A avaliação de vulnerabilidades para o Google Cloud ajuda a descobrir vulnerabilidades de software críticas e de gravidade elevada sem instalar agentes no seguinte:
- Executar instâncias de VM do Compute Engine
- Nós em clusters do GKE Standard
- Contentores em execução em clusters do GKE Standard e do GKE Autopilot
A avaliação de vulnerabilidades para o Google Cloud funciona através da clonagem dos discos da instância de VM aproximadamente a cada 12 horas, da montagem dos mesmos noutra instância de VM segura e da avaliação dos mesmos com o scanner SCALIBR. A avaliação de vulnerabilidades para Google Cloud análises os sistemas de ficheiros do anfitrião e do contentor.
O clone da instância de VM tem as seguintes propriedades:
- É criado na mesma região que a instância de VM de origem.
- É criado num projeto pertencente à Google, pelo que não aumenta os seus custos.
Apenas são analisadas instâncias de VM, nós e contentores em execução. Quando é criada uma descoberta, esta permanece no estado ACTIVE durante 25 horas. Se for detetado novamente durante este período de 25 horas, o contador é reposto e a deteção permanece no estado ACTIVE durante mais 25 horas.
Se a deteção não for detetada novamente no período de 25 horas, a deteção é definida como INACTIVE.
Se a instância de VM ou o nó for encerrado, a descoberta é definida como INACTIVE após o período de 25 horas, mesmo que a vulnerabilidade não tenha sido mitigada.
Antes de começar
Se tiver perímetros do VPC Service Controls configurados, crie as regras de saída e entrada necessárias.
Limitações
- Instâncias de VM com discos persistentes encriptados com chaves de encriptação geridas pelo cliente (CMEK) e que têm chaves numa localização global ou uma chave multirregional na mesma localização geográfica que o disco.
- Instâncias de VM com discos persistentes encriptados com chaves de encriptação geridas pelo cliente (CMEK) e que têm chaves CMEK em projetos nos perímetros do VPC Service Controls.
- Instâncias de VM com discos persistentes encriptados com chaves de encriptação fornecidas pelo cliente (CSEK)
- Apenas são analisadas partições VFAT, EXT2 e EXT4.
- O agente de serviço do Security Command Center requer acesso para listar instâncias de VMs do projeto e clonar os respetivos discos para projetos pertencentes à Google. Algumas configurações de segurança e políticas, como as restrições de políticas da organização, podem interferir com este acesso, impedindo a realização da análise.
- Os clusters do GKE com a transmissão de imagens ativada não são analisados.
Identidade e autorizações do serviço
A avaliação de vulnerabilidades para o serviço Google Cloud usa agentes do serviço do Security Command Center para identidade e autorização de acesso a Google Cloud recursos.
Para ativações ao nível da organização do Security Command Center, é usado o seguinte agente de serviço:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Para ativações ao nível do projeto do Security Command Center, é usado o seguinte agente de serviço:
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
Ative ou desative a avaliação de vulnerabilidades para o Google Cloud
Por predefinição, as organizações pertencentes aos níveis Premium ou Enterprise do Security Command Center têm a avaliação de vulnerabilidades para instâncias de VMs ativada automaticamente sempre que possível. Google Cloud Para alterar esta definição, conclua o seguinte:
Na Google Cloud consola, aceda à página Vista geral de riscos:
Selecione uma organização na qual ativar a avaliação de vulnerabilidades para Google Cloud.
Clique em Definições.
Na secção Avaliação de vulnerabilidades, clique em Gerir definições.
No separador Google Cloud, ative ou desative a avaliação de vulnerabilidades para Google Cloud ao nível da organização, da pasta ou do projeto na coluna Avaliação de vulnerabilidades sem agente. Também é possível definir níveis inferiores para herdarem o valor de níveis superiores.
Execute análises de vulnerabilidades para discos CMEK
Para permitir que a avaliação de vulnerabilidades para o Google Cloud analise discos encriptados com CMEK, tem de conceder a função Cloud KMS CryptoKey Encrypter/Decrypter aos seguintes agentes de serviço:
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
Se tiver o seguinte agente de serviço, também tem de conceder autorizações a esse agente de serviço:
service-org-ORGANIZATION_ID@ctd-ia-org-sa-prod.iam.gserviceaccount.com
Configure autorizações ao nível da chave
- Navegue para a página Segurança > Gestão de chaves.
- Selecione o conjunto de chaves que contém a chave.
- Selecione a chave.
- No painel de informações, clique em Autorizações.
- Introduza o nome do agente de serviço que introduziu no campo Novos principais.
- No menu Selecionar uma função, selecione Encriptador/desencriptador de CryptoKey do Cloud KMS.
- Clique em Guardar.
Configure autorizações de chaves ao nível do projeto
- Aceda a IAM e administrador > IAM.
- Clique em Conceder acesso.
- Introduza o nome do agente de serviço que introduziu no campo Novos principais.
- No menu Selecionar uma função, selecione Encriptador/desencriptador de CryptoKey do Cloud KMS.
Conclusões geradas pela avaliação de vulnerabilidades para Google Cloud
Quando a avaliação de vulnerabilidades para o serviço Google Cloud deteta uma vulnerabilidade de software numa instância de VM do Compute Engine, num nó num cluster do GKE ou num contentor em execução no GKE, o serviço gera uma descoberta no Security Command Center.
Cada descoberta contém as seguintes informações exclusivas da vulnerabilidade de software detetada:
- O nome completo do recurso da instância afetada ou do cluster do GKE.
- Se a descoberta estiver relacionada com uma carga de trabalho do GKE, são apresentadas informações
sobre o objeto afetado, como as seguintes:
CronJobDaemonSetDeploymentJobPodReplicationControllerReplicaSetStatefulSet
- Uma descrição da vulnerabilidade, incluindo as seguintes informações:
- O pacote de software que contém a vulnerabilidade e a respetiva localização
- Informações do registo de CVE associado
- Uma avaliação da Mandiant sobre o impacto e a capacidade de exploração da vulnerabilidade
- Uma avaliação do Security Command Center da gravidade da vulnerabilidade
- Uma pontuação de exposição a ataques para ajudar a priorizar a correção
- Uma representação visual do caminho que um atacante pode seguir para os recursos de alto valor que são expostos pela vulnerabilidade
- Se disponíveis, passos que pode seguir para corrigir o problema, incluindo a correção ou a atualização da versão que pode usar para resolver a vulnerabilidade
Uma vez que a mesma vulnerabilidade pode ser identificada em vários contentores, as vulnerabilidades são agregadas ao nível da carga de trabalho do GKE ou ao nível do pod.
Numa descoberta, pode ver vários valores num único campo, por exemplo, no campo files.elem.path.
Todas as conclusões da avaliação de vulnerabilidades partilham os seguintes valores de propriedades: Google Cloud
- Categoria
OS vulnerabilitySoftware vulnerability- Classe
Vulnerability- Fornecedor de serviços na nuvem
Google Cloud- Origem
Vulnerability Assessment
Retenção de resultados
Depois de resolvidos, os resultados gerados pela avaliação de vulnerabilidades para Google Cloud são mantidos durante 7 dias, após os quais são eliminados. A avaliação de vulnerabilidades ativa para Google Cloud as conclusões é mantida indefinidamente.
Localização da encomenda
A localização do ficheiro de uma vulnerabilidade comunicada nas conclusões refere-se a um ficheiro binário ou de metadados do pacote. O que é apresentado depende do extrator SCALIBR que foi usado. Para vulnerabilidades encontradas num contentor, este é o caminho no interior do contentor.
A tabela seguinte mostra alguns exemplos da localização da vulnerabilidade apresentada para vários extratores SCALIBR.
| Extrator SCALIBR | Localização da encomenda |
|---|---|
Pacote Debian (dpkg) |
/var/lib/dpkg/status |
| Opte pelo binário | /usr/bin/google_osconfig_agent |
| Arquivo Java | /opt/datadog-agent/embedded/lib/python3.9/site-packages/org.jpype.jar |
| PHP | /var/www/html/vkumark/backend_api/composer.lock |
| Python | /usr/lib/google-cloud-sdk/platform/bundledpythonunix/lib/python3.11/site-packages/cryptography-42.0.5.dist-info/METADATA |
| Ruby | /usr/lib/ruby/gems/2.7.0/specifications/default/benchmark-0.1.0.gemspec |
Reveja as conclusões na consola
Pode ver a avaliação de vulnerabilidades para Google Cloud descobertas na Google Cloud consola. Antes de o fazer, certifique-se de que o principal tem as funções adequadas.
Para rever a avaliação de vulnerabilidades para Google Cloud resultados na Google Cloud consola, siga estes passos:
- Na Google Cloud consola, aceda à página Resultados do Centro de comando de segurança.
- Selecione o seu Google Cloud projeto ou organização.
- Na secção Filtros rápidos, na subsecção Nome a apresentar da origem, selecione Avaliação de vulnerabilidades. Os resultados da consulta de conclusões são atualizados para mostrar apenas as conclusões desta origem.
- Para ver os detalhes de uma descoberta específica, clique no nome da descoberta na coluna Categoria. O painel de detalhes da descoberta é aberto e apresenta o separador Resumo.
- No separador Resumo, reveja os detalhes da descoberta, incluindo informações sobre o que foi detetado, o recurso afetado e, se disponíveis, os passos que pode seguir para corrigir a descoberta.
- Opcional: para ver a definição JSON completa da descoberta, clique no separador JSON.