花费的时间是项目数量 1.5 万个的组织的两倍。
对于拥有 10 万个项目的组织,高级层级的初始配置和启用应在 5 小时内完成。您的时间可能因许多因素而异,包括您使用的项目或容器的数量,以及您选择启用的 Security Command Center 服务的数量。
扫描延迟时间
设置 Security Command Center 时,您需要决定要启用哪些内置和集成服务,并选择 Google Cloud 资源以针对威胁和漏洞进行分析或扫描。为项目激活 API 时,选定的服务将开始扫描。这些扫描的持续时间还取决于组织中的项目数量。
初始扫描完成后,内置服务即可提供发现结果。服务会遇到延迟,如下所述。
- Container Threat Detection 具有以下延迟时间:
- 新项目或组织的激活延迟时间最长可达 3.5 小时。
- 新创建的集群的启用延迟时间(几分钟)。
- 已激活的集群中的威胁检测延迟时间(分钟数)。
对于内置检测器,事件威胁检测会在几秒钟内激活。对于新的或更新后的自定义检测器,您所做的更改最多可能需要 15 分钟才能生效。在实践中,这个过程通常只需不到 5 分钟的时间。
对于内置和自定义检测器,从写入日志到 Security Command Center 中提供发现结果,检测延迟时间通常少于 15 分钟。
快速漏洞检测在为项目启用后的 24 小时内开始扫描并返回发现结果。
Security Health Analytics 扫描大约会在服务启用一小时后开始。第一次 Security Health Analytics 扫描可能需要长达 12 小时才能完成。之后,大多数检测会根据资源配置更改实时运行(如需详细了解例外情况,请参阅 Security Health Analytics 检测延迟时间。
对于新初始配置的组织,VM Threat Detection 的激活延迟时间最长为 48 小时。对于项目,激活延迟时间最长为 15 分钟。
在启用服务之后,Web Security Scanner 扫描可能需要长达 24 小时才能启动,并在首次扫描后每周运行。
Security Command Center 会运行错误检测器,可检测与 Security Command Center 及其服务相关的配置错误。这些错误检测器默认处于启用状态,且无法停用。检测延迟时间会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源,取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色,请参阅访问权限控制。
初步发现结果
在进行初始扫描期间,但在初始配置流程完成之前,您可能会在 Google Cloud 控制台中看到一些发现结果。
初步发现结果准确且可作为行动依据,但并不全面。不推荐您在前 24 小时内使用这些发现结果进行合规性评估。
后续扫描
在组织或项目中进行的更改(例如移动资源或添加新文件夹和项目 [对于组织级层的激活])通常不会显著影响资源发现时间或扫描的运行时。但是,某些扫描按设置时间表进行,这些时间表决定了 Security Command Center 检测更改的速度。
- Event Threat Detection 和 Container Threat Detection:这些服务在启用后便会实时运行,并立即在已启用项目中检测新资源或更改过的资源(例如集群、存储桶或日志)。
- 快速漏洞检测从首次扫描之日起每周执行后续扫描。如果在两次扫描之间将新资源添加到项目中,则在下次扫描之前不会发现任何漏洞。
- Security Health Analytics:Security Health Analytics 在启用后便会实时运行,且在几分钟后便会检测新资源或更改过的资源(但以下所列的检测除外)。
- 虚拟机威胁检测:对于内存扫描,虚拟机威胁检测会在每个虚拟机实例创建后立即扫描该实例。此外,VM Threat Detection 每 30 分钟扫描一次每个虚拟机实例。
- 对于加密货币挖矿检测,虚拟机威胁检测会每天为每个进程、每个虚拟机生成一个发现结果。每个发现结果仅包含与发现结果标识的流程相关的威胁。如果 VM Threat Detection 发现威胁,但无法将其与任何进程相关联,则对于每个虚拟机,VM Threat Detection 会将所有未关联的威胁分组到一个发现结果中,该发现结果每 24 小时发出一次。对于任何存在时间超过 24 小时的威胁,VM Threat Detection 会每 24 小时生成一次新发现结果。
- 对于预览版的内核模式 rootkit 检测,虚拟机威胁检测功能每三天为每个类别为每个虚拟机生成一个发现结果。
针对检测是否存在已知恶意软件的永久性磁盘扫描,虚拟机威胁检测至少每天扫描每个虚拟机实例。
- Web Security Scanner:Web Security Scanner 每周运行一次,在初始扫描的同一天运行。由于 Web Security Scanner 每周运行一次,因此它不会实时检测变化。如果您移动资源或更改应用,则可能长达一周都检测不到更改。您可以运行按需扫描,以在定时运行的扫描之间检查新资源或更改过的资源。
Security Command Center 错误检测器以批量模式定期运行。批量扫描频率会因具体错误检测器而异。如需了解详情,请参阅 Security Command Center 错误。
Security Health Analytics 检测延迟时间
在启用服务后以及相关资产的配置发生变化时,Security Health Analytics 检测会定期以批量模式运行。启用 Security Health Analytics 后,任何相关的资源配置更改都会导致更新后的错误配置发现结果。在某些情况下,更新可能会花费几分钟,具体取决于资产类型和更改。
某些 Security Health Analytics 检测器不支持实时扫描模式,例如,针对资源配置外部的信息运行检测。下表中所列的这些检测会定期运行,并在 12 小时内识别配置错误。如需详细了解 Security Health Analytics 检测器,请参阅漏洞和发现结果。
| 不支持实时扫描模式的 Security Health Analytics 检测 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED(以前称为 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
攻击路径模拟
攻击路径模拟大约每六小时运行一次。随着您的 Google Cloud 组织的大小或复杂性不断增加,间隔时间可能会增加。
首次激活 Security Command Center 时,攻击路径模拟使用默认高价值资源集,其中包括组织中所有受支持的资源类型。
当您通过创建资源值配置开始定义自己的高价值资源集时,如果高价值资源集中的资源实例数远低于默认集,则您可能会看到模拟间隔时间缩短。