הצגת סיכום תיקונים למכונות וירטואליות

במאמר הזה מוסבר על המידע שמופיע בסיכום התיקונים בלוח הבקרה Patch במסוף Google Cloud . מלוח הבקרה הזה אפשר לבצע את הפעולות הבאות:

  • אפשר לראות את פרטי סיכום הטלאי למכונות וירטואליות בפרויקט, בארגון או בתיקיות.
  • הצגת הסטטוס של משימות תיקון בפרויקט.
  • צפייה בסטטוס של פריסת תיקוני אבטחה מתוזמנים.

לפני שמתחילים

  • בודקים את המכסות של OS Config.
  • אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות. אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Google Cloud . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:

    צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Google Cloud כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Google Cloud

    gcloud

    1. התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

      gcloud init

      אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  • הגדרת אזור ותחום כברירת מחדל

    • REST

    כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.

      התקינו את ה-CLI של Google Cloud.

      אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Google Cloud .

תפקידים והרשאות נדרשים

כדי לקבל את ההרשאות שדרושות בשביל לראות את סיכום הטלאים, אתם צריכים לבקש מהאדמין לתת לכם את התפקידים הבאים ב-IAM:

  • כדי לראות סיכום של תיקוני אבטחה למכונות וירטואליות בארגון או בתיקייה: OS Config Upgrade Report Viewer (roles/osconfig.upgradeReportViewer) באופן ספציפי לארגון או לתיקייה
  • כדי לראות סיכום של תיקוני אבטחה למכונות וירטואליות בפרויקט: OS Config Vulnerability Report Viewer (roles/osconfig.vulnerabilityReportViewer) בפרויקט

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לצפייה בסיכום התיקונים. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי לראות את סיכום התיקון, נדרשות ההרשאות הבאות:

  • כדי לראות סיכום של תיקוני אבטחה למכונות וירטואליות בארגון או בתיקייה:
    • osconfig.upgradeReports.getSummary
    • resourcemanager.projects.get
    • resourcemanager.projects.list
  • צפייה בסיכום תיקוני האבטחה למכונות וירטואליות בפרויקט (הכרטיסייה Projects):
    • osconfig.upgradeReports.searchSummaries
    • resourcemanager.projects.get
    • resourcemanager.projects.list

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הצגת סיכום תיקוני אבטחה למכונות וירטואליות בארגון או בתיקייה

אתם יכולים להגדיר את היקף התצוגה לארגון או לתיקייה, ולראות את סיכום הטלאים למכונות וירטואליות בכל הפרויקטים באותו ארגון או באותה תיקייה.

בטבלת סיכום התיקונים מופיעים רק פרויקטים בארגון או בתיקייה שעומדים באחת מהדרישות הבאות:

  • כולל מכונה וירטואלית אחת או יותר שבהן VM Manager מופעל ופועל.
  • מכיל מכונה וירטואלית אחת או יותר שבהן VM Manager פעל ב-7 הימים האחרונים, ונתוני תיקונים זמינים.

כדי לראות את סיכום הטלאי למכונות וירטואליות בארגון או בתיקייה, פועלים לפי השלבים הבאים:

  1. במסוף Google Cloud , עוברים לדף Compute Engine > VM Manager > Patch.

    כניסה לדף Patch

  2. ברשימה הנפתחת של הפרויקט במסוף Google Cloud , בוחרים את הארגון או התיקייה שרוצים לראות את פרטי סיכום הטלאי שלהם.
  3. לוחצים על הכרטיסייה Projects.
  4. אופציונלי: מציינים את הקריטריונים לחישוב סיכום התיקון באמצעות הכלי ליצירת שאילתות.

  5. בודקים את פרטי סיכום הטלאי בטבלת סיכום הטלאי. הטבלה כוללת שורה לכל פרויקט, כמו שמוצג באיור הבא:

    סיכום של כל התיקונים בכל הפרויקטים.

    בטבלת סיכום התיקונים מפורטים הנתונים הבאים שעומדים בקריטריונים שציינתם בכלי ליצירת שאילתות:

    • פרויקט: שם הפרויקטים בארגון שמכילים לפחות מכונה וירטואלית אחת וש-VM Manager מופעל בהם.

      כשלוחצים על שם הפרויקט, נפתחת הכרטיסייה VM instances (מכונות וירטואליות) שבה מפורט סטטוס הטלאי של כל מכונה וירטואלית בפרויקט.

    • Total VMs: המספר הכולל של מכונות וירטואליות בכל פרויקט.

    • מכונות וירטואליות בפיקוח: מספר המכונות הווירטואליות בפרויקט שבהן סוכן VM Manager מופעל והן נסרקות כדי לזהות תיקוני אבטחה.

    • קריטי: מספר המכונות הווירטואליות שיש לפחות תיקון אחד זמין עבורן.CRITICAL

    • חשוב: מספר המכונות הווירטואליות עם תיקון אחד או יותר של IMPORTANT שזמין.

    • אחר: מספר המכונות הווירטואליות שיש עבורן תיקונים עם דירוג חומרה מתחת ל-CRITICAL או ל-IMPORTANT.

    • עדכני: מספר המכונות הווירטואליות ללא תיקונים זמינים.

    • אין נתונים: מספר המכונות הווירטואליות שאין לגביהן נתונים של תיקוני אבטחה. יכול להיות שמנהל מכונות וירטואליות (VM Manager) לא מופעל במכונות הווירטואליות האלה, או שמערכת ההפעלה שלהן לא נתמכת.

  6. אופציונלי: אם רוצים להציג שורות ספציפיות בטבלת סיכום התיקונים, אפשר להחיל מסננים על הטבלה:

    מסנן טבלה בטבלת סיכום התיקונים.

    לדוגמה, אם רוצים לראות סיכום של תיקוני אבטחה לפרויקטים שיש בהם יותר מ-10 מכונות וירטואליות, צריך להגדיר את אפשרות הסינון Total VMs ל->= 10.

שימוש בכלי ליצירת שאילתות כדי לסנן את פרטי סיכום הטלאי

על סמך הקריטריונים שאתם מציינים באמצעות הכלי ליצירת שאילתות, VM Manager מחשב ומציג את סיכום הטלאים של מכונות וירטואליות בפרויקטים בארגון או בתיקייה. אחר כך אפשר להשתמש במסנני הטבלה בטבלת סיכום התיקונים כדי לסנן את הנתונים שמוצגים.

לדוגמה, כשמגדירים את המאפיין OS בכלי ליצירת שאילתות כ-Debian, כלי VM Manager מציג מידע על תיקוני אבטחה לכל המכונות הווירטואליות עם מערכת הפעלה Debian. אם רוצים לראות את סיכום הטלאים של מכונות וירטואליות בפרויקט ספציפי, צריך להשתמש במסנן כדי לציין את מזהה הפרויקט.

כלי ליצירת שאילתות עם מאפיין אחד.

כדי להגדיר שאילתה בכלי ליצירת שאילתות:

  1. בוחרים מאפיין. הכלי ליצירת שאילתות תומך במאפיינים הבאים:

    • OS: מציינים את השמות הקצרים של מערכות ההפעלה, כמו Windows או Debian.
    • גרסת מערכת ההפעלה: מציינים את גרסת מערכת ההפעלה. לדוגמה, 21.04 או 10.0.22000. אפשר לציין כוכבית אחת (*) בסוף מחרוזת גרסת מערכת ההפעלה כדי לציין התאמה חלקית, לדוגמה 10*.
    • מכונה וירטואלית פועלת: מציינים אם רוצים לראות סיכום תיקונים למכונות וירטואליות שנמצאות במצב RUNNING.
    • CVE ID: המזהה של ה-CVE שתוקן על ידי תיקון מסוים, בפורמט CVE-2023-12345. אם המאפיין הזה מוגדר, רק תיקונים שקשורים למזהה CVE שצוין נלקחים בחשבון בחישוב של סיכום פרטי התיקון.
    • Patch available: מגדירים את המאפיין הזה לערך true כדי לחשב את סיכום המידע על תיקוני האבטחה רק עבור מכונות וירטואליות שיש להן לפחות תיקון אבטחה אחד זמין.
    • רמת החומרה של תיקון: מציינים את רמת החומרה של התיקונים שרלוונטיים למכונות ה-VM.

  2. בוחרים אחד מהמאפיינים ומציינים ערך למאפיין. לדוגמה, אם רוצים לראות סיכום של תיקוני אבטחה למכונות וירטואליות עם מערכת הפעלה ספציפית, בוחרים באפשרות OS. אחר כך תוצג רשימה של אופרטורים להשוואה שאפשר לבחור מתוכה.

    1. בוחרים אופרטור, לדוגמה, ==.
    2. בשדה ערך, מציינים את ערך ההשוואה. לדוגמה Debian.

  3. כדי להוסיף עוד מאפיין, לוחצים על הוספת תנאי.

  4. לוחצים על חיפוש.

מה השלב הבא?