Dienst zur externen Gefährdung verwenden, um gefährdete Ressourcen zu erkennen

Security Command Center External Exposure ist ein Google Cloud Dienst, mit dem Sie Ihre externe Angriffsfläche durch automatisierte Erkennung und Risikovalidierung verwalten und verringern können.

Da automatisierte Scanner innerhalb von Minuten auf internetzugängliche Assets abzielen können, deckt External Exposure versehentliche Offenlegungen und Schattenressourcen proaktiv auf, bevor Angreifer sie entdecken und ausnutzen können.

Durch die Analyse Ihrer Umgebung aus einer externen Perspektive versucht der Dienst zu bestätigen, was wirklich über das Internet erreichbar ist, und zu ermitteln, welche Sicherheitslücken tatsächlich ausgenutzt werden können.

External Exposure scannt Ihr Google Cloud-Umfeld kontinuierlich nach externen IP-Adressen, Hostnamen, Domainnamen und URLs. Bei dieser Funktion wird das Netzwerk gescannt, um zu bestätigen, welche Ressourcen und Anwendungen über das öffentliche Internet erreichbar sind.

Bei jeder bestätigten Offenlegung führt External Exposure folgende Schritte aus:

• Stellt den Google Cloud Netzwerkpfad für externe Load Balancer, Google Cloud Armor-Richtlinien, Firewallregeln, Private Service Connect, Cloud Interconnect und Backend-Dienste bis hin zur bereitgestellten Ressource dar.

  Diese Ressource kann eine Compute Engine-Instanz oder ein Google Kubernetes Engine-Pod (GKE) sein, einschließlich eines bereitgestellten Dienstes oder einer bereitgestellten Anwendung.

  Diese enge Integration in das Google-Netzwerk bietet umsetzbaren Kontext, sodass Sie sofort präventive Maßnahmen ergreifen können, z. B. eine bestimmte Firewallregel sperren oder Google Cloud Armor konfigurieren.

• Führt Fingerprinting durch, um die spezifische Webanwendung oder Serversoftware zu identifizieren, die auf den einzelnen exponierten Assets ausgeführt wird.

• Wenn der Dienst oder die Software identifiziert werden kann, werden alle bekannten Sicherheitslücken ermittelt, die sich darauf auswirken.

• Es werden fortschrittliche passive und aktive Detektoren verwendet, um die tatsächliche Ausnutzbarkeit zu testen. Dazu werden Sicherheitslücken, Fehlkonfigurationen und die Verwendung von Standard- oder schwachen Anmeldedaten validiert.

Hinweis

In diesem Abschnitt wird beschrieben, wie Sie Ihre Umgebung für die Verwendung von External Exposure vorbereiten.

Security Center Management API aktivieren

Wenn Sie Security Command Center APIs verwenden möchten, müssen Sie die Security Center Management API für Ihr Kontingentprojekt aktivieren und, falls Organisationsrichtlinien verwendet werden, die die API-Nutzung einschränken, dafür sorgen, dass die Security Center Management API zulässig ist. Mit der Security Center Management API wird der Aktivierungsstatus von Security Command Center-Diensten wie External Exposure gesteuert.

1. Aktivieren Sie in einem Terminal die Security Center Management API für Ihr Kontingentprojekt:

   gcloud services enable securitycentermanagement.googleapis.com \
       --project=QUOTA_PROJECT_ID
   

   Ersetzen Sie QUOTA_PROJECT_ID durch die ID des Projekts, mit dem Sie das Kontingent verwalten.

2. Wenn Sie Organisationsrichtlinien haben, die die API-Nutzung einschränken, muss die Security Center Management API zulässig sein. Weitere Informationen finden Sie unter Organisationsrichtlinien prüfen.

3. Wenn Sie in Ihren Ergebnissen Insights zum Pfad der Netzwerkpräsenz erhalten möchten, stellen Sie sicher, dass Sie External Exposure auf Organisations- oder Ordnerebene aktivieren.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihre Organisation, Ihren Ordner oder Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der externen Offenlegung und zum Aufrufen von Dashboarddaten benötigen:

• Einstellungen für External Exposure in Security Command Center konfigurieren und Dashboarddaten ansehen: Sicherheitscenter-Administrator (roles/securitycenter.admin)
• Weisen Sie Dienst-Agents Rollen wie die Rolle externalexposure.serviceAgent zu: Sicherheitsadministrator (roles/iam.securityAdmin)
• Dienstkonten erstellen und verwalten: Service Account Admin (roles/iam.serviceAccountAdmin)
• Nur Dashboard-Daten ansehen: Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer)
• Rufen Sie das Dashboard „External Exposure“ und Scanmesswerte in der Console, der CLI oder der API auf: External Exposure Viewer (roles/externalexposure.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Mit den folgenden Google Cloud CLI-Befehlen können Sie einem Nutzer die oben genannten Rollen zuweisen:

Rollen mit der gcloud CLI zuweisen

• Führen Sie den folgenden Befehl aus, um einem Nutzer die Rolle „Security Center-Administrator“ zuzuweisen:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/securitycenter.admin
  

• Führen Sie den folgenden Befehl aus, um einem Nutzer die Rolle „Security Center Admin Viewer“ zuzuweisen:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/securitycenter.adminViewer
  

• Führen Sie den folgenden Befehl aus, um einem Nutzer die Rolle „External Exposure Viewer“ (Betrachter für externe Präsenz) für den Zugriff auf CLI- oder API-Messwerte zuzuweisen:

  gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/externalexposure.viewer
  

  Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die numerische Organisations-ID
  • PROJECT_ID: die Projekt-ID
  • USER_EMAIL_ID: die E-Mail-Adresse des Nutzers, der Zugriff benötigt

Dienst aktivieren und konfigurieren

Führen Sie die Aufgaben in den folgenden Abschnitten aus, um External Exposure zu aktivieren und zu konfigurieren.

Sie können den Dienst auf Organisations-, Ordner- oder Projektebene aktivieren und konfigurieren. Wenn Sie die API verwenden und Einstellungen auf Ordner- oder Organisationsebene anstelle der Projektebene konfigurieren möchten, ersetzen Sie projects/PROJECT_ID durch folders/FOLDER_ID oder organizations/ORGANIZATION_ID in allen Anfrage-URLs und den JSON-Datenparametern.

External Exposure aktivieren

Aktivieren Sie External Exposure für Ihre Organisation, Ihren Ordner oder Ihr Projekt.

Nachdem Sie den Dienst aktiviert haben, müssen Sie dem Dienstkonto die erforderlichen Berechtigungen erteilen, wie unter Berechtigungen für Dienstkonto erteilen beschrieben.

Berechtigungen für Dienst-Agents erteilen

Je nach Ressourcenebene, auf der Sie den Dienst aktivieren, wird von Google Cloudein Dienst-Agent generiert:

• Organisations- oder Ordnerebene: Ein Dienst-Agent auf Organisations- oder Ordnerebene wird erstellt.
• Projektebene: Ein Dienst-Agent auf Projektebene wird erstellt.

Führen Sie den folgenden gcloud-Befehl in einem Terminal aus, um Berechtigungen auf Organisationsebene zu erteilen:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com" \
    --role=roles/externalexposure.serviceAgent

Ersetzen Sie ORGANIZATION_ID durch die numerische ID Ihrer Organisation.

Führen Sie den folgenden gcloud-Befehl in einem Terminal aus, um Berechtigungen auf Ordnerebene zu erteilen:

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
    --member="serviceAccount:service-folder-FOLDER_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com" \
    --role=roles/externalexposure.serviceAgent

Ersetzen Sie FOLDER_ID durch die numerische ID Ihres Ordners.

Eingehenden Zugriff auf Dienstperimeter gewähren

Wenn Sie VPC Service Controls verwenden, gewähren Sie dem Dienstkonto des Dienstes „External Exposure“ eingehenden Zugriff auf alle Dienstperimeter, die Projekte schützen, die Sie scannen möchten. Wenn Sie keinen eingehenden Zugriff gewähren, kann External Exposure keine Scans durchführen oder Ergebnisse für Projekte generieren, die durch Dienstperimeter geschützt sind.

Je nach Ressourcenebene, auf der der Dienst aktiviert ist, wird für die Dienstkonto-ID eines der folgenden E-Mail-Adressformate verwendet:

• Für Organisationen oder Ordner:

  service-RESOURCE_KEYWORD-RESOURCE_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com
  

• Für Projekte:

  service-project-PROJECT_NUMBER@gcp-sa-ee.iam.gserviceaccount.com
  

Ersetzen Sie Folgendes:

• RESOURCE_KEYWORD: das Keyword org oder folder
• RESOURCE_ID: die Organisations-ID oder Ordner-ID
• PROJECT_NUMBER: die Projektnummer

Wenn Sie sowohl Dienstkonten auf Organisationsebene als auch auf Projektebene haben, führen Sie die folgenden Schritte für beide aus.

Um Zugriff zu gewähren, fügen Sie jedem blockierenden Dienstperimeter eine Ingress-Regel hinzu:

1. Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls:

   Zu „VPC Service Controls“

2. Wählen Sie die blockierende Zugriffsrichtlinie und den Dienstperimeter aus.

3. Klicken Sie auf Bearbeiten und dann auf Richtlinie für eingehenden Traffic.

4. Klicken Sie auf Regel für eingehenden Traffic hinzufügen und konfigurieren Sie den Block Von:

   1. Wählen Sie unter Identität die Option Ausgewählte Identitäten und Gruppen aus.
   2. Geben Sie die E-Mail-Adresse des Dienstkontos für External Exposure ein.
   3. Wählen Sie für Quelle die Option Alle Quellen aus.

5. Konfigurieren Sie den Block An der Regel:

   1. Wählen Sie für Projekt die Option Alle Projekte aus.
   2. Wählen Sie unter Vorgänge oder IAM-Rollen die Option Alle Vorgänge aus.

6. Klicken Sie auf Speichern.

Benutzerdefinierte Ports konfigurieren

Sie können bis zu 32 benutzerdefinierte Ports pro Projekt konfigurieren, die zusätzlich zu den Standardports gescannt werden:

curl --request PATCH \
  "https://securitycentermanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure?updateMask=service_config" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header "X-Goog-User-Project: QUOTA_PROJECT_ID" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data '{
    "serviceConfig": {
      "ports": [8081, 8188]
    },
    "name": "projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure"
  }' \
  --compressed

Scanmodule konfigurieren

So konfigurieren Sie, welche bestimmten Scanmodule aktiviert oder deaktiviert werden sollen:

curl --request PATCH \
  "https://securitycentermanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure?updateMask=modules" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header "X-Goog-User-Project: QUOTA_PROJECT_ID" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data '{
    "modules": {
      "EXTERNALLY_EXPOSED_RCE_VULNERABILITY": {
        "intendedEnablementState": "ENABLED"
      },
      "EXTERNALLY_EXPOSED_WEAK_CREDENTIALS": {
        "intendedEnablementState": "DISABLED"
      }
    },
    "name": "projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure"
  }' \
  --compressed

Nachdem „External Exposure“ aktiviert wurde, werden automatisch kontinuierliche Batch-Scans ausgeführt, um offengelegte externe IP-Adressen zu identifizieren, laufende Dienste zu untersuchen und aktive Sicherheitslücken zu validieren.

Ergebnisse untersuchen

Nachdem Sie External Exposure aktiviert haben, können Sie die Ergebnisse in derGoogle Cloud Console ansehen. Rufen Sie im Security Command Center die Seite Risikoübersicht auf und sehen Sie sich das Dashboard External Exposure an. Dieses Dashboard ist verfügbar, wenn Ihr Bereich auf eine Organisation, einen Ordner oder ein Projekt festgelegt ist. Weitere Informationen zu diesem Dashboard finden Sie unter Risiko auf einen Blick bewerten.

Führen Sie den folgenden Befehl aus, um aktive External Exposure-Ergebnisse über die Befehlszeile abzurufen:

gcloud alpha scc findings list projects/PROJECT_ID \
    --location=global \
    --filter="state=\"ACTIVE\" AND finding_class=\"EXTERNAL_EXPOSURE\""

Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie Ergebnisse aufrufen möchten.

Details zu Ergebnissen

Ergebnisse, die zur Klasse EXTERNAL_EXPOSURE gehören, geben den Risikotyp und die Art der Gefährdung der Ressource an.

Eine Liste der detaillierten Risikokategorien, die für diese Ergebnisse generiert werden (z. B. EXTERNALLY_EXPOSED_VM_INSTANCE oder EXTERNALLY_EXPOSED_SERVERLESS_WORKLOAD), finden Sie unter External Exposure-Ergebnisse.

Alle Ergebnisse der Klasse EXTERNAL_EXPOSURE enthalten die folgenden Details:

• Offengelegter Dienst: Die spezifische Webanwendung, Serversoftware oder das Protokoll, das auf dem aktiven Port identifiziert wurde.
• Einblicke in den Netzwerkpfad: Der Netzwerkpfad verfolgt die Verbindung vom öffentlichen Internet über Load Balancer, Weiterleitungsregeln und Backend-Dienste bis hin zum Zielasset.
• Offengelegter Endpunkt: Die zugrunde liegende Zielressource, z. B. eine Compute Engine-Instanz oder ein Google Kubernetes Engine-Pod (GKE).

Wenn der offengelegte Dienst oder die Softwareversion identifiziert werden kann, werden im Ergebnis auch alle CVE-Sicherheitslücken aufgeführt, die sich darauf auswirken.

Ergebnisse mit Angriffsrisikowerten priorisieren

External Exposure-Ergebnisse werden in Simulationen von Angriffspfaden integriert, um bestätigte, reale Einstiegspunkte in Ihre Umgebung zu ermitteln. Wenn eine bestätigte Gefährdung mit einem potenziellen Pfad für die laterale Bewegung in Verbindung steht (z. B. ein gefährdetes Dienstkonto, das auf eine vertrauliche BigQuery-Datenbank oder einen Cloud Storage-Bucket zugreifen kann), erhält das Ergebnis einen Wert für die Gefährdung durch Angriffe. Anhand dieser Punktzahl können Sie die Behebung von Sicherheitsrisiken priorisieren, die das größte Risiko für Ihre hochwertigen Ressourcen darstellen.

Scanmesswerte überwachen

Damit Sie überprüfen können, ob „External Exposure“ in Ihrer Umgebung ordnungsgemäß funktioniert, werden in der Konsole kontinuierliche Batch-Scan-Messwerte angezeigt:

• Letzter Scan: Der Zeitstempel des zuletzt abgeschlossenen Scanzyklus. Die Ergebnisse spiegeln also den aktuellen Stand Ihrer Ressourcen wider.
• Nächster Scan: Die geplante Startzeit des nächsten Scanzyklus.
• Erfolgreiche Projekte: Die Gesamtzahl der Projekte, die im letzten Scanzyklus erfolgreich analysiert wurden.
• Ausgeschlossene Projekte: Die Gesamtzahl der Projekte, die übersprungen wurden, weil Organisationsrichtlinien oder VPC Service Controls-Einschränkungen den Zugriff des Scanners auf die Ressourcen einschränken. Wenn ein Projekt übersprungen wird, generiert Security Command Center ein oder mehrere Ergebnisse der Klasse SCC_ERROR.
• Offengelegte Ressourcen: Die Gesamtzahl der einzelnen Ressourcenziele, die als öffentlich erreichbar identifiziert wurden.
• Gefährdete öffentliche Ports: Die Gesamtzahl der eindeutigen aktiven externen Ports, die in Ihren gefährdeten Ressourcen erkannt wurden.

Scanner-Traffic in Ihren Logs identifizieren

Wenn External Exposure Ihre externen Ressourcen aktiv scannt, sehen Sie möglicherweise eingehende Scananfragen in Ihren Dienstlogs, z. B. Cloud Run-Anfragelogs in Cloud Logging.

Um zu prüfen, ob eingehende Anfragen von External Exposure und nicht von unbefugten Dritten stammen, sehen Sie sich den Logeintrag für das Feld userAgent unter httpRequest an. Alle aktiven Anfragen vom Dienst identifizieren sich mit dem User-Agent TsunamiSecurityScanner.

Das folgende Beispiel zeigt einen Cloud Logging-Anfragelogbucheintrag, der generiert wird, wenn External Exposure einen öffentlich zugänglichen Cloud Run-Dienst scannt:

{
  "httpRequest": {
    "latency": "0.004745622s",
    "protocol": "HTTP/1.1",
    "remoteIp": "2600:1900:4180:5b2:0:1ae::",
    "requestMethod": "POST",
    "requestSize": "441",
    "requestUrl": "https://SERVICE_URL/mcp",
    "responseSize": "131",
    "serverIp": "2600:1900:4244:200::",
    "status": 405,
    "userAgent": "TsunamiSecurityScanner"
  },
  "insertId": "6a16af86000c7e0d0fdc1c58",
  "labels": {
    "goog-managed-by": "cloudfunctions",
    "goog-serve-source": "user-container"
  },
  "logName": "projects/PROJECT_ID/logs/run.googleapis.com%2Frequests",
  "receiveTimestamp": "2026-05-27T08:47:03.025492782Z",
  "resource": {
    "labels": {
      "configuration_name": "SERVICE_NAME",
      "location": "us-central1",
      "project_id": "PROJECT_ID",
      "revision_name": "REVISION_NAME",
      "service_name": "SERVICE_NAME"
    },
    "type": "cloud_run_revision"
  },
  "severity": "WARNING",
  "timestamp": "2026-05-27T08:47:02.811254Z"
}

Leistung und Einschränkungen

• Unterstützte Ressourcen:Compute Engine-Instanzen, Google Kubernetes Engine-Dienste (GKE) und Ingress-Controller, Datenbanken wie Cloud SQL und AlloyDB for PostgreSQL, Managed Service for Apache Spark-Cluster, Cloud Run, Cloud Storage und Gemini Enterprise Agent Platform Workbench.
• Aktualisierungsintervall:Informationen zur Scan-Häufigkeit von External Exposure finden Sie unter Wann sind Ergebnisse im Security Command Center zu erwarten?.
• Gescannte Ports:External Exposure scannt automatisch nach Diensten, die auf einer vordefinierten Baseline gängiger Ports ausgeführt werden. Diese sind hauptsächlich nach Diensttyp oder Protokoll gruppiert:
  • Administrativ / Shell: 22 (SSH), 23 (Telnet), 3389 (RDP)
  • Web / HTTP(S): 80, 443, 8000, 8080, 8081, 8443, 8800, 9000, 9443
  • Datenbanken: 1433, 1521, 3306, 5432, 9200, 11211, 27017, 6379
  • Kubernetes und Service Gateways: 6443, 10250, 10255, 15020, 15021
  • Weitere gängige Entwicklertools und ‑dienste: 1099, 1880, 2323, 2375, 2376, 2379, 2746, 3000, 3100, 4040, 5000, 5173, 5678, 6006, 6274, 7001, 7002, 7077, 7860, 8001, 8042, 8083, 8088, 8090, 8111, 8123, 8153, 8154, 8188, 8265, 8500, 8501, 8787, 8888, 8890, 8983, 9001, 9010, 9090, 9091, 9092, 9100, 9870, 9876, 11434, 15672, 18080, 54321 und 61616.
• Benutzerdefinierte Ports: Zusätzlich zu den Standardports können Sie pro Projekt bis zu 32 benutzerdefinierte Ports für den Scan konfigurieren. Weitere Informationen finden Sie unter Benutzerdefinierte Ports konfigurieren.
• Statistiken zu Netzwerkpfaden: Im Bericht werden die Ergebnisse für einen Netzwerkpfad für eine offengelegte Ressource angezeigt.
• VMs mit Load Balancing: Wenn mehrere VM-Instanzen mit einem Load Balancer verbunden sind, werden Ergebnisse nur für eine der VM-Instanzen gemeldet.
• Priorisierung von Cloud Run-Ergebnissen: Da jede Cloud Run-Bereitstellung standardmäßig eine öffentliche URL erhält, werden Ergebnisse anhand von IAM- und Identity-Aware Proxy-Richtlinien (IAP) ausgewertet. Wenn eine Arbeitslast durch IAM oder IAP geschützt ist (HTTP-Antwort „403 Unauthorized“ wird zurückgegeben), wird der Schweregrad des Ergebnisses auf LOW herabgestuft, um Informationsrauschen zu reduzieren.
• Statistiken zum Pfad der Netzwerkgefährdung: Ergebnisse enthalten keine Statistiken zum Pfad der Netzwerkgefährdung, wenn „External Exposure“ auf Projektebene aktiviert ist. Wenn Sie Statistiken zum Netzwerk-Expositionspfad erhalten möchten, aktivieren Sie den Dienst auf Organisations- oder Ordnerebene.