פגיעויות בתוכנה הן נקודות חולשה שיכולות לגרום לכשל מערכת מקרי או להוביל לפעילות זדונית. מידע נוסף זמין במאמר בנושא דוחות על פגיעויות.
במאמר הזה מוסבר איך להגדיר מכונות וירטואליות באמצעות VM Manager ואיך לצפות בדוחות הפגיעות של מערכות ההפעלה.
לפני שמתחילים
- בודקים את המכסות של OS Config.
- מגדירים את VM Manager.
- כדאי לעיין בהגבלות על ניהול מלאי שטחי פרסום במערכת הפעלה.
-
אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות.
אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Google Cloud . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:
צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:
המסוף
כשמשתמשים במסוף Google Cloud כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Google Cloud
gcloud
-
התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
gcloud initאם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
-
- הגדרת אזור ותחום כברירת מחדל
REST
כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.
התקינו את ה-CLI של Google Cloud.
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Google Cloud .
מערכות הפעלה נתמכות
רשימה מלאה של מערכות הפעלה וגרסאות שאפשר לקבל עבורן דוחות פגיעות באמצעות VM Manager זמינה במאמר פרטים על מערכות הפעלה.
התפקידים וההרשאות הנדרשים
כדי לקבל את ההרשאות שדרושות לצפייה בדוחות על נקודות חולשה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:
-
כדי לצפות בדוחות על פגיעויות באמצעות ה-CLI של gcloud או API:
צפייה בדוחות על פגיעויות ב-OS Config (
roles/osconfig.vulnerabilityReportViewer) -
כדי להציג דוחות על פגיעויות באמצעות Google Cloud המסוף:
- צפייה בדוח פגיעויות בהגדרות מערכת ההפעלה (
roles/osconfig.vulnerabilityReportViewer) - צפייה במלאי מערכות ההפעלה (
roles/osconfig.inventoryViewer)
- צפייה בדוח פגיעויות בהגדרות מערכת ההפעלה (
-
כדי לראות את פרטי ה-CVE בתיבת הדו-שיח VM instance details בדף Patch:
- צפייה בפריסת תיקונים (
roles/osconfig.patchDeploymentViewer) - צפייה במשימות תיקון (
roles/osconfig.patchJobViewer)
- צפייה בפריסת תיקונים (
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
בנוסף לתפקידים האלה, כדי לגשת למשאבי Compute Engine באמצעות מסוף Google Cloud , צריך להיות לכם תפקיד שמכיל את ההרשאה compute.projects.get בפרויקט.
צפייה בדוחות על נקודות חולשה
כדי להציג דוחות על פגיעויות, אפשר להשתמש באחת מהאפשרויות הבאות:
- משתמשים במסוףGoogle Cloud , ב-CLI של gcloud או ב-API.
- אם אתם משתמשים במסלול Security Command Center Premium, אתם יכולים להשתמש במרכז הבקרה של Security Command Center.
- שימוש במאגר משאבי הענן.
הצגת דוח פגיעויות באמצעות ה-CLI של gcloud או ה-API
אפשר להשתמש באחת מהשיטות הבאות כדי לראות דוחות על פגיעויות במכונות הווירטואליות.
המסוף
כדי להציג דוחות על פגיעויות במערכת ההפעלה של מכונה וירטואלית באמצעות מסוף Google Cloud , פועלים לפי השלבים הבאים:
- נכנסים לדף VM instances במסוף Google Cloud .
- לוחצים על השם של המכונה שרוצים לראות את פרטי מערכת ההפעלה שלה. יופיע הדף Instance details.
- לוחצים על הכרטיסייה פרטי מערכת ההפעלה.
כדי לראות את נתוני המלאי של מערכת ההפעלה, צריך להפעיל את VM Manager. אם Google Cloud מוצגת בקונסולה בקשה להפעיל את VM Manager, בוחרים באחת מהאפשרויות הבאות:- Enable for current project (הפעלה בפרויקט הנוכחי): מפעיל את VM Manager בכל המכונות הווירטואליות בפרויקט שנבחר
- הפעלה במכונה הווירטואלית הזו: הפעלה של VM Manager רק במכונה הווירטואלית שנבחרה
- בודקים את רשימת נקודות החולשה במערכת ההפעלה בכרטיסייה פרטי מערכת ההפעלה.
gcloud
כדי לראות דוחות על פגיעויות במכונות וירטואליות באזור מסוים, משתמשים בפקודה
os-config vulnerability-reports list.לדוגמה, כדי לראות את הרשימה של כל המכונות הווירטואליות שיש להן נתוני מלאי, מריצים את הפקודה הבאה:
gcloud compute os-config vulnerability-reports list \ --location=ZONE
מחליפים את
ZONEבאזור שבו נמצאת המכונה הווירטואלית.דוגמה
gcloud compute os-config vulnerability-reports list \ --location=us-west2-a
פלט לדוגמה
INSTANCE_ID VULNERABILITY_COUNT UPDATE_TIME 29255009728795105 2 2021-04-13T19:10:10.303046Z 307058717116242358 1 2021-04-13T19:10:10.303046Z
כדי להציג את דוח הפגיעות של מכונה וירטואלית ספציפית, מריצים את הפקודה
os-config vulnerability-reports describeומציינים אתINSTANCE_IDשהוחזר בשלב הקודם או אתINSTANCE_NAME.gcloud compute os-config vulnerability-reports describe INSTANCE_NAME \ --location=ZONE
מחליפים את מה שכתוב בשדות הבאים:
-
INSTANCE_NAME: השם של מכונת ה-VM -
ZONE: האזור שבו נמצא המופע של המכונה הווירטואלית
דוגמה
gcloud compute os-config vulnerability-reports describe vm1-centos \ --location=us-west2-a
פלט לדוגמה
┌───────────────────────────────────────────────────────────────────┐ │ Vulnerabilities │ ├──────────────────┬──────────┬───────────────┬─────────────────────┤ │ CVE │ SEVERITY │ CVSS_V3_SCORE │ CREATE_TIME │ ├──────────────────┼──────────┼───────────────┼─────────────────────┤ │ CVE-2012-6655 │ LOW │ 3.3 │ 2021-04-29T22:19:53 │ │ CVE-2016-1585 │ MEDIUM │ 9.8 │ 2021-04-29T22:19:53 │ │ CVE-2016-2781 │ LOW │ 6.5 │ 2021-04-29T22:19:53 │ │ CVE-2019-7306 │ LOW │ 7.5 │ 2021-04-29T22:19:53 │ │ CVE-2020-13776 │ LOW │ 6.7 │ 2021-04-29T22:19:53 │ │ CVE-2021-31879 │ MEDIUM │ 6.1 │ 2021-05-05T06:11:53 │ └──────────────────┴──────────┴───────────────┴─────────────────────┘ name: projects/384587888288/locations/us-west2-a/instances/29255009728795105/vulnerabilityReport updateTime: '2021-05-11T22:29:50'
-
REST
כדי לראות דוחות על נקודות חולשה במכונות וירטואליות באזור מסוים, שולחים בקשת
GETאל ה-methodprojects.locations.instances.vulnerabilityReports.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/-/vulnerabilityReports
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ZONE: האזור שבו נמצאות המכונות הווירטואליות
-
כדי לראות דוח פגיעויות של מכונה וירטואלית ספציפית, יוצרים בקשת
GETאל ה-methodprojects.locations.instances.getVulnerabilityReport.GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances/INSTANCE/vulnerabilityReport
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ZONE: האזור שבו ממוקם המופע של המכונה הווירטואלית -
INSTANCE: מציינים את מזהה המכונה או את השם של מכונת ה-VM
-
הצגת דוחות פגיעות באמצעות מרכז הבקרה של Security Command Center
Security Command Center הוא שירות מרכזי לדיווח על נקודות חולשה ואיומים ב- Google Cloud.
אם אתם משתמשים ב-Security Command Center במסלול Premium, אתם יכולים לגשת לנתונים של דוחות נקודות חולשה במערכות ההפעלה שפועלות במכונות וירטואליות בארגון. בדף Findings בלוח הבקרה של Security Command Center, אפשר לעיין במזהי נקודות החולשה הנפוצות (CVE) של נקודות חולשה שמסווגות כחמורות ברמה HIGH או CRITICAL.
מידע על שימוש בלוח הבקרה של Security Command Center כדי לגשת לנתוני פגיעות של מערכת ההפעלה ולבדוק אותם זמין במאמר בנושא VM Manager.
צפייה בנתונים של דוחות פגיעויות ממאגר משאבי הענן
ניהול מלאי מערכות הפעלה מאחסן ומעביר נתונים של דוחות מלאי ופגיעויות אל מאגר משאבי הענן. מאגר משאבי הענן (CAI) הוא שירות מלאי של מטא-נתונים שמאפשר לכם להציג, לעקוב ולנתח נכסים ב- Google Cloud. ממאגר משאבי הענן אפשר לשלוח שאילתות לגבי המידע ולראות את השינויים בנתונים.
כדי לגשת לנתונים של דוחות מלאי מערכות הפעלה ופגיעויות ממאגר משאבי הענן, צריך להשלים את ההגדרה הבאה:
- מגדירים את VM Manager.
- ב Google Cloud פרויקט, מפעילים את Cloud Asset Inventory API, את Google Cloud CLI ומקצים הרשאות.
מידע נוסף זמין במאמר בנושא צפייה בנתונים של VM Manager.
מידע על צפייה בדוחות פגיעות בארגון זמין במאמר צפייה בדוחות פגיעות בארגון באמצעות Cloud Asset Inventory ו-BigQuery.