Anteprima
Questo prodotto è soggetti ai "Termini delle Offerte pre-GA" nella sezione Termini di servizio generali dei Termini specifici dei servizi. I prodotti pre-GA sono disponibili "così come sono" e potrebbero avere un supporto limitato. Per saperne di più, consulta le descrizioni della fase di lancio.
La valutazione delle vulnerabilità per Google Cloud ti aiuta a scoprire vulnerabilità del software critiche e di gravità elevata senza installare agenti in:
- Esecuzione di istanze VM di Compute Engine
- Nodi nei cluster GKE Standard
- Container in esecuzione nei cluster GKE Standard e GKE Autopilot
La valutazione delle vulnerabilità per Google Cloud funziona clonando i dischi dell'istanza VM circa ogni 12 ore, montandoli in un'altra istanza VM sicura e valutandoli con lo scanner SCALIBR. La valutazione delle vulnerabilità per le scansioni Google Cloud analizza i file system dell'host e del container.
Il clone dell'istanza VM ha le seguenti proprietà:
- Viene creato nella stessa regione dell'istanza VM di origine.
- Viene creato in un progetto di proprietà di Google, quindi non aumenta i costi.
Vengono analizzate solo le istanze VM, i nodi e i container in esecuzione. Quando viene creato un risultato, rimane nello stato ACTIVE
per 25 ore. Se viene rilevato di nuovo entro questo periodo di 25 ore, il contatore viene reimpostato e il problema rimane nello stato ACTIVE
per altre 25 ore.
Se il problema non viene rilevato di nuovo entro il periodo di 25 ore, lo stato del problema viene impostato su INACTIVE
.
Se l'istanza VM o il nodo viene arrestato, il problema viene impostato su INACTIVE
dopo
il periodo di 25 ore, anche se la vulnerabilità non è stata mitigata.
Prima di iniziare
Se hai configurato perimetri di Controlli di servizio VPC, crea le regole di uscita e di ingresso richieste.
Limitazioni
- Istanze VM con dischi permanenti criptati con chiavi di crittografia gestite dal cliente (CMEK) e con chiavi in una posizione globale o una chiave multiregionale nella stessa posizione geografica del disco.
- Istanze VM con dischi permanenti criptati con chiavi di crittografia gestite dal cliente (CMEK) e con chiavi CMEK all'interno di progetti nei perimetri dei Controlli di servizio VPC.
- Istanze VM con dischi permanenti criptati con chiavi di crittografia fornite dal cliente (CSEK)
- Vengono scansionate solo le partizioni VFAT, EXT2 ed EXT4.
- L'agente di servizio Security Command Center richiede l'accesso per elencare le istanze VM del progetto e clonare i relativi dischi nei progetti di proprietà di Google. Alcune configurazioni di sicurezza e criteri, come i vincoli dei criteri dell'organizzazione, possono interferire con questo accesso, impedendo la scansione.
Identità di servizio e autorizzazioni
Il servizio Vulnerability Assessment per Google Cloud utilizza gli agenti di servizio Security Command Center per l'identità e l'autorizzazione di accesso alle risorse Google Cloud .
Per le attivazioni a livello di organizzazione di Security Command Center, viene utilizzato il seguente agente di servizio:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Per le attivazioni di Security Command Center a livello di progetto, viene utilizzato il seguente service agent:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Attivare o disattivare la valutazione delle vulnerabilità per Google Cloud
Per impostazione predefinita, le organizzazioni che appartengono ai livelli Premium o Enterprise di Security Command Center hanno Vulnerability Assessment per Google Cloud abilitato automaticamente per tutte le istanze VM ove possibile. Per modificare questa impostazione:
Nella console Google Cloud , vai alla pagina Panoramica dei rischi:
Seleziona un'organizzazione in cui attivare il test delle vulnerabilità per Google Cloud.
Fai clic su Impostazioni.
Nella sezione Valutazione delle vulnerabilità, fai clic su Gestisci impostazioni.
Nella scheda Google Cloud, attiva o disattiva la valutazione delle vulnerabilità per Google Cloud a livello di organizzazione, cartella o progetto dalla colonna Valutazione delle vulnerabilità senza agenti. I livelli inferiori possono anche essere impostati in modo da ereditare il valore dai livelli superiori.
Esegui scansioni delle vulnerabilità per i dischi CMEK
Per consentire a Vulnerability Assessment per Google Cloud di analizzare i dischi criptati con CMEK, devi concedere
il ruolo Cloud KMS CryptoKey Encrypter/Decrypter
ai seguenti
service agent:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Se hai il seguente agente di servizio, devi concedere le autorizzazioni anche a quest'ultimo:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configurare le autorizzazioni a livello di chiave
- Vai alla pagina Sicurezza > Gestione chiavi.
- Seleziona il keyring contenente la chiave.
- Seleziona la chiave.
- Nel riquadro delle informazioni, fai clic su Autorizzazioni.
- Inserisci il nome dell'agente di servizio che hai inserito nel campo Nuove entità.
- Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.
- Fai clic su Salva.
Configura le autorizzazioni delle chiavi a livello di progetto
- Vai a IAM e amministrazione > IAM.
- Fai clic su Concedi accesso.
- Inserisci il nome dell'agente di servizio che hai inserito nel campo Nuove entità.
- Nel menu Seleziona un ruolo, seleziona Cloud KMS CryptoKey Encrypter/Decrypter.
Risultati generati da Vulnerability Assessment per Google Cloud
Quando il servizio Vulnerability Assessment per Google Cloud rileva una vulnerabilità software su un'istanza VM Compute Engine, un nodo in un cluster GKE o un container in esecuzione su GKE, il servizio genera un risultato in Security Command Center.
Ogni risultato contiene le seguenti informazioni univoche per la vulnerabilità del software rilevata:
- Il nome completo della risorsa dell'istanza o del cluster GKE interessato.
- Se il risultato è correlato a un workload GKE, informazioni
sull'oggetto interessato, ad esempio:
CronJob
DaemonSet
Deployment
Job
Pod
ReplicationController
ReplicaSet
StatefulSet
- Una descrizione della vulnerabilità, incluse le seguenti informazioni:
- Il pacchetto software che contiene la vulnerabilità e la relativa posizione
- Informazioni del record CVE associato
- Una valutazione di Mandiant dell'impatto e della sfruttabilità della vulnerabilità
- Una valutazione di Security Command Center della gravità della vulnerabilità
- Un punteggio di esposizione agli attacchi per aiutarti a dare la priorità alla correzione
- Una rappresentazione visiva del percorso che un utente malintenzionato potrebbe seguire per raggiungere le risorse di alto valore esposte dalla vulnerabilità
- Se disponibili, i passaggi che puoi seguire per risolvere il problema, inclusa la patch o l'upgrade della versione che puoi utilizzare per risolvere la vulnerabilità
Poiché la stessa vulnerabilità può essere identificata in più container,
le vulnerabilità vengono aggregate a livello di carico di lavoro GKE o di pod.
In un risultato, potresti visualizzare più valori in un singolo campo, ad esempio
nel campo files.elem.path
.
Tutti i risultati della valutazione delle vulnerabilità per Google Cloud condividono i seguenti valori delle proprietà:
- Categoria
OS vulnerability
Software vulnerability
- Classe
Vulnerability
- Provider di servizi cloud
Google Cloud
- Origine
Vulnerability Assessment
Conservazione dei risultati
Una volta risolte, le vulnerabilità generate da Vulnerability Assessment per Google Cloud vengono conservate per 7 giorni, dopodiché vengono eliminate. I risultati della valutazione attiva delle vulnerabilità per Google Cloud vengono conservati a tempo indeterminato.
Località pacchetto
La posizione del file di una vulnerabilità segnalata nei risultati si riferisce a un file binario o ai file di metadati del pacchetto. Gli elementi elencati dipendono dall'estrattore SCALIBR utilizzato. Per le vulnerabilità trovate in un container, questo è il percorso all'interno del container.
La seguente tabella mostra alcuni esempi della posizione della vulnerabilità visualizzata per vari estrattori SCALIBR.
Estrattore SCALIBR | Località pacchetto |
---|---|
Pacchetto Debian (dpkg ) |
/var/lib/dpkg/status |
Vai al binario | /usr/bin/google_osconfig_agent |
archivio Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
PHP | /var/www/html/vkumark/backend_api/composer.lock |
Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Esaminare i risultati nella console
Puoi visualizzare i risultati della valutazione delle vulnerabilità per Google Cloud nella console Google Cloud . Prima di procedere, assicurati che l'entità disponga dei ruoli appropriati.
Per esaminare i risultati della Valutazione delle vulnerabilità per Google Cloud nella console Google Cloud , segui questi passaggi:
- Nella console Google Cloud , vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud .
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, seleziona Valutazione delle vulnerabilità. I risultati della query sui risultati vengono aggiornati per mostrare solo i risultati di questa fonte.
- Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato nella colonna Categoria. Si apre il pannello dei dettagli del risultato e viene visualizzata la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse le informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi seguire per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del risultato, fai clic sulla scheda JSON.