La evaluación de vulnerabilidades de Google Cloud te ayuda a descubrir vulnerabilidades de software críticas y de alta gravedad sin instalar agentes en los siguientes elementos:
- Ejecutar instancias de VM de Compute Engine
- Nodos de clústeres de GKE Standard
- Contenedores que se ejecutan en clústeres estándar y Autopilot de GKE
La evaluación de vulnerabilidades de Google Cloud funciona clonando los discos de tu instancia de VM aproximadamente cada 12 horas, montándolos en otra instancia de VM segura y evaluándolos con el escáner SCALIBR. La evaluación de vulnerabilidades de Google Cloud analiza los sistemas de archivos del host y del contenedor.
El clon de la instancia de VM tiene las siguientes propiedades:
- Se crea en la misma región que la instancia de VM de origen.
- Se crea en un proyecto propiedad de Google, por lo que no aumenta tus costes.
Solo se analizan las instancias de VM, los nodos y los contenedores en ejecución. Cuando se crea un resultado, permanece en estado ACTIVE durante 25 horas. Si se vuelve a detectar en este periodo de 25 horas, el contador se reinicia y el resultado permanece en el estado ACTIVE durante otras 25 horas.
Si no se vuelve a detectar el problema en un plazo de 25 horas, se le asignará el estado INACTIVE.
Si la instancia de VM o el nodo se apagan, la detección se establece en INACTIVE después de 25 horas, aunque la vulnerabilidad no se haya mitigado.
Antes de empezar
Si tienes configurados perímetros de Controles de Servicio de VPC, crea las reglas de entrada y salida necesarias.
Limitaciones
- Instancias de VM con discos persistentes cifrados con claves de cifrado gestionadas por el cliente (CMEK) y que tienen claves en una ubicación global o una clave multirregional en la misma ubicación geográfica que el disco.
- Instancias de VM con discos persistentes cifrados con claves de cifrado gestionadas por el cliente (CMEK) y que tienen claves CMEK en proyectos dentro de perímetros de Controles del Servicio de VPC.
- Instancias de VM con discos persistentes cifrados con claves de cifrado proporcionadas por el cliente (CSEK)
- Solo se analizan las particiones VFAT, EXT2 y EXT4.
- El agente de servicio de Security Command Center necesita acceso para enumerar las instancias de VM de un proyecto y clonar sus discos en proyectos propiedad de Google. Algunas configuraciones de seguridad y políticas, como las restricciones de las políticas de la organización, pueden interferir con este acceso e impedir que se realice el análisis.
Identidad y permisos de servicio
El servicio Evaluación de vulnerabilidades de Google Cloud usa agentes de servicio de Security Command Center para la identidad y el permiso de acceso a los recursos de Google Cloud .
En las activaciones de Security Command Center a nivel de organización, se usa el siguiente agente de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
En las activaciones de Security Command Center a nivel de proyecto, se usa el siguiente agente de servicio:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Habilitar o inhabilitar la evaluación de vulnerabilidades para Google Cloud
De forma predeterminada, las organizaciones que pertenecen a los niveles Premium o Enterprise de Security Command Center tienen habilitada automáticamente la función Vulnerability Assessment para Google Cloud todas las instancias de VM siempre que sea posible. Para cambiar este ajuste, haz lo siguiente:
En la Google Cloud consola, ve a la página Resumen de riesgos:
Selecciona una organización en la que quieras habilitar la evaluación de vulnerabilidades para Google Cloud.
Haz clic en Settings (Configuración).
En la sección Evaluación de vulnerabilidades, haz clic en Gestionar configuración.
En la pestaña Google Cloud, habilita o inhabilita la evaluación de vulnerabilidades para Google Cloud a nivel de organización, carpeta o proyecto en la columna Evaluación de vulnerabilidades sin agente. También se pueden definir niveles inferiores para que hereden el valor de los niveles superiores.
Ejecutar análisis de vulnerabilidades en discos con CMEK
Para permitir que Vulnerability Assessment for Google Cloud analice discos cifrados con CMEK, debes asignar el rol Cloud KMS CryptoKey Encrypter/Decrypter a los siguientes agentes de servicio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Si tiene el siguiente agente de servicio, también debe concederle permisos:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configurar permisos a nivel de clave
- Ve a la página Seguridad > Gestión de claves.
- Selecciona el conjunto de claves que contiene la clave.
- Selecciona la llave.
- En el panel de información, haz clic en Permisos.
- Escribe el nombre del agente de servicio que has introducido en el campo Nuevos principales.
- En el menú Selecciona un rol, elige Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS.
- Haz clic en Guardar.
Configurar permisos de claves a nivel de proyecto
- Ve a IAM y administración > IAM.
- Haz clic en Conceder acceso.
- Escribe el nombre del agente de servicio que has introducido en el campo Nuevos principales.
- En el menú Selecciona un rol, elige Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS.
Resultados generados por Vulnerability Assessment para Google Cloud
Cuando el servicio Vulnerability Assessment for Google Cloud detecta una vulnerabilidad de software en una instancia de VM de Compute Engine, un nodo de un clúster de GKE o un contenedor que se ejecuta en GKE, el servicio genera un resultado en Security Command Center.
Cada resultado contiene la siguiente información, que es única para la vulnerabilidad de software detectada:
- Nombre completo del recurso de la instancia o del clúster de GKE afectados.
- Si la detección está relacionada con una carga de trabajo de GKE, se mostrará información sobre el objeto afectado, como la siguiente:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Una descripción de la vulnerabilidad, que incluya la siguiente información:
- El paquete de software que contiene la vulnerabilidad y su ubicación
- Información del registro de CVE asociado
- Una evaluación de Mandiant sobre el impacto y la posibilidad de exploit de la vulnerabilidad
- Una evaluación de Security Command Center sobre la gravedad de la vulnerabilidad
- Una puntuación de exposición a ataques que te ayuda a priorizar la corrección
- Una representación visual de la ruta que podría seguir un atacante para acceder a los recursos de alto valor expuestos por la vulnerabilidad
- Si están disponibles, los pasos que puedes seguir para solucionar el problema, incluido el parche o la actualización de versión que puedes usar para abordar la vulnerabilidad
Como la misma vulnerabilidad se puede identificar en varios contenedores, las vulnerabilidades se agregan a nivel de carga de trabajo de GKE o de pod.
En un resultado, puede que vea varios valores en un solo campo, como en el campo files.elem.path.
Todas las conclusiones de la evaluación de vulnerabilidades de Google Cloud comparten los siguientes valores de propiedad:
- Categoría
OS vulnerabilitySoftware vulnerability- Clase
Vulnerability- Proveedor de servicios en la nube
Google Cloud- Fuente
Vulnerability Assessment
Retención de resultados
Una vez resueltos, los resultados generados por Vulnerability Assessment for Google Cloud se conservan durante 7 días y, después, se eliminan. Los resultados de la evaluación de vulnerabilidades activa de Google Cloudse conservan indefinidamente.
Ubicación del paquete
La ubicación de un archivo de una vulnerabilidad registrada en los resultados hace referencia a un archivo binario o a archivos de metadatos de un paquete. Lo que se muestra depende del extractor SCALIBR que se haya usado. En el caso de las vulnerabilidades encontradas en un contenedor, esta es la ruta dentro del contenedor.
En la siguiente tabla se muestran algunos ejemplos de la ubicación de la vulnerabilidad que se muestra en varios extractores de SCALIBR.
| Extractor SCALIBR | Ubicación del paquete |
|---|---|
Paquete de Debian (dpkg) |
/var/lib/dpkg/status |
| Ir a binario | /usr/bin/google_osconfig_agent |
| archivo de Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Revisar los resultados en la consola
Puede ver las Google Cloud detecciones de la evaluación de vulnerabilidades Google Cloud en la consola. Antes de hacerlo, asegúrate de que tu principal tenga los roles adecuados.
Para revisar los resultados de la evaluación de vulnerabilidades en la consola de Google Cloud Google Cloud , sigue estos pasos:
- En la Google Cloud consola, ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud proyecto u organización.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, selecciona Evaluación de vulnerabilidades. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
- Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
- En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
- Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.