שימוש בשירות External Exposure כדי לזהות משאבים חשופים

‫Security Command Center External Exposure הוא שירות שעוזר לכם לנהל ולצמצם את השטח החשוף להתקפה חיצונית באמצעות גילוי אוטומטי ואימות סיכונים. Google Cloud

סורקים אוטומטיים יכולים לזהות נכסים שחשופים לאינטרנט תוך דקות, ולכן External Exposure מאפשרת לגלות חשיפות מקריות ומשאבי צללים באופן יזום לפני שתוקפים יוכלו לגלות אותם ולנצל אותם.

השירות מנתח את הסביבה שלכם מנקודת מבט חיצונית, ומנסה לאשר מה באמת נגיש מהאינטרנט ומזהה אילו חשיפות ניתנות לניצול.

External Exposure סורקת באופן רציף כתובות IP, שמות מארחים, שמות דומיינים וכתובות URL שפונות כלפי חוץ בסביבה שלכם. Google Cloudהתכונה הזו משתמשת בסריקת רשת כדי לאשר אילו משאבים ואילו אפליקציות נגישים מהאינטרנט הציבורי.

לכל חשיפה מאומתת, External Exposure מבצעת את הפעולות הבאות:

• הכלי עוקב אחרי Google Cloud נתיב הרשת של מאזני עומסים חיצוניים, מדיניות Google Cloud Armor, כללי חומת אש, Private Service Connect, ‏ Cloud Interconnect ושירותי קצה עורפיים עד למשאב שנחשף, ומציג את הנתיב.

  המשאב הזה יכול להיות מופע של Compute Engine או Pod של Google Kubernetes Engine ‏ (GKE), כולל שירות או אפליקציה שנחשפים.

  השילוב העמוק הזה עם רשת Google עוזר לספק הקשר שמאפשר לכם לפעול באופן מיידי כדי למנוע בעיות, למשל על ידי נעילה של כלל חומת אש ספציפי או הגדרה של Google Cloud Armor.

• מבצעת טביעת אצבע כדי לנסות לזהות את אפליקציית האינטרנט הספציפית או את תוכנת השרת שפועלת בכל נכס חשוף.

• אם הוא מצליח לזהות את השירות או התוכנה שנחשפו, הוא מזהה את כל נקודות החולשה שידועות כמשפיעות עליהם.

• הכלי משתמש בגלאים מתקדמים פסיביים ואקטיביים כדי לבדוק את מידת הפגיעות לניצול לרעה בעולם האמיתי. הוא עושה זאת על ידי אימות נקודות חולשה, הגדרות שגויות ושימוש בפרטי כניסה חלשים או בפרטי כניסה שמוגדרים כברירת מחדל.

לפני שמתחילים

בקטע הזה מוסבר איך להכין את הסביבה לשימוש ב-External Exposure.

הפעלת Security Center Management API

אם אתם מתכננים להשתמש בממשקי Security Command Center API, אתם צריכים להפעיל את Security Center Management API בפרויקט שלכם שמוגדרת בו מכסת השימוש. אם אתם משתמשים במדיניות ארגונית שמגבילה את השימוש בממשקי API, אתם צריכים לוודא ש-Security Center Management API מותר לשימוש. משתמשים ב-Security Center Management API כדי לשלוט במצב ההפעלה של שירותי Security Command Center, כמו External Exposure.

1. במסוף, מפעילים את Security Center Management API בפרויקט של המכסה:

   gcloud services enable securitycentermanagement.googleapis.com \
       --project=QUOTA_PROJECT_ID
   

   מחליפים את QUOTA_PROJECT_ID במזהה הפרויקט שבו אתם משתמשים לניהול המכסה.

2. אם יש לכם מדיניות ארגונית שמגבילה את השימוש בממשקי API, צריך לוודא שממשק ה-API לניהול Security Center מותר לשימוש. מידע נוסף על מדיניות הארגון

3. אם רוצים לקבל תובנות לגבי נתיב החשיפה ברשת בממצאים שלכם, ודאו שאתם מפעילים את External Exposure ברמת הארגון או התיקייה.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות להגדרה של חשיפה חיצונית ולצפייה בנתונים בלוח הבקרה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון, בתיקייה או בפרויקט:

• הגדרת ההגדרות של External Exposure ב-Security Command Center וצפייה בנתונים בלוח הבקרה: אדמין של Security Center (roles/securitycenter.admin)
• מקצים תפקידים לסוכני שירות, כמו התפקיד externalexposure.serviceAgent: אדמין אבטחה (roles/iam.securityAdmin)
• יצירה וניהול של חשבונות שירות: אדמין של חשבון שירות (roles/iam.serviceAccountAdmin)
• צפייה בנתונים בלוח הבקרה בלבד: צפייה בנתונים בלוח הבקרה במרכז האבטחה (roles/securitycenter.adminViewer)
• אפשר לראות את מרכז הבקרה של חשיפה חיצונית ואת מדדי הסריקה במסוף, ב-CLI או ב-API: External Exposure Viewer (roles/externalexposure.viewer)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אפשר להשתמש בפקודות הבאות של Google Cloud CLI כדי להקצות למשתמש את התפקידים שצוינו למעלה:

הקצאת תפקידים באמצעות ה-CLI של gcloud

• כדי להקצות למשתמש את תפקיד האדמין של Security Center, מריצים את הפקודה הבאה:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/securitycenter.admin
  

• כדי להעניק למשתמש את התפקיד Security Center Admin Viewer, מריצים את הפקודה הבאה:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/securitycenter.adminViewer
  

• כדי להעניק למשתמש את התפקיד External Exposure Viewer (צפייה בחשיפה חיצונית) לצורך גישה למדדים של CLI או API, מריצים את הפקודה הבאה:

  gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/externalexposure.viewer
  

  מחליפים את מה שכתוב בשדות הבאים:

  • ‫ORGANIZATION_ID: מזהה הארגון (מספרי)
  • ‫PROJECT_ID: מזהה הפרויקט
  • USER_EMAIL_ID: כתובת האימייל של המשתמש שזקוק לגישה

הפעלה והגדרה של השירות

כדי להפעיל ולהגדיר את התכונה 'External Exposure', צריך לבצע את המשימות בקטעים הבאים.

אפשר להפעיל ולהגדיר את השירות ברמת הארגון, התיקייה או הפרויקט. כשמשתמשים ב-API, אם רוצים להגדיר הגדרות ברמת התיקייה או הארגון ולא ברמת הפרויקט, צריך להחליף את projects/PROJECT_ID ב-folders/FOLDER_ID או ב-organizations/ORGANIZATION_ID בכל כתובות ה-URL של הבקשות ובפרמטרים של נתוני ה-JSON.

הפעלת External Exposure

הפעלת חשיפה חיצונית לארגון, לתיקייה או לפרויקט.

אחרי שמפעילים את השירות, חשוב להקצות לסוכן השירות את ההרשאות הנדרשות, כמו שמתואר במאמר הקצאת הרשאות לסוכן שירות.

הענקת הרשאות לסוכן שירות

בהתאם לרמת המשאב שבה מפעילים את השירות, Google Cloudנוצר סוכן שירות:

• ברמת הארגון או התיקייה: נוצר סוכן שירות ברמת הארגון או התיקייה.
• ברמת הפרויקט: נוצר סוכן שירות ברמת הפרויקט.

כדי להעניק הרשאות ברמת הארגון, מריצים בטרמינל את הפקודה הבאה:gcloud

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com" \
    --role=roles/externalexposure.serviceAgent

מחליפים את ORGANIZATION_ID במזהה המספרי של הארגון.

כדי להעניק הרשאות ברמת התיקייה, מריצים בטרמינל את הפקודה הבאה:gcloud

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
    --member="serviceAccount:service-folder-FOLDER_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com" \
    --role=roles/externalexposure.serviceAgent

מחליפים את FOLDER_ID במזהה התיקייה המספרי.

הענקת גישה נכנסת לגבולות הגזרה לשירותים

אם אתם משתמשים ב-VPC Service Controls, צריך לתת לסוכן של שירות החשיפה החיצונית גישה נכנסת לכל גבולות הגזרה לשירות שמגנים על פרויקטים שאתם רוצים לסרוק. אם לא תעניקו גישה נכנסת, External Exposure לא יוכל לבצע סריקות או ליצור ממצאים עבור פרויקטים שמוגנים על ידי גבולות גזרה לשירות.

בהתאם לרמת המשאב שבה השירות מופעל, מזהה חשבון השירות מופיע באחד מהפורמטים הבאים של כתובות אימייל:

• ארגונים או תיקיות:

  service-RESOURCE_KEYWORD-RESOURCE_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com
  

• לפרויקטים:

  service-project-PROJECT_NUMBER@gcp-sa-ee.iam.gserviceaccount.com
  

מחליפים את מה שכתוב בשדות הבאים:

• ‫RESOURCE_KEYWORD: מילת המפתח org או folder
• ‫RESOURCE_ID: מזהה הארגון או מזהה התיקייה
• ‫PROJECT_NUMBER: מספר הפרויקט

אם יש לכם חשבונות שירות ברמת הארגון וברמת הפרויקט, צריך לבצע את השלבים הבאים בשניהם.

כדי לתת גישה, מוסיפים כלל כניסה לכל גבול גזרה חוסם של שירות:

1. נכנסים לדף VPC Service Controls במסוף Google Cloud :

   מעבר אל VPC Service Controls

2. בוחרים את מדיניות חסימת הגישה ואת גבולות הגזרה לשירות.

3. לוחצים על עריכה ואז על מדיניות כניסה.

4. לוחצים על Add ingress rule ומגדירים את הבלוק From:

   1. בקטע זהות, בוחרים באפשרות זהויות וקבוצות נבחרות.
   2. מזינים את כתובת האימייל של חשבון השירות של External Exposure.
   3. בשדה מקור, בוחרים באפשרות כל המקורות.

5. הגדרת החסימה של הנמען בכלל:

   1. בקטע Project, בוחרים באפשרות All projects.
   2. בקטע Operations or IAM roles (פעולות או תפקידים ב-IAM), בוחרים באפשרות All operations (כל הפעולות).

6. לוחצים על Save.

הגדרת יציאות בהתאמה אישית

אפשר להגדיר עד 32 יציאות מותאמות אישית לכל פרויקט שייסרקו בנוסף ליציאות הבסיס:

curl --request PATCH \
  "https://securitycentermanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure?updateMask=service_config" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header "X-Goog-User-Project: QUOTA_PROJECT_ID" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data '{
    "serviceConfig": {
      "ports": [8081, 8188]
    },
    "name": "projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure"
  }' \
  --compressed

הגדרת מודולים של סריקה

הגדרת מודולים ספציפיים לסריקה להפעלה או להשבתה:

curl --request PATCH \
  "https://securitycentermanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure?updateMask=modules" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header "X-Goog-User-Project: QUOTA_PROJECT_ID" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data '{
    "modules": {
      "EXTERNALLY_EXPOSED_RCE_VULNERABILITY": {
        "intendedEnablementState": "ENABLED"
      },
      "EXTERNALLY_EXPOSED_WEAK_CREDENTIALS": {
        "intendedEnablementState": "DISABLED"
      }
    },
    "name": "projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure"
  }' \
  --compressed

אחרי שמפעילים את External Exposure, מתבצעות סריקות רציפות של אצוות כדי לזהות כתובות IP חיצוניות חשופות, לבדוק שירותים פעילים ולאמת נקודות חולשה פעילות.

בדיקת הממצאים

אחרי שמפעילים את התכונה 'External Exposure', אפשר לראות את הממצאים במסוףGoogle Cloud . ב-Security Command Center, עוברים לדף Risk Overview וצופים בלוח הבקרה External Exposure. מרכז הבקרה הזה זמין כשההיקף מוגדר לארגון, לתיקייה או לפרויקט. מידע נוסף על לוח הבקרה הזה זמין במאמר הערכת הסיכון במבט חטוף.

כדי לאחזר ממצאים פעילים של External Exposure באמצעות ה-CLI, מריצים את הפקודה הבאה:

gcloud alpha scc findings list projects/PROJECT_ID \
    --location=global \
    --filter="state=\"ACTIVE\" AND finding_class=\"EXTERNAL_EXPOSURE\""

מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים לראות את הממצאים.

הסבר על פרטי הממצאים

ממצאים ששייכים לסיווג EXTERNAL_EXPOSURE מזהים את סוג הסיכון ואת האופן שבו המשאב חשוף.

רשימה של קטגוריות הסיכון המפורטות שנוצרות לגבי הממצאים האלה (כמו EXTERNALLY_EXPOSED_VM_INSTANCE או EXTERNALLY_EXPOSED_SERVERLESS_WORKLOAD) זמינה במאמר ממצאים של External Exposure.

כל הממצאים בכיתה EXTERNAL_EXPOSURE כוללים את הפרטים הבאים:

• שירות חשוף: אפליקציית האינטרנט הספציפית, תוכנת השרת או הפרוטוקול שזוהו ביציאה הפעילה.
• תובנות לגבי נתיב הרשת: מעקב אחר הקישוריות בנתיב הרשת מהאינטרנט הציבורי דרך מאזני עומסים, כללי העברה ושירותים לקצה העורפי ועד לנכס היעד.
• ‫Exposed endpoint: משאב היעד הבסיסי (לדוגמה, מכונה של Compute Engine או Pod של Google Kubernetes Engine ‏ (GKE)).

אם אפשר לזהות את השירות או את גרסת התוכנה שנחשפו, בתוצאה מפורטות גם נקודות חולשה מסוג CVE שמשפיעות עליהם.

קביעת סדר עדיפויות לממצאים באמצעות ציוני חשיפה להתקפה

ממצאי External Exposure משולבים עם סימולציות של נתיבי תקיפה כדי לספק נקודות כניסה מאומתות בעולם האמיתי לסביבה שלכם. כשחשיפה מאומתת מתחברת לנתיב פוטנציאלי לתנועה לרוחב (לדוגמה, חשבון שירות שנחשף ויכול להגיע למסד נתונים רגיש של BigQuery או לקטגוריה של Cloud Storage), הממצא מקבל ציון חשיפה להתקפה. אתם יכולים להשתמש בציון הזה כדי לתת עדיפות לתיקון חשיפות שמסכנות את המשאבים החשובים ביותר שלכם.

מעקב אחרי מדדי סריקה

כדי לעזור לכם לוודא שהתכונה External Exposure פועלת בצורה תקינה בסביבה שלכם, במסוף מוצגים מדדים של סריקות אצווה רציפות:

• הסריקה האחרונה: חותמת הזמן של מחזור הסריקה שהושלם לאחרונה, שמאשרת שהממצאים משקפים את המצב הנוכחי של המשאבים.
• הסריקה הבאה: שעת ההתחלה המתוזמנת של מחזור הסריקה הבא.
• ‫Successful projects: המספר הכולל של הפרויקטים שנותחו בהצלחה במהלך מחזור הסריקה האחרון.
• Projects excluded: המספר הכולל של הפרויקטים שדילגו עליהם כי אילוצים של מדיניות הארגון או של VPC Service Controls מגבילים את הגישה של הסורק למשאבים. כשמדלגים על פרויקט, Security Command Center יוצר ממצא אחד או יותר מסוג SCC_ERROR.
• משאבים שנחשפו: המספר הכולל של יעדי משאבים ייחודיים שזוהו כמשאבים שאפשר להגיע אליהם באופן ציבורי.
• יציאות ציבוריות חשופות: המספר הכולל של יציאות חיצוניות פעילות שונות שזוהו במשאבים החשופים.

זיהוי תנועת סורקים ביומנים

כש-External Exposure סורקת באופן פעיל את המשאבים שפונים החוצה, יכול להיות שתראו בקשות סריקה נכנסות ביומני השירות, כמו יומני בקשות של Cloud Run ב-Cloud Logging.

כדי לוודא שהבקשות הנכנסות מגיעות מ-External Exposure ולא מצדדים שלישיים לא מורשים, בודקים את רשומת היומן של השדה userAgent בקטע httpRequest. כל הבקשות הפעילות מהשירות מזוהות באמצעות סוכן המשתמש TsunamiSecurityScanner.

בדוגמה הבאה מוצגת רשומה ביומן הבקשות של Cloud Logging שנוצרת כשסריקות של External Exposure סורקות שירות Cloud Run שנחשף:

{
  "httpRequest": {
    "latency": "0.004745622s",
    "protocol": "HTTP/1.1",
    "remoteIp": "2600:1900:4180:5b2:0:1ae::",
    "requestMethod": "POST",
    "requestSize": "441",
    "requestUrl": "https://SERVICE_URL/mcp",
    "responseSize": "131",
    "serverIp": "2600:1900:4244:200::",
    "status": 405,
    "userAgent": "TsunamiSecurityScanner"
  },
  "insertId": "6a16af86000c7e0d0fdc1c58",
  "labels": {
    "goog-managed-by": "cloudfunctions",
    "goog-serve-source": "user-container"
  },
  "logName": "projects/PROJECT_ID/logs/run.googleapis.com%2Frequests",
  "receiveTimestamp": "2026-05-27T08:47:03.025492782Z",
  "resource": {
    "labels": {
      "configuration_name": "SERVICE_NAME",
      "location": "us-central1",
      "project_id": "PROJECT_ID",
      "revision_name": "REVISION_NAME",
      "service_name": "SERVICE_NAME"
    },
    "type": "cloud_run_revision"
  },
  "severity": "WARNING",
  "timestamp": "2026-05-27T08:47:02.811254Z"
}

ביצועים ומגבלות

• משאבים נתמכים: מופעי Compute Engine, שירותים ובקרי Ingress של Google Kubernetes Engine‏ (GKE), מסדי נתונים כולל Cloud SQL ו-AlloyDB ל-PostgreSQL, אשכולות של Managed Service for Apache Spark,‏ Cloud Run,‏ Cloud Storage ו-Gemini Enterprise Agent Platform Workbench.
• מרווח הרענון: מידע על תדירות הסריקה של External Exposure זמין במאמר מתי אפשר לצפות לממצאים ב-Security Command Center.
• יציאות שנסרקו: External Exposure סורקת באופן אוטומטי שירותים שפועלים בבסיס נתונים מוגדר מראש של יציאות נפוצות, שמקובצות בעיקר לפי סוג השירות או הפרוטוקול:
  • אדמיניסטרטיבי / מעטפת: 22 (SSH), ‏ 23 (Telnet), ‏ 3389 (RDP)
  • אינטרנט / HTTP(S): 80, ‏ 443, ‏ 8000, ‏ 8080, ‏ 8081, ‏ 8443, ‏ 8800, ‏ 9000, ‏ 9443
  • מסדי נתונים: 1433, ‏ 1521, ‏ 3306, ‏ 5432, ‏ 9200, ‏ 11211, ‏ 27017, ‏ 6379
  • ‫Kubernetes ושערי שירותים: 6443, ‏ 10250, ‏ 10255, ‏ 15020, ‏ 15021
  • שירותים וכלים נפוצים אחרים למפתחים: 1099,‏ 1880,‏ 2323,‏ 2375,‏ 2376,‏ 2379,‏ 2746,‏ 3000,‏ 3100,‏ 4040,‏ 5000,‏ 5173,‏ 5678,‏ 6006,‏ 6274,‏ 7001,‏ 7002,‏ 7077,‏ 7860,‏ 8001,‏ 8042,‏ 8083,‏ 8088,‏ 8090,‏ 8111,‏ 8123,‏ 8153,‏ 8154,‏ 8188,‏ 8265,‏ 8500,‏ 8501,‏ 8787,‏ 8888,‏ 8890,‏ 8983,‏ 9001,‏ 9010,‏ 9090,‏ 9091,‏ 9092,‏ 9100,‏ 9870,‏ 9876,‏ 11434,‏ 15672,‏ 18080,‏ 54321 ו-61616.
• יציאות בהתאמה אישית: בנוסף ליציאות הרגילות, אפשר להגדיר עד 32 יציאות בהתאמה אישית לכל פרויקט לצורך סריקה. מידע נוסף מופיע במאמר בנושא הגדרת יציאות מותאמות אישית.
• תובנות לגבי נתיב הרשת: בדוח הממצאים מוצג נתיב רשת אחד למשאב חשוף.
• מכונות וירטואליות עם איזון עומסים: אם כמה מופעים של מכונות וירטואליות מחוברים למאזן עומסים, הממצאים מדווחים רק לגבי אחד מהמופעים של המכונות הווירטואליות.
• תעדוף ממצאים ב-Cloud Run: מכיוון שכל פריסה של Cloud Run מקבלת כתובת URL ציבורית כברירת מחדל, הממצאים נבדקים מול מדיניות IAM ושרת proxy לאימות זהויות (IAP). אם עומס עבודה מוגן על ידי IAM או IAP (מחזיר תגובה לא מורשית של HTTP 403), חומרת הממצא מופחתת ל-LOW כדי לצמצם את הרעש האינפורמטיבי.
• תובנות לגבי נתיב החשיפה ברשת: הממצאים לא כוללים תובנות לגבי נתיב החשיפה ברשת כש-External Exposure מופעל ברמת הפרויקט. כדי לקבל תובנות לגבי נתיב החשיפה ברשת, צריך להפעיל את השירות ברמת הארגון או התיקייה.